论文部分内容阅读
区块链供应商正在大力宣传该技术,将其作为很多安全问题和其他问题的解决方案。然而,企业在赶时髦之前应考虑一下成本和其他可选方案。
在我的收件箱里,每天都有10到30封来自善意公关人员的邮件,他们想要推销自己、客户或者其客户的产品。每星期我会打开很少的几封邮件,读一读,也许会有一两封让我想深入下去。这要远远少于我的推特和专栏。
大部分公关宣传的问题是,他们的宣传大同小异:云、勒索软件,等等。如今,流行趋势似乎是人工智能、比特币和区块链。有时候,公关宣传做得异想天开,把流行的技术词汇吹上了天,让我哈哈大笑。
下面举一个公关宣传的例子。
“跳过鲨鱼”这种宣传,公关人员暗示区块链可能会使得美国最近更集中地召回大肠杆菌污染的生菜和鸡蛋。这太难能可贵了。我会永远记住公关人员的名字,但原因并不是他们喜欢我。
区块链并非万能工具
建筑师、工匠和业余爱好者都知道,合适的工具能够让困难的情况变得容易一些。同样的道理,同样的工具并不能适用于所有的情况。区块链是一项伟大的数字发明,如果应用于正确的领域,将会改变世界。
它并不是适用于所有数字安全情形的工具。是的,區块链可能会改善食源性疾病问题的召回,但代价是什么呢?建立包括所有供应商、分销商和相关人员的国家体系会带来高昂的成本,这是否值得付出努力和费用呢?可能不值得,即使有疾病威胁,冒生命危险。
区块链的基本组成部分,不过是一个分布式交易账本,每一笔交易都与其他交易以加密的方式绑定在一起。这涉及到完整性,而不是密码。定义并应用的密码算法使得很难伪造交易,这样,相关方也不能很容易地进行验证。这是一个简单但革命性的概念。
2017年初,《哈佛商业评论》指出,区块链是一种基础性的技术,因此“有可能为我们的经济和社会系统创造新基础。”2017年1月,《世界经济论坛》的报告预测,到2025年,全球GDP的10%将来源于区块链或者区块链相关技术。如果你还不知道区块链,那现在就应该开始了解它了。
但这并不意味着所有可能应用区块链的地方都应该采用它。只有当一群人之间的交易需要有很强的完整性,并且在特定的保护场景中所花费的成本(包括价值、时间和最佳使用资源)不超过以下因素时才应该考虑区块链:
● 付出或者带来的必要保护的能力
● 可提供同样或者更多保护的另一种方法的成本
● 潜在的损失可能是由于没有使用它而造成的
我可能忘记了一些,但这些是关键的要求。如果满足了这些要求,那么区块链可能是所需要的解决方案。
区块链的成本与效益对比
举个例子,让我们想一想区块链用来保护我们免受食源性疾病的侵害。当然,拯救一个人的生命是不惜任何代价的,是吗?事实证明,不是这样。在几乎所有的保护场景中,我们总是把价格标签贴在人的生命上。
我们知道驾驶汽车每年会杀死成千上万的人,但我们却一直让人们以非常快的速度驾驶危险的汽车。我们知道,如果我们把汽车速度限制在每小时5英里,用笨重的橡胶造车,那么就会很少有人死亡,但是如果我们用腿跑步就能超过汽车,谁还会愿意去开车呢。因此,人们做出了权衡,我们认可每年有相当多的意外死亡,来换取更快地驾驶危险的汽车。我们一直在努力让驾驶更安全,但我们很难保证使其安全到不会有人死亡。因为这样做并不值得。
那么问题就变成了在特定场景中人的生命值多少钱?我们一直在做这些决定。
如果我们将其应用到食源性疾病,我们会付出多少才能防止更多的人因受污染的食品而得病和死亡? 据美国疾病控制中心估计,美国每年都有大约4800万人患上食源性疾病,造成12.8万人住院,3000人死亡。这可能比你想象得有更多的人因为食品而生病和死亡。我认为是这样,几十年来一直都是如此。在帮助对抗与食品有关的疾病方面,投入的资金显著减少,但与食品有关的疾病发病率正在缓慢降低。
因此,每年有数百万人生病,成千上万的人死亡,而我们只是慢慢地做了一些事情。当然,我们所有人都会愿意付出更多,让人们尽量不因为食品而得病。但具体付出多少呢?人们是否愿意为我们的食品付出双倍的价钱,从而让我们不容易生病呢?三倍?还是四倍?
