如今狸棍,計算機和網(wǎng)絡已經(jīng)深入到人們生活中的方方面面捆毫,“計算機的安全問題已經(jīng)成為了牽一發(fā)而動全身的東西”
這是密碼學學者惋嚎、信息安全專家布魯斯·施奈爾(Bruce Schneier)的觀點烛愧。8月27日氯哮,在第四屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會上演講時,施奈爾談到了計算機安全正在面臨的挑戰(zhàn)邻悬。
第一症昏,目前很多程序都寫的很差,漏洞百出父丰,所以不安全肝谭。比如,我們能看到每個月甚至每周都有安全軟件在升級蛾扇。這是因為攘烛,開發(fā)者不知道怎么能在一個大家能接受或者愿意支付的價格基礎(chǔ)上寫一個安全的程序。這些程序上的漏洞會被利用镀首。
第二坟漱,二三十年前,人們在設計互聯(lián)網(wǎng)時沒有安全的概念更哄∮蟪荩互聯(lián)網(wǎng)剛出現(xiàn)時有接觸門檻,比如你必須是某個公司的員工才能接觸到互聯(lián)網(wǎng)成翩,這意味著設計者在一開始根本不需要擔心安全觅捆。施奈爾介紹,人們現(xiàn)在還在用的很多協(xié)議麻敌,本身都是不安全的栅炒,因為它來自于二三十年前。
第三,可擴展性赢赊。它指的是乙漓,你無法限定一個計算機化的設備的功能。比如释移,現(xiàn)在手機除了打電話叭披,可以做很多的事情,因為它是可擴展的秀鞭,“它可以跑很多軟件趋观,但這些軟件的安全性誰來保證?”
第四锋边,計算機系統(tǒng)的復雜性皱坛,意味著攻會易于防。施奈爾說豆巨,攻擊一個復雜的系統(tǒng)比防御一個復雜的系統(tǒng)要簡單得多剩辟,你只要找一個方式攻擊就行了,但如果要是防御的話往扔,就得想出無數(shù)的方法贩猎,來應對五花八門的攻擊。
施奈爾認為萍膛,目前我們正面臨一場網(wǎng)絡安全的風暴吭服,“我們的安全現(xiàn)在失效了,因為太多的東西連在一起蝗罗,人們也愿意生活在這樣的一個技術(shù)空間艇棕,而且是不受監(jiān)管的空間當中,但這種環(huán)境是不可持續(xù)的”串塑。
針對這些挑戰(zhàn)沼琉,施奈爾提出了兩個建議:首先應該以防御為重,“防御體系應該比攻擊體系更重要”桩匪。在設計基礎(chǔ)設施和應用時打瘪,要先設計它的安全,然后保證它的安全傻昙。其次闺骚,制定網(wǎng)絡安全政策時,需要技術(shù)人員參與妆档,“政策應該有很強的技術(shù)成分僻爽,因此需要工程師參與到政策的討論當中,政策制定者要有技術(shù)知識”过吻,如果技術(shù)和政策決策者沒有一起攜手工作进泼,就會出現(xiàn)很多災難性的成果。