Ideas believed by many but actually untrue,那些人们认为理所当然肯定正确的概念而事实上是错误的,就像cyber security,cyber指的是网络,网络必然是有漏洞。
网络安全本身就是自相矛盾的概念。第一段的其他部分列举了近期发生的网络安全相关的负面事件。
最后一段,对第一段的呼应,网络安全现在情况之所以这么糟糕,主要在于过去人们对它不够重视。过去忽略网络安全问题可以理解,毕竟互联网才刚刚兴起,但是现在要是继续忽略,后果将不堪设想,但是要改变现状,不仅需要技术手段,也需要经济手段。
套路,先谈目前网络安全糟糕,再谈为什么糟糕,原因在于过去人们不够重视,接下来警告要是继续不重视,后果很严峻,最后再给人们带去一些希望,但是也并不是没有办法解决,需要的不仅仅是技术手段,也需要经济手段。
第二段,对第一段的延伸,除了在新闻上看到摆在面上的负面事件,所看不到的地方也同样糟糕,黑色猖獗,情况有可能进一步恶化,因为过去电脑处理虚拟的信息,现在更多融入到真实的世界中,与真实的商品结合到一起,比如汽车,医疗器械,涉及的面更广,危险程度更高。第一,第二段谈现状很糟糕。
第三段,开始提高有办法解决糟糕的现状。通过更尖端技术,提高警觉,这样安全的问题就能得到解决,这种想法非常有诱惑力,暗含实际情况可能还是不够的。前面说到了大多数公司不太重视,后面说到非技术的公司对技术不感冒,对于互联网的风险,更加没有习惯关注这一块,现在要去他们有意识培养这一种偏执。希望所有公司都采取漏洞报告奖励机制,公司奖励那些及时发现漏洞,并且在情况进一步恶化之前就修复漏洞的那些人。这一段整体上讲总体解决的方法,然后给出例子。
第四段,完全去消除网络安全问题是不现实的。原因是软件太过复杂,更重要的是历来人们都不重视网络安全。这一段是讲全文的核心概念,也即是网络安全问题永远不可能被彻底解决,电脑永远都不可能实现完全的安全。但是提醒人们不用完全的绝望。就像其他的灾难,车祸,自然灾害,诈骗,这些负面事件也不可能完全被消除,但是社会总是会想出一些办法来控制这方面的风险,比如政府出台规章制度,建立法律问责制,通过保险机制创建激励的方案鼓励人们采取更加安全的行为,这一段为正面的描述,尽管情况很糟糕,网络安全相关的漏洞不可能彻底被根除,但是我们还是能想到一些办法。
第五段,先谈监管。给出具体案例,不同的地区,圣彼得堡,伦敦,出现的恐怖袭击安全案件,涉及到加密的问题,得出的结论是尽管有这些恐怖袭击案件,但是不能放松这种加密的管控,一旦放松,其他所有的领域的安全系数都会随之下降,所以最佳的方法是进一步加强加密的方法。这一段是在谈解决方案,通过加密,通过监管,来实现网络安全的进一步强化。
第六段,继续谈监管。政府应该有所作为,就像推广公共健康一样,在IT领域,也要做同样的事情。比如在公共健康领域,政府要求所有人都要接种疫苗,在中小学,为中小学生免费提供牛奶,政府的干预,就可以起到很好的促进公众健康的效果。在IT领域,也是同样如此,可以通过政府强行推广一些措施,让整个网络环境改善,那些和互联网连接上的设备要定期更新,确保一旦漏洞被发现,就及时被修复。接下来解释promote public health for computing.
第七段,再次强调人们不重视网络安全。接下来对这个理念的解释。提到僵尸网络,指的是黑客进攻一批主机,控制这批主机,但是这批主机本身并没有太大影响,在无意识的状态下去攻击的其他目标,所以最终被攻击的目标只是一小部分,大部分不会有很大影响,大多数是得过且过,没有动力去强化这种安全意识。
第八段,再讲原因,为什么人们没有动力去加强安全意识呢?因为软件行业过去几十年间都不存在法律问责制,也就是说尽管产品有漏洞,可能会带来非常负面的影响,但是依然可以逃之夭夭。硅谷为了鼓励创新,推行的是一种“快速行动,打破常规”的理念,在这种理念下,人们没有太多顾忌去展开行动,推出创新的产品,前提在于他们有资格,有权利去推出那些并不够完美,尚待完善的产品,因为政府不管,就算产品有缺陷,最后发生问题,也不需要负法律责任,一方面对创新是有利的,另一方面对于尚有漏洞的产品所带来的恶劣后果,却是没有任何的法律制约。
第九段,未来随着计算机越来越多融合到各个领域的各个产品,那些产品本身存在法律问责制,也就意味着这种对软件行业的免责将来很可能与现有的法律存在冲突。
���
网友评论