答案是,人们可能甚至不会接受上涨25%。食品价格稍微上涨一点,人们就会疯狂。要实施区块链,即使不付出数万亿美元,至少也是数十亿美元。
在一个集中式的区块链系统中,要想按照设定的方式全面跟踪食品,则要求所有的收割设备、农场、供销社、物流方和商店买家参与进来。他们都需要新的计算机系统和新软件。我们农业系统的很多领域都不使用计算机,或者其使用计算机的方式使得其不可能马上引入区块链。
更直接更容易的问题是:真的需要区块链来提供全面的保护吗?当然,食品链可以从中受益,但真的需要区块链提供的强大但是相对昂贵的全面保护吗?或者一个普通的国家数据库就足够了?恢复到州这一级和疾病预防控制中心曾经的筹资水平是否就足够了?
可能会。
目前食品供应跟踪的问题不在于我们的食品跟踪数据库不够完整,而是因为我们根本没有太多的东西,整个生产和分销链上都是这样。这并不是说,我们要让很多生产商和经销商进入现有的数据库,改变条目以避免受到指责和起诉。
问题是,我们的整个系统并没有进行基本食品追踪所需的系统,而且我们没有足够的调查人员去追踪罪犯。即使把区块链完美地放到食品系统中,也不太可能减少生病的人数,至少在解决资金问题之前不会。
在其他安全机制上应用区块链
我自己差点就难堪了。我讨论了很多关于预防食源性疾病的问题,其实我是想说清楚任何人都应该了解计算机安全场景,正如我提到的以上的要求。在首先弄清楚安全解决方案能否真正解决问题之后(因为大多数解决方案并不能很好地解决他们销售人员所提出的问题),第二个最重要的问题是,是否真的需要,以及会付出什么代价。 把我的想法应用到RFID防盗钱包上。RFID防盗钱包应该能够保护你,阻止小偷窥探你未受保护的钱包中的信用卡。提供RFID保护功能的供应商想说服你——你需要保护,因为有可能出现犯罪活动。
如果你注意一下我的要求,会发现犯罪发生的可能性是很重要的。到目前为止,还从来没有出现过RFID犯罪案件被受保护的钱包阻止的案例。因此,任何超过0美元的投资都是不明智的。
另一个例子:很多企业数据泄露事件都与社会工程攻击密切相关。据2018年Verizon数据泄露调查报告,所有数据泄露事件中的93%涉及到社会工程攻击。这不是广告软件。这不是在某人桌面上弹出的恶意软件程序,在干坏事之前被防病毒软件删除。这是值得报告的数据泄露事件,导致进行取证调查,很有可能需要非常大的资金和资源应对支出。所以,无论你做什么来阻止可能的威胁,都是有道理的。你必须得决定花多少钱,怎么花(例如,网关过滤器,数据泄漏预防、教育和其他工具)。
最后一个例子。你应该使用传统的防火墙吗?采用防火墙,网络和主机能够阻止预定义或者未经授权的网络入侵。几十年来,其能力和价值早已被证明了。如今,传统防火墙所阻止的攻击只占了很小、很小的比例。
传统的防火墙只用于保护没有打补丁或者配置不当的系统。如果你没有这方面的问题,那么也许你不需要传统的防火墙。我知道很多非常、非常庞大的企业,其互联网入站流量大到难以想象,但他们已经不再使用防火墻了。因为防火墙大幅度降低了数据流速度,价值不高。
可以这么说,只是因为安全机制可以让你更安全,但这并不意味着它就是合适的工具。可能是因为实施工具太昂贵,或者可能是所面临的威胁根本不存在(至少目前还没有)。生命是一系列的安全评估标准,就像食源性疾病和快速行驶的汽车一样,我们经常学会在可能导致非常严重后果的环境中生活——因为我们不愿意为完全的安全付出过高的代价。
发给我区块链/食物传播疾病的公关人员让我笑了,我回复邮件说不。幸运的是,他们对我的回答很宽容,我们建立了新关系。因此,在这个意义上,公关人员可能已经达到了他们的目的。
Roger Grimes自2005年以来一直担任安全专栏作家,持有40多个计算机证书,并撰写了10本计算机安全方面的书籍。
原文网址
https://www.csoonline.com/article/3269236/blockchain/why-blockchain-isn-t-always-the-answer.html
