当计算机被远程连接的时候,我们民族特征中的这种无罪论就会暴露无遗。回想起来,互联网(Internet)的前身,即早期的ARPANet(美国国防部高级研究计划局网络)的设计初衷,是为了让政府、研究机构和教育机构共享研究信息。设计所追求的目标是信息自由和技术先进性。 因此,许多教育机构在建立起早期的计算机系统时,很少或根本就没有考虑安全性。一个著名的软件自由主义者,理查德•斯托曼(Richard Stallman),甚至拒绝用密码保护自己的账户。
但随着互联网被用于电子商务中,网络世界中因缺乏安全而导致的危险性也有了显著的不同。部署更多的技术解决不了与人有关的安全问题。
只需看一看现在的机场就知道了。安全已经被列为重中之重,但我们仍从媒体报道中得知,有的旅客能设法躲过安全检查,携带一些可能的武器通过检查关卡。在机场已经高度警戒的今天,这怎么可能呢?金属探测器失灵了吗?没有。问题不在机器,而在于人:那些操作机器的人。机场的管理层可以组织警卫队,也可以安装金属探测器和人脸识别系统,但更有效的做法可能是培训那些在一线工作的安检人员,教他们怎样正确地鉴别乘客。
在全世界各地的政府、商业和教育机构中也存在同样的问题。即使安全专业人员付出了极大的努力,但只要安全链条中最薄弱的环节——人的因素,没有得到加强,那么,各处的信息仍然是很脆弱的,在那些具备社交工程技能的攻击者看来,仍是唾手可得的。
现在的形势比以往任何时候都迫切,我们要学会停止一厢情愿地想当然,需要更多地了解那些试图攻击我们的计算机系统和网络的人所用的技术,了解他们怎样威胁信息的保密性、完整性和可用性。我们已经接受了防御性驾驶的观念,现在是该接受和学习防御性计算的时候了。
由于外来的攻击而侵犯了你的隐私、你的思想或者你所在公司的信息系统,这种事情除非真的发生了,否则听起来总觉得像是天方夜谭。为了避免发生这种代价昂贵的真实事件,我们必须有清楚的意识,学会该如何行动,保持警惕,积极保护我们的信息资产、个人信息和国家的关键基础设施。而且,从现在起我们就必须付诸实践。