人們總是喜歡談?wù)撘恍┫嗤臇|西，談多了也就成了所謂的“熱門”、“流行語”，當(dāng)然，安全行業(yè)也不例外。說到現(xiàn)在的熱門話題無非是云、勒索軟件等等，而現(xiàn)在的流行語似乎是人工智能(AI)、比特幣以及區(qū)塊鏈等。

[[228526]]

說到區(qū)塊鏈有多熱，這里有數(shù)據(jù)為證!根據(jù)瞻博網(wǎng)絡(luò)(Juniper Research)提供的數(shù)據(jù)顯示，每10家大公司之中就有6家公司要么正在積極考慮部署區(qū)塊鏈技術(shù)，要么已經(jīng)在行動當(dāng)中。而在那些已經(jīng)達(dá)到概念驗(yàn)證階段的公司里，有三分之二(66%)預(yù)計到2018年年底時會把區(qū)塊鏈整合到自家系統(tǒng)當(dāng)中。

人們常常將區(qū)塊鏈作為大多數(shù)問題的答案，原因之一就在于，我們很容易想象出區(qū)塊鏈技術(shù)的高級用例。但是事實(shí)上，區(qū)塊鏈并非適用于所有場景。

區(qū)塊鏈并非適用于所有情況

所有建筑師、工匠或是業(yè)余愛好者應(yīng)該都明白這樣一個道理，選擇合適的工具能夠使困難的問題變得更加容易解決。同樣的道理，沒有哪一種工具能夠解決所有的問題。我們不得不承認(rèn)，區(qū)塊鏈?zhǔn)且豁梻ゴ蟮臄?shù)字發(fā)明，如果能夠應(yīng)用在正確的領(lǐng)域，將會對整個世界帶來非凡改變。

但是，要記住的是，它并非適用于所有數(shù)字安全場景，沒錯，區(qū)塊鏈可能會改善食源性疾病(通過攝食進(jìn)入人體內(nèi)的各種致病因子引起的、通常具有感染性質(zhì)或中毒性質(zhì)的一類疾病)，但是其成本是多少呢?與每個提供商、分銷商和相關(guān)人員建立一個國家系統(tǒng)所付出的努力和代價是否值得?可能并不值得，即便是人類的生命存在威脅。

在其基本組件中，區(qū)塊鏈僅僅是一個交易分類帳本，每筆交易都與其他所有交易密切相關(guān)。這是一個關(guān)于完整性而不是加密的問題。定義和應(yīng)用的加密算法使得以非易事的方式偽造交易變得十分困難。可以說，區(qū)塊鏈?zhǔn)且粋€簡單而又富有革命性的概念。

2017年初，《哈佛商業(yè)評論》認(rèn)為區(qū)塊鏈?zhǔn)且豁椈A(chǔ)技術(shù)，因此“有可能為我們的經(jīng)濟(jì)和社會系統(tǒng)創(chuàng)造新的基礎(chǔ)”。 2017年1月的世界經(jīng)濟(jì)論壇報告預(yù)測，到2025年，全球GDP的10%將存儲在區(qū)塊鏈或區(qū)塊鏈相關(guān)技術(shù)上。如果你不了解區(qū)塊鏈，你可能需要開始了解它了。

但這并不意味著所有可以應(yīng)用區(qū)塊鏈技術(shù)的東西都應(yīng)該應(yīng)用它。研究顯示，能夠從區(qū)塊鏈中受益最多的項目應(yīng)該具備以下特點(diǎn)：對交易透明度和完整性有需求;當(dāng)前依賴傳統(tǒng)存儲系統(tǒng);需要傳輸大量信息。此外，應(yīng)用區(qū)塊鏈技術(shù)還需要考慮成本問題，確保特定保護(hù)方案的成本(包括價值、時間以及最佳資源利用)不會超出其所產(chǎn)生的收益。

區(qū)塊鏈成本與收益

舉例說明，2017年9月，外媒報道稱，都樂，Driscolls，泰森食品、沃爾瑪、聯(lián)合利華、克羅格和雀巢正在與IBM合作開發(fā)能應(yīng)用于食品供應(yīng)系統(tǒng)的區(qū)塊鏈技術(shù)以阻止食源性疾病的大規(guī)模爆發(fā)。

