IT安全明星谈安全无法解决

　　Bruce Schneier简介

　　Bruce Schneier是Counterpane Systems公司的总裁，该公司是一个密码学和安全方面的专业咨询公司。并在主要的密码学杂志上发表了数十篇论文，他是《Dr Dobb's Journal》责任编辑之一，同时担任《Computer and communications Security Reviews》的编辑，是国际密码研究协会的理事会员、电子隐私中心的顾问团成员和新安全范例工作组程序委员会成员。此外他还经常举办密码学、计算机安全和隐私保护方面的学术讲座。

　　在安全业界，Bruce Schneier无异于一个摇滚明星，一个密码学专家，一个计算机安全专家，写过大量的畅销书，无数的专题文章，在他的博客www.schneier.com/blog可以找到这些文章，并且每个月有一本专刊，全球读者大约有13万。同时Bruce Schneier在“安全界全球最有影响力的人”名单中榜上有名。今天我们来看下Bruce Sshneier是如何看待“安全是可以解决的问题吗？还是一场无休止的战争”。

　　“安全是可以解决的问题吗？还是一场无休止的战争”

　　问题：最近几年里各个公司和组织机构对安全的态度主要有哪些变化？人们真的意识到了安全的重要性了吗？是否已经把安全提高到了战略性的高度？还是仍旧认为安全是一个附属品。

　　Bruce Schneier：有一些变化，可以看到许多可管理的安全服务正在涌现，这些服务通常只注重结果，而不是技术了；这也表明现在的集团组织越来越不关心具体的技术细节。同时随着集团对塞班司法案的重视，安全预算也随之增加。您可以质疑CXO们是否真的意识到了安全的重要性，还是只是应付了事，但结果是一样的。

　　我认为安全有深层次的心理因素，人们习惯把安全当作附属品。诈骗盛行好几百年了，银行对此非常重视，因为银行花了几个世纪来处理安全问题。计算机和安全还很年轻，可能也需要几代人才能认识到安全是产业核心的一部分。但是现在这样也好，因为专家似乎总是首先能够更好的权衡利弊。

　　问题：人们仍旧认为安全是可以单纯用技术可以解决的吗？像好多人提起安全就是“加个防火墙”。最近几年也看到一些文章讨论安全是一个真正的人为事件，并不是单纯靠技术就可以解决的。为什么这种争论这么吸引人？

　　Bruce Schneier：我们的社会对技术有种崇拜，技术可以解决很多问题，在计算机世界，很多也确实如此。过几年时间，文字处理、图表、网络等等问题都可以解决，但是安全基本上是一个由人产生的问题，所以技术只是很小一部分。

　　最终，随着集团组织不断开展各种业务，包括安全，他们就不会关心安全是怎么解决的了，安全已经成了一部分。MSM（Mobile Station Modem，移动台调制解调）提供商就认为安全是人、操作、技术的综合体，他们把安全当作一个整体销售。

　　问题：在当今这个IT驱动的世界，我认为从概念上大多数人都认为安全是一个重要的元素，但实际应用上与之并不一致。还需要什么呢？

　　Bruce Schneier：安全100%是一种激励，如果没有经济刺激，再好的安全方案也不可能被实施，和经济刺激绑到一块，安全公司就会全心全意地来解决安全问题。在计算机世界，我一直认为正确的激励是责任，厂商需要为不安全产品负责，集团组织需要对人们的个人信息负责，这种经济刺激最终会使IT界越来越安全。

　　问题：难道必须要把安全作为一项服务的内嵌功能，没有更好的办法？

　　Bruce Schneier：无疑服务提供者能够更好的处理安全问题。我的公司在自己的网络内有反垃圾邮件、反钓鱼、反恶意软件等等安全措施，连上来没有安全问题，所以当用户没有从ISP那里得到同级别的安全保证应该是一种犯罪，还是一个激励的问题。ISP没有动力来做这些安全措施，如果这是他的责任，那么就不一样了。

　　问题：最后，从用户的角度看，安全是可以解决的吗？还是会演变成一场IT版的恐怖大战。

　　Bruce Schneier：到目前为止有已经被完全解决掉的安全问题吗？谋杀、抢劫这些问题已经存在了几千年了。如果还有人问计算机安全能够解决，那只能证明我们对技术的崇拜。

　　计算机安全当然不可能被完全解决。它是一个包含人为因素的问题，自从猿猴进化成人以来，类似的问题就存在，并且将会一直存在下去。安全一直都是一种攻防对抗。“恐怖大战”这种说法最终也会消失并成为一段尴尬的历史，但攻防对抗之间的较量将会一直进行下去。