在我的收件箱里,每天都有10到30封来自善意公关人员的邮件,他们想要推销自己、客户或者其客户的产品。每星期我会打开很少的几封邮件,读一读,也许会有一两封让我想深入下去。这要远远少于我的推特和专栏。
大部分公关宣传的问题是,他们的宣传大同小异:云、勒索软件,等等。如今,流行趋势似乎是人工智能、比特币和区块链。有时候,公关宣传做得异想天开,把流行的技术词汇吹上了天,让我哈哈大笑。
下面举一个公关宣传的例子。
“跳过鲨鱼”这种宣传,公关人员暗示区块链可能会使得美国最近更集中地召回大肠杆菌污染的生菜和鸡蛋。这太难能可贵了。我会永远记住公关人员的名字,但原因并不是他们喜欢我。
区块链并非万能工具
建筑师、工匠和业余爱好者都知道,合适的工具能够让困难的情况变得容易一些。同样的道理,同样的工具并不能适用于所有的情况。区块链是一项伟大的数字发明,如果应用于正确的领域,将会改变世界。
它并不是适用于所有数字安全情形的工具。是的,區块链可能会改善食源性疾病问题的召回,但代价是什么呢?建立包括所有供应商、分销商和相关人员的国家体系会带来高昂的成本,这是否值得付出努力和费用呢?可能不值得,即使有疾病威胁,冒生命危险。
区块链的基本组成部分,不过是一个分布式交易账本,每一笔交易都与其他交易以加密的方式绑定在一起。这涉及到完整性,而不是密码。定义并应用的密码算法使得很难伪造交易,这样,相关方也不能很容易地进行验证。这是一个简单但革命性的概念。
2017年初,《哈佛商业评论》指出,区块链是一种基础性的技术,因此“有可能为我们的经济和社会系统创造新基础。”2017年1月,《世界经济论坛》的报告预测,到2025年,全球GDP的10%将来源于区块链或者区块链相关技术。如果你还不知道区块链,那现在就应该开始了解它了。
但这并不意味着所有可能应用区块链的地方都应该采用它。只有当一群人之间的交易需要有很强的完整性,并且在特定的保护场景中所花费的成本(包括价值、时间和最佳使用资源)不超过以下因素时才应该考虑区块链:
● 付出或者带来的必要保护的能力
● 可提供同样或者更多保护的另一种方法的成本
● 潜在的损失可能是由于没有使用它而造成的
我可能忘记了一些,但这些是关键的要求。如果满足了这些要求,那么区块链可能是所需要的解决方案。
区块链的成本与效益对比
举个例子,让我们想一想区块链用来保护我们免受食源性疾病的侵害。当然,拯救一个人的生命是不惜任何代价的,是吗?事实证明,不是这样。在几乎所有的保护场景中,我们总是把价格标签贴在人的生命上。
我们知道驾驶汽车每年会杀死成千上万的人,但我们却一直让人们以非常快的速度驾驶危险的汽车。我们知道,如果我们把汽车速度限制在每小时5英里,用笨重的橡胶造车,那么就会很少有人死亡,但是如果我们用腿跑步就能超过汽车,谁还会愿意去开车呢。因此,人们做出了权衡,我们认可每年有相当多的意外死亡,来换取更快地驾驶危险的汽车。我们一直在努力让驾驶更安全,但我们很难保证使其安全到不会有人死亡。因为这样做并不值得。
那么问题就变成了在特定场景中人的生命值多少钱?我们一直在做这些决定。
如果我们将其应用到食源性疾病,我们会付出多少才能防止更多的人因受污染的食品而得病和死亡? 据美国疾病控制中心估计,美国每年都有大约4800万人患上食源性疾病,造成12.8万人住院,3000人死亡。这可能比你想象得有更多的人因为食品而生病和死亡。我认为是这样,几十年来一直都是如此。在帮助对抗与食品有关的疾病方面,投入的资金显著减少,但与食品有关的疾病发病率正在缓慢降低。
因此,每年有数百万人生病,成千上万的人死亡,而我们只是慢慢地做了一些事情。当然,我们所有人都会愿意付出更多,让人们尽量不因为食品而得病。但具体付出多少呢?人们是否愿意为我们的食品付出双倍的价钱,从而让我们不容易生病呢?三倍?还是四倍?
