网络安全怎么这么难？

在经过将近20年的努力尝试，以及数十上百亿美元的投资之后，为何我们依然做不好网络安全？而且网络安全居然看上去变得越来越差。要想解释这个问题，我们不仅要着眼于技术层面的东西。的确，网络安全看上去是一个需要用技术解决的问题，例如我们到现在还不知道要如何编写没有bug的代码。但是如果我们把眼界再放宽一些的话，我们就会发现，就算解决了技术问题，网络安全依然很难做好：

•  网络安全不仅是个技术问题
•  网络世界的规则与现实世界不一样
•  网络安全法律、政策和实施手段还不发达

第一个原因——网络安全不仅是个技术问题，它还关乎很多其他因素，例如经济、人类哲学等等，我在以前的文章中讨论过这个问题，这里就不再赘述了。我们今天具体来谈谈另外两个因素。

网络世界的规则与现实世界不同

这里的规则，我指的并不是社会规则，而是网络空间的物理和数学规则。互联网是一个用光速来扩散信息的地方，现实世界中的距离、国界和临近程度等概念在网络上都会变得不一样，这对安全形成了巨大的影响。

首先，在互联网上人与人之间的距离被大大缩小了，网络上的任何一个人都有可能在任何一个地方对你发起攻击。其次，网络空间没有现实世界中的国界这么一说，只有路由器、防火墙和网关。在现实世界中，临近程度是通过物理位置判断的，而在网络中，它是靠谁通过哪个路径进行连接来判断的。

这样一来，现实世界中的模式在网络上无法适用。例如，在现实世界中，政府会负责保证国界的安全。然而在网络空间中，每个人都站在国境线上。如果每个人都在国境线上工作和生活，我们如何能让政府来保证国境线的安全？在现实世界中，犯罪是有物理地点的——你必须要在一个地方偷了什么东西，这样警察才能对罪犯进行制裁。然而在网络中，你可以出现在任何一个地方实施犯罪，因此本地警察无法对罪犯做出有效的管辖和制裁。

网络的这个特性可以说是一把双刃剑，企业可以利用它来获取更多的消费者，但是同时也让坏人有了可乘之机。

法律与政策框架

其次，站在法律和政策的角度来看，网络依然是一个新兴的东西。现代的互联网和数组空间仅仅存在了25年的时间，而且在这个过程中还在不断的变化、迭代。于是，我们还没有完整的做好对于网络监管的政策和法律框架。对于下面一些关键的问题，我们甚至还没有找到清晰的答案：

•  谁才应该对网络安全防护履行职责？政府还是私人机构？
•  当企业处理我们的数据的时候，他们应该遵循什么样的标准？
•  各个行业的监管者如何做好网络安全工作？
•  哪些行为是政府、企业和个人可以做的？哪些行为是绝对不能做的？
•  谁应该对软件的缺陷负责？
• 如何让个人和企业在国际范围内各尽其责？

对于这些问题，有些人已经开始在寻求答案了。例如，我们不能指望政府保护线上的每一家企业，这是不现实的，我们也不希望这样，因为这种做法势必会影响我们做生意的方式。另外，我们也不能指望大多数企业和组织来解决这个问题。那么我们如何才能突破这个窘境？

或许我们应该从灾难反映那里取经，然后根据状况的不断变化，用灵活的方式来制定责任人。在进行灾难反映的时候，抢先预备和第一反应是出现在本地层面上的，如果灾难的级别超过了本地政府的处理能力，那么事件会稳步上报，最终国家政府介入。我们也可以将这种机制引入到网络安全工作中来——企业和组织负责自己网络的安全，但是如果证明了某一次攻击的规模达到了全国级，那么政府就可以介入。

如果我们还是认为网络安全是一个技术问题，我们就会继续不断撞墙。只有认清了网路安全的本质，我们才能有所进步。

Cyber Threat Alliance (CTA) 就是这样一个组织。两年前，来自多家企业的网络安全专家聚在一起组成了这个机构。这些人怀揣美好的想法，用自动化的方式进行网络安全信息共享，每个人都在为这个系统献策献力。CTA希望能够修复现有信息分享机制的缺陷。只要能朝着这个方向继续下去，我们相信自己可以把网络安全问题变得更好一些。

原文来自:SDK.cn

声明：所有来源为“聚合数据”的内容信息，未经本网许可，不得转载！如对内容有异议或投诉，请与我们联系。邮箱：marketing@think-land.com