Bruce Schneier簡(jiǎn)介

Bruce Schneier是Counterpane Systems公司的總裁，該公司是一個(gè)密碼學(xué)和計(jì)算機(jī)安全方面的專業(yè)咨詢公司。并在主要的密碼學(xué)雜志上發(fā)表了數(shù)十篇論文，他是《Dr Dobb's Journal》責(zé)任編輯之一，同時(shí)擔(dān)任《Computer and communications Security Reviews》的編輯，是國(guó)際密碼研究協(xié)會(huì)的理事會(huì)員、電子隱私信息中心的顧問(wèn)團(tuán)成員和新安全范例工作組程序委員會(huì)成員。此外他還經(jīng)常舉辦密碼學(xué)、計(jì)算機(jī)安全和隱私保護(hù)方面的學(xué)術(shù)講座。

在安全業(yè)界，Bruce Schneier無(wú)異于一個(gè)搖滾明星，一個(gè)密碼學(xué)專家，一個(gè)計(jì)算機(jī)安全專家，寫過(guò)大量的暢銷書(shū)，無(wú)數(shù)的專題文章，在他的博客www.schneier.com/blog可以找到這些文章，并且每個(gè)月有一本專刊，全球讀者大約有13萬(wàn)。同時(shí)Bruce Schneier在“IT安全界全球最有影響力的人”名單中榜上有名。今天我們來(lái)看下Bruce Sshneier是如何看待“安全是可以解決的問(wèn)題嗎？還是一場(chǎng)無(wú)休止的戰(zhàn)爭(zhēng)”。

“安全是可以解決的問(wèn)題嗎？還是一場(chǎng)無(wú)休止的戰(zhàn)爭(zhēng)”

問(wèn)題：最近幾年里各個(gè)公司和組織機(jī)構(gòu)對(duì)安全的態(tài)度主要有哪些變化？人們真的意識(shí)到了安全的重要性了嗎？是否已經(jīng)把安全提高到了戰(zhàn)略性的高度？還是仍舊認(rèn)為安全是一個(gè)附屬品。

Bruce Schneier：有一些變化，可以看到許多可管理的安全服務(wù)正在涌現(xiàn)，這些服務(wù)通常只注重結(jié)果，而不是技術(shù)了；這也表明現(xiàn)在的集團(tuán)組織越來(lái)越不關(guān)心具體的技術(shù)細(xì)節(jié)。同時(shí)隨著集團(tuán)對(duì)塞班司法案的重視，安全預(yù)算也隨之增加。您可以質(zhì)疑CXO們是否真的意識(shí)到了安全的重要性，還是只是應(yīng)付了事，但結(jié)果是一樣的。

我認(rèn)為安全有深層次的心理因素，人們習(xí)慣把安全當(dāng)作附屬品。詐騙盛行好幾百年了，銀行對(duì)此非常重視，因?yàn)殂y行花了幾個(gè)世紀(jì)來(lái)處理安全問(wèn)題。計(jì)算機(jī)和網(wǎng)絡(luò)安全還很年輕，可能也需要幾代人才能認(rèn)識(shí)到安全是產(chǎn)業(yè)核心的一部分。但是現(xiàn)在這樣也好，因?yàn)閷＜宜坪蹩偸鞘紫饶軌蚋�好的�?quán)衡利弊。

問(wèn)題：人們?nèi)耘f認(rèn)為安全是可以單純用技術(shù)可以解決的嗎？像好多人提起安全就是“加個(gè)防火墻”。最近幾年也看到一些文章討論安全是一個(gè)真正的人為事件，并不是單純靠技術(shù)就可以解決的。為什么這種爭(zhēng)論這么吸引人？

Bruce Schneier：我們的社會(huì)對(duì)技術(shù)有種崇拜，技術(shù)可以解決很多問(wèn)題，在計(jì)算機(jī)世界，很多也確實(shí)如此。過(guò)幾年時(shí)間，文字處理、圖表、網(wǎng)絡(luò)等等問(wèn)題都可以解決，但是安全基本上是一個(gè)由人產(chǎn)生的問(wèn)題，所以技術(shù)只是很小一部分。

最終，隨著集團(tuán)組織不斷開(kāi)展各種業(yè)務(wù)，包括安全，他們就不會(huì)關(guān)心安全是怎么解決的了，安全已經(jīng)成了一部分。MSM（Mobile Station Modem，移動(dòng)臺(tái)調(diào)制解調(diào)）提供商就認(rèn)為安全是人、操作、技術(shù)的綜合體，他們把安全當(dāng)作一個(gè)整體銷售。

問(wèn)題：在當(dāng)今這個(gè)IT驅(qū)動(dòng)的世界，我認(rèn)為從概念上大多數(shù)人都認(rèn)為安全是一個(gè)重要的元素，但實(shí)際應(yīng)用上與之并不一致。還需要什么呢？

Bruce Schneier：安全100%是一種激勵(lì)，如果沒(méi)有經(jīng)濟(jì)刺激，再好的安全方案也不可能被實(shí)施，和經(jīng)濟(jì)刺激綁到一塊，安全公司就會(huì)全心全意地來(lái)解決安全問(wèn)題。在計(jì)算機(jī)世界，我一直認(rèn)為正確的激勵(lì)是責(zé)任，軟件廠商需要為不安全產(chǎn)品負(fù)責(zé)，集團(tuán)組織需要對(duì)人們的個(gè)人信息負(fù)責(zé)，這種經(jīng)濟(jì)刺激最終會(huì)使IT界越來(lái)越安全。

問(wèn)題：難道必須要把安全作為一項(xiàng)服務(wù)的內(nèi)嵌功能，沒(méi)有更好的辦法？

Bruce Schneier：無(wú)疑服務(wù)提供者能夠更好的處理安全問(wèn)題。我的公司在自己的網(wǎng)絡(luò)內(nèi)有反垃圾郵件、反釣魚(yú)、反惡意軟件等等安全措施，連上來(lái)沒(méi)有安全問(wèn)題，所以當(dāng)用戶沒(méi)有從ISP那里得到同級(jí)別的安全保證應(yīng)該是一種犯罪，還是一個(gè)激勵(lì)的問(wèn)題。ISP沒(méi)有動(dòng)力來(lái)做這些安全措施，如果這是他的責(zé)任，那么就不一樣了。

問(wèn)題：最后，從用戶的角度看，安全是可以解決的嗎？還是會(huì)演變成一場(chǎng)IT版的恐怖大戰(zhàn)。

Bruce Schneier：到目前為止有已經(jīng)被完全解決掉的安全問(wèn)題嗎？謀殺、搶劫這些問(wèn)題已經(jīng)存在了幾千年了。如果還有人問(wèn)計(jì)算機(jī)安全能夠解決，那只能證明我們對(duì)技術(shù)的崇拜。

計(jì)算機(jī)安全當(dāng)然不可能被完全解決。它是一個(gè)包含人為因素的問(wèn)題，自從猿猴進(jìn)化成人以來(lái)，類似的問(wèn)題就存在，并且將會(huì)一直存在下去。安全一直都是一種攻防對(duì)抗。“恐怖大戰(zhàn)”這種說(shuō)法最終也會(huì)消失并成為一段尷尬的歷史，但攻防對(duì)抗之間的較量將會(huì)一直進(jìn)行下去。