答案是,人们可能甚至不会接受上涨25%。食品价格稍微上涨一点,人们就会疯狂。要实施区块链,即使不付出数万亿美元,至少也是数十亿美元。
在一个集中式的区块链系统中,要想按照设定的方式全面跟踪食品,则要求所有的收割设备、农场、供销社、物流方和商店买家参与进来。他们都需要新的计算机系统和新软件。我们农业系统的很多领域都不使用计算机,或者其使用计算机的方式使得其不可能马上引入区块链。
更直接更容易的问题是:真的需要区块链来提供全面的保护吗?当然,食品链可以从中受益,但真的需要区块链提供的强大但是相对昂贵的全面保护吗?或者一个普通的国家数据库就足够了?恢复到州这一级和疾病预防控制中心曾经的筹资水平是否就足够了?
可能会。
目前食品供应跟踪的问题不在于我们的食品跟踪数据库不够完整,而是因为我们根本没有太多的东西,整个生产和分销链上都是这样。这并不是说,我们要让很多生产商和经销商进入现有的数据库,改变条目以避免受到指责和起诉。
问题是,我们的整个系统并没有进行基本食品追踪所需的系统,而且我们没有足够的调查人员去追踪罪犯。即使把区块链完美地放到食品系统中,也不太可能减少生病的人数,至少在解决资金问题之前不会。
在其他安全机制上应用区块链
我自己差点就难堪了。我讨论了很多关于预防食源性疾病的问题,其实我是想说清楚任何人都应该了解计算机安全场景,正如我提到的以上的要求。在首先弄清楚安全解决方案能否真正解决问题之后(因为大多数解决方案并不能很好地解决他们销售人员所提出的问题),第二个最重要的问题是,是否真的需要,以及会付出什么代价。 把我的想法应用到RFID防盗钱包上。RFID防盗钱包应该能够保护你,阻止小偷窥探你未受保护的钱包中的信用卡。提供RFID保护功能的供应商想说服你——你需要保护,因为有可能出现犯罪活动。
如果你注意一下我的要求,会发现犯罪发生的可能性是很重要的。到目前为止,还从来没有出现过RFID犯罪案件被受保护的钱包阻止的案例。因此,任何超过0美元的投资都是不明智的。
另一个例子:很多企业数据泄露事件都与社会工程攻击密切相关。据2018年Verizon数据泄露调查报告,所有数据泄露事件中的93%涉及到社会工程攻击。这不是广告软件。这不是在某人桌面上弹出的恶意软件程序,在干坏事之前被防病毒软件删除。这是值得报告的数据泄露事件,导致进行取证调查,很有可能需要非常大的资金和资源应对支出。所以,无论你做什么来阻止可能的威胁,都是有道理的。你必须得决定花多少钱,怎么花(例如,网关过滤器,数据泄漏预防、教育和其他工具)。
最后一个例子。你应该使用传统的防火墙吗?采用防火墙,网络和主机能够阻止预定义或者未经授权的网络入侵。几十年来,其能力和价值早已被证明了。如今,传统防火墙所阻止的攻击只占了很小、很小的比例。
传统的防火墙只用于保护没有打补丁或者配置不当的系统。如果你没有这方面的问题,那么也许你不需要传统的防火墙。我知道很多非常、非常庞大的企业,其互联网入站流量大到难以想象,但他们已经不再使用防火墻了。因为防火墙大幅度降低了数据流速度,价值不高。
可以这么说,只是因为安全机制可以让你更安全,但这并不意味着它就是合适的工具。可能是因为实施工具太昂贵,或者可能是所面临的威胁根本不存在(至少目前还没有)。生命是一系列的安全评估标准,就像食源性疾病和快速行驶的汽车一样,我们经常学会在可能导致非常严重后果的环境中生活——因为我们不愿意为完全的安全付出过高的代价。
发给我区块链/食物传播疾病的公关人员让我笑了,我回复邮件说不。幸运的是,他们对我的回答很宽容,我们建立了新关系。因此,在这个意义上,公关人员可能已经达到了他们的目的。
Roger Grimes自2005年以来一直担任安全专栏作家,持有40多个计算机证书,并撰写了10本计算机安全方面的书籍。
原文网址
https://www.csoonline.com/article/3269236/blockchain/why-blockchain-isn-t-always-the-answer.html