网络安全是人的问题

我是个惹麻烦的人

每年被猪杀死的人超过了被鲨鱼杀死的人，所以面对网络安全问题你没必要恐惧

用石器时代的大脑去解决现在的安全问题，肯定是不会成功的

在第二届“夏季达沃斯”年会上，我碰到了大名鼎鼎的Bruce Schneier，网络信息安全领域的顶级高手，还有幸得到了他签名的一本书和照片，哈哈。 

Bruce是国际知名的安全技术专家和作家，设计了流行的 Blowfish 和 Twofish 加密算法，后者入围了新的联邦高级加密标准 (ABES)。《经济学家》杂志称他为“安全大师”，作为安全评论家，他以坦诚、直言不讳、思路清晰著名。他的第一部畅销书《实用密码技术》介绍了神秘的密码科学的实际工作原理，被《连线》杂志称为“国家安全局永远都不想出版的书籍”。其关于计算机与网络安全的著作《秘密与谎言》被《财富》杂志称为“可以实际使用的充满惊喜的珠宝盒”。他最新的著作《超越恐惧》阐述了由小到大的各类安全问题：个人安全、犯罪、公司安全、国家安全。

Bruce是一个特立独行、甚至有些桀骜不驯的家伙，但同时也极其有想法，关键是他对安全的理解却跟我们的理解大相径庭。下面是我采访他的部分内容：

偶：那你觉得安全问题的根源在哪里？我们能否从根源上解决安全问题？

Bruce：你要记住，安全的问题不是可以一劳永逸的，解决之后便再也不会发生。就拿人类几千年的文明发展过来讲，很多社会安全方面的问题，包括谋杀，偷盗等，到现在一直存在于我们周围。纯技术性的问题是可以解决的，比如存储。但是网络安全问题往往是与人、与社会有关的，而只要是和人有关的问题都会永远存在下去。互联网上只要有人的存在，总会有安全问题的。

所以，对付安全问题不是说要把它彻底的消灭，而是把它控制在一个可管理的范围之内。比如说我们在走出屋子是有一定风险的，你有可能被谋杀，也有可能被抢劫。但是我们现在也不怕上街，是因为我们知道它被控制在一个可管理的范围内。网络的安全也是一样的，可以控制在一定的管理范围之内。所以安全问题，更多的是一个风险管理的问题。

偶：你认为安全更多的是人的问题，而不是技术的问题。那我可不可以说不安全的因素大多出自像你这样的安全专家？

Bruce：不是来自于安全专家，每个人都有制造麻烦的可能。正如社会总会有犯罪现象，网络世界也是如此，也会有一些不法的分子。当然大多数是守法的良民，是诚实的，所以才能有现在相对比较安全的网络。但是，技术起到了力量平衡的作用。比如，如果犯罪分子得到了一支非常先进的枪，那么他就可能更容易去犯罪。但如果我们得到了一个更好的防弹服，也许我们就不会那么容易地被杀死。也就是说每出现一个新的技术，可能就会打破原有的平衡，需要我们去建立新的平衡。刚才讲的是真实世界的情况，在虚拟的网络世界，比如说某一个黑客找到了网络的漏洞，他就可以通过他的技术去攻击网络。相对来说，如果我们安装了一种新型的网络监控的系统，从网络上对它发起进攻可能就不会那么容易。所以，安全技术本身其实就是一个找到更好的、建立新的平衡点的工具。有更好的安全技术，就可以保护我们的公司，保护我们公司的员工，保护我们的客户。

当然你说的也是正确的，总有一些计算机的安全专家更有能力去或者去惹麻烦。比如，我是这方面的专家我洞悉其中的真相，所以我可以更轻易地来做一些攻击或者网络犯罪等等这样的事情，而且引起的麻烦可能更大。但现在网络安全大多数的破坏者是那些行为不好的或者非网络安全专家，就像普通的社会里有不法分子一样，在网上也会有这样的人。对于网络安全专家来说，我们要做的是要去分析这群人的犯罪战术，然后找出应对办法。我们还是很正面的，哈哈。

偶：大多数人和企业在面对网络安全问题时都比较恐惧，你也刚出版了一本书，名字便是《超越恐惧》，我们如何做到这一点呢？

Bruce：这个问题不是两言三语可以说清楚的，如果大家都明白安全的意义的话，销售安全产品就不会那么难了。通常情况下，如果一个企业的CEO表示恐惧或者担心的话，往往是因为他没有掌握足够的信息。因为人们产生恐惧往往是因为内心存在诸多的不确定性，恐惧往往是无知的产物。所以，对于个人和企业来说，最重要的是掌握足够的信息，不管这种信息是正面的还是负面的信息。只要得到足够的信息，CEO或者是其他的一些企业高管才能够及时地给出意见，作出规划，才能慢慢地克服内心的恐惧。很多时候大家会觉得网络不安全，主要是因为大家对于网络会有什么样的威胁、会有什么样的风险或者会有什么样的安全漏洞这些信息没有掌握足够，他们不能够根据这些信息作出自己的判断和规划，所以才会对网络的安全有一种恐惧的心理。如果CEO或者CIO旁边有一个网络安全的专家级顾问，那么便可以从网络安全专家这里得到足够的信息，给出准备决策，去克服这些安全的风险。

偶：你会感到恐惧吗？

Bruce：哈哈，我不害怕，如果害怕就不做这一行了。现在的互联网很安全，有了问题也能够解决。我害怕的倒是有些国家的政府现在对互联网的监查或者过滤太厉害了。因为互联网本身是开放的，限制太多了，互联网会失去自我，这才是最大的不安全。

偶：另外，刚才你也提到安全专家对与企业的重要性，那么你是否也影响了英国电信在安全方面的一些理解和作法？

Bruce：安全专家很重要，但并不是说公司有一个安全专家就会更安全。只是说这些安全专家会给你提供足够的信息，和帮助你作出应对方面的决策或者措施。

安全实际上已经渗透到了英国电信的各个业务部门，各个部门也都有专门做安全的人士在负责安全的问题。所以一方面我们的确有专门针对于安全的产品和服务，而另一方面这种安全的理念也是渗透到业务的每个层面。

偶：我看过你的简历，我觉得与其说你是一个技术专家，还不如说你是一个社会活动家，每年都忙碌奔波于向全世界宣讲、普及安全方面的知识。

Bruce：我是一个惹麻烦的人，这是我自己对自己的定位。我写这么多东西，做许多活动，目的是提高大家对安全问题的认识，消除他们内心对网络安全的恐惧，但归根结底我是个技术人员。

实际上每一个物种都和安全问题之间会有一种平衡关系，关键的问题是社会发展的速度远远超过了物种发展的速度。所以我们今天所出现的很多安全问题和我们过去石器时代的安全问题是完全不同的。所以如果我们用石器时代的大脑去解决现在的安全问题，肯定是不会成功的。我是想说，现在的人在对安全问题的认知是有很多偏见的，还是停留在石器时代的认知水平。为什么我们会害怕鲨鱼，你可知道，每年鲨鱼杀死的人数还不如猪杀死的人多。我们现在如此地害怕恐怖主义，但却对身边众多的犯罪现象视而不见。希望有一天，网络安全问题变成人们生活的常识，我期待那一天的早日到来。