如今,计算机和网络已经深入到人们生活中的方方面面,“计算机的安全问题已经成为了牵一发而动全身的东西”,这是密码学学者、信息安全专家布鲁斯·施奈尔(Bruce Schneier)的观点。8月27日,在第四届互联网安全领袖峰会上演讲时,施奈尔谈到了计算机安全正在面临的挑战。
第一,目前很多程序都写的很差,漏洞百出,所以不安全。比如,我们能看到每个月甚至每周都有安全软件在升级。这是因为,开发者不知道怎么能在一个大家能接受或者愿意支付的价格基础上写一个安全的程序。这些程序上的漏洞会被利用。
第二,二三十年前,人们在设计互联网时没有安全的概念。互联网刚出现时有接触门槛,比如你必须是某个公司的员工才能接触到互联网,这意味着设计者在一开始根本不需要担心安全。施奈尔介绍,人们现在还在用的很多协议,本身都是不安全的,因为它来自于二三十年前。
第三,可扩展性。它指的是,你无法限定一个计算机化的设备的功能。比如,现在手机除了打电话,可以做很多的事情,因为它是可扩展的,“它可以跑很多软件,但这些软件的安全性谁来保证?”
第四,计算机系统的复杂性,意味着攻会易于防。施奈尔说,攻击一个复杂的系统比防御一个复杂的系统要简单得多,你只要找一个方式攻击就行了,但如果要是防御的话,就得想出无数的方法,来应对五花八门的攻击。
施奈尔认为,目前我们正面临一场网络安全的风暴,“我们的安全现在失效了,因为太多的东西连在一起,人们也愿意生活在这样的一个技术空间,而且是不受监管的空间当中,但这种环境是不可持续的”。
针对这些挑战,施奈尔提出了两个建议:首先应该以防御为重,“防御体系应该比攻击体系更重要”。在设计基础设施和应用时,要先设计它的安全,然后保证它的安全。其次,制定网络安全政策时,需要技术人员参与,“政策应该有很强的技术成分,因此需要工程师参与到政策的讨论当中,政策制定者要有技术知识”,如果技术和政策决策者没有一起携手工作,就会出现很多灾难性的成果。