保护电脑网络与将家门、珠宝店或银行大门紧锁有何不同?这是电脑安全专家史耐尔(BRUCE SCHNEIER)上周在多伦多的一次研讨会上向听众提出的简单问题。
据星报通讯社报道,史耐尔忧虑,许多公司在电脑安全方面不及格,它们将电脑网络视作一座城堡,筑起一堵防火墙,以为可以将坏人拒之门外。
这是非常危险的假设,这些公司根本没有重视内部不良雇员的破坏力。
史耐尔说,目前市场上大部分的电脑安全技术要不是设法筑起围墙,便设法堵塞漏洞。
史耐尔是加州CUPERTINO的COUNTERPANE INTERNET SECURITY INC.的创始人及首席技术员。
他指出,企业必须在现代环境中考虑其网络安全,现代环境是鱼龙混杂,威胁来自每一个角落,只要是有人群的地方,无论筑起围墙与否,总是能够互相渗透。
基于这一理由,许多城市要求多重安全措施,包括人事与程序,仅仅依赖技术是不行的。
史耐尔是一名老资格的密码学家,他曾经相信,通过密码技术及数学可以解决所有的安全及隐私问题。
但到了九十年代末期,他已经放弃这种信仰,他意识到密码技术通常没有保障。
他在二零零零年出版的著作“秘密与谎言”一书中纠正了他以往的想法,他在书中写道,密码技术并不存在于真空之中。
史耐尔于上周在多伦多的学术研讨会上重申了他的新观点,他强调了人为因素的重要。
他说,自动安全技术漏洞百出,只有人类才能够不断制造出威胁的环境。
谁能够保障每日二十四小时的安全?谁能够注意到情况的细微变化?谁能够分析?又有谁能够及时作出反应?
他举例航空安全说,“九.一一”恐怖袭击之后,即使面部识别软件、华而不实的扫描仪器、政府不断增加的监视措施、美国联邦调查局堆积如山的情报、中央集中管理的资料库也难保不会再出现安全问题。
而两项最有效的措施则是加固飞机驾驶舱门,以及训练乘客在遇到袭击时如何反抗。
同时,人类又是能够最快适应情况变化的。
史耐尔举出“九.一一”恐怖袭击当天,第四架遭劫持飞机上的乘客是如何在获知前三架飞机坠毁的情况后迅速奋起反抗,从而避免了美国遭到更严重的袭击。
网络安全是同样的道理,公司需要改变思维模式,不考虑如何在百分之百的时间内保护其网络,而是要更多考虑一旦网络遭到击破,如何应付。
史耐尔说,复杂的系统往往是不安全的,这种情况会继续存在。