當(dāng)污染事件發(fā)生，傳統(tǒng)模式下是通過Excel臺帳或者中心化的數(shù)據(jù)庫來記錄食品流轉(zhuǎn)信息。如果中間環(huán)節(jié)出現(xiàn)問題，比如記錄遺漏、參錯，企業(yè)可能需要幾天甚至幾周的時間來追蹤感染源，并召回相應(yīng)的產(chǎn)品。

而利用區(qū)塊鏈，供應(yīng)鏈流程可以做到完全透明、可追溯，從食品鏈條的任一點(diǎn)都可以快速定位到源頭。當(dāng)然，拯救人命是值得耗費(fèi)大量財力的，對嗎?但是其實(shí)也許并非如此。在每一種保護(hù)場景中，我們習(xí)慣將價格標(biāo)簽置于人命之上，來衡量值不值得。

我們都知道駕駛汽車每年會造成數(shù)以萬計的人員傷亡，但是我們還是不斷地追求車輛行駛速度;我們都知道，如果將車輛限速在5英里每小時，然后用笨重的橡膠材料制造輪胎，那么傷亡人數(shù)就會減少很多。但是如果連人腿都跑不過，誰還需要駕車呢?所以，社會已經(jīng)采取了一個折衷做法，用每年一定數(shù)量的意外死亡來換取更快地駕駛速度追求。我們一直期待讓駕駛變得更加安全，不再有人因?yàn)轳{駛汽車而死亡，但是如果代價是5英里每小時，以及糟糕至極的駕駛體驗(yàn)，我想這樣根本不值得。

那么現(xiàn)在問題就變成，在一個特定場景中一條人命究竟值多少錢呢?如果現(xiàn)在我們將區(qū)塊鏈技術(shù)應(yīng)用于防止食源性疾病，我們將需要花費(fèi)多少努力才能阻止更多的人因感染有毒食物而生病或死亡呢?據(jù)美國疾病控制中心估計，美國每年都有大約4800萬人患有食源性疾病，造成128,000人住院，3000人死亡。這些數(shù)字可能比你所能想象的因食物而生病和死亡的人數(shù)要多。

現(xiàn)實(shí)是，每年都會有數(shù)百萬人因食物而生病，數(shù)千人因食物而死亡。當(dāng)然，我們每個人都愿意支付更多的東西來降低這種食源性疾病的感染率，但是您愿意支付的具體數(shù)額是多少呢?社會又是否愿意支付雙倍的費(fèi)用來降低這種患病的可能性?三倍呢?四倍呢?

答案是人們連25%的價格上漲都接受不了，一位農(nóng)名表示，即便是糧食價格上漲一點(diǎn)，世界都可能會陷入瘋狂。而實(shí)施區(qū)塊鏈技術(shù)需要花費(fèi)多少成本呢?即便是用不了一萬億美元，也至少需要數(shù)十億美元。

為了充分跟蹤食品動態(tài)，需要在中心化區(qū)塊鏈系統(tǒng)中與每個食品采集設(shè)備、農(nóng)場、加工商、運(yùn)輸商以及商店買家建立聯(lián)系，他們每個環(huán)節(jié)都需要配置新的計算機(jī)系統(tǒng)和軟件。事實(shí)上，很多農(nóng)場工人根本不會使用計算機(jī)，更別說突然引入?yún)^(qū)塊鏈技術(shù)了。

接下來又會引發(fā)一系列問題：是否真的有必要部署區(qū)塊鏈來提供足夠的保護(hù)水平?當(dāng)然，食品鏈能夠從中獲益，但是它真的需要區(qū)塊鏈這樣強(qiáng)大而又相對昂貴的技術(shù)來提供防護(hù)嗎?或者一個普通國家的數(shù)據(jù)庫是不是就已經(jīng)足夠了呢?

如今的食品供應(yīng)跟蹤問題并不是我們的食品跟蹤數(shù)據(jù)沒有足夠的完整性，而是我們沒有在整個系統(tǒng)中進(jìn)行基本食物追蹤所需的系統(tǒng)，而且我們沒有足夠的調(diào)查人員來追究違法者。即使您將區(qū)塊鏈完美地引入食品系統(tǒng)，它可能也不會降低食源性疾病的感染率，至少在您解決資金問題之前不會。

而且，在實(shí)際的商業(yè)推廣過程中，區(qū)塊鏈?zhǔn)称匪菰催M(jìn)程的推廣也存在不少的掣肘。首先是區(qū)塊鏈可以處理的信息量是有限的，目前來看底層協(xié)議性能處理普遍還不佳，如以太坊每秒25個左右的交易量也讓人詬病。其次是對于上鏈信息的真實(shí)性問題，有一部分完美主義者持不同意見。另外，不同平臺間的溯源技術(shù)和標(biāo)準(zhǔn)不同可能會導(dǎo)致商品溯源普及進(jìn)展緩慢等等。

將區(qū)塊鏈應(yīng)用于其他安全機(jī)制

為了表達(dá)上述觀點(diǎn)，我參考過很多有關(guān)預(yù)防食源性疾病的言論，但是我的目的不是為了否定而否定，我希望在確認(rèn)任何一項安全解決方案時，首先要弄清楚該解決方案能否真正地解決問題(因?yàn)榇蠖鄶?shù)解決方案不具備廣告宣傳中的功效)，然后，第二個最為關(guān)鍵的問題是即便該方法真的有效，但是你有部署它的必要嗎?實(shí)際部署又要花費(fèi)多少成本?

現(xiàn)在就把我的這種想法應(yīng)用于RFID阻擋((RFID blocking))錢包中進(jìn)行驗(yàn)證。我們都知道，現(xiàn)在銀行卡都是RFID卡比較多，通過設(shè)備可以讀取并破解，為了防止通過設(shè)備讀取錢包里面的卡的信息，這種錢包便應(yīng)運(yùn)而生。提供RFID保護(hù)技術(shù)的供應(yīng)商會說服你，你需要保護(hù)，不然可能會受到侵害。

但是，如果你回顧我的第一條要求——即弄清楚該解決方案能否真正地解決問題——會發(fā)現(xiàn)，到目為止，從未有過一起記錄在案的RFID犯罪活動被RFID阻擋錢包成功阻止的案例。對于這種根本不起效用的投入，都是不明智的投資。

另一個例子：社會工程手段是造成大多數(shù)企業(yè)數(shù)據(jù)泄露的最主要原因。根據(jù)2018年《Verizon數(shù)據(jù)泄露調(diào)查報告》顯示，93%的數(shù)據(jù)泄露涉及社會工程。社會工程不是廣告軟件，也不是會在桌面上彈出的惡意軟件程序，能夠在執(zhí)行某些操作之前就被殺毒軟件查殺。這種威脅造成的數(shù)據(jù)泄露可能會為企業(yè)帶來不可估量的經(jīng)濟(jì)和名譽(yù)損失，所以，無論你采取何種措施來降低這種威脅都是合理的。你只需要決定需要在哪些方面投入多少資金即可(例如，網(wǎng)關(guān)過濾器、數(shù)據(jù)泄露防御、員工培訓(xùn)以及其他安全工具等)。

最后一個例子：你應(yīng)該要使用傳統(tǒng)防火墻嗎?防火墻允許網(wǎng)絡(luò)或主機(jī)阻止預(yù)定義或未經(jīng)授權(quán)的網(wǎng)絡(luò)嘗試。幾十年來，它們已經(jīng)證明了自己的耐力和價值。如今，傳統(tǒng)防火墻能夠阻止的攻擊只占非常非常小的一部分。

如今，傳統(tǒng)防火墻僅用于防止未修補(bǔ)或配置錯誤的系統(tǒng)。如果你沒有這些問題，那么你可能就不需要傳統(tǒng)的防火墻。據(jù)我所知，一些非常大型且擁有大規(guī)模入站互聯(lián)網(wǎng)流量的組織都已經(jīng)不再使用防火墻。因?yàn)榉阑饓^度放緩整體流量，且根本無法提供足夠的價值。

總而言之，更夠讓你更安全的安全機(jī)制并不一定是正確的，且適合你的工具。這可能是因?yàn)閷?shí)施該工具的成本可能過于昂貴，超出你的承受能力，或是有其他更便宜且能夠提供相同防護(hù)水平的產(chǎn)品代替;亦或者它面臨的威脅確實(shí)不存在(至少目前還沒有)。人生就是一系列安全評估，就食物傳播疾病或快車致命而言，我們常常會選擇為了一些利益而忍受非常嚴(yán)重的潛在后果，因?yàn)槲覀儾幌矚g完全安全所要付出的代價。