网络安全是一个社会性、政策性与复杂性问题

网络安全是一个社会和政策问题，而非科学或技术问题。网络安全也是一个“棘手问题”（wicked problem）。在1973年的一篇里程碑文章《规划一般理论中的困境》中，城市规划师Horst W. J. Rittel和Melvin M. Webber用以下术语描述了棘手问题：

“寻找应对社会政策问题的科学基础注定会失败，因为这些问题的性质使然。它们是‘棘手’问题，而科学已发展用于处理‘驯服’问题。政策问题无法被明确描述。此外，在多元社会中，不存在无可争议的公共利益；没有公平的客观定义；应对社会问题的政策无法有意义地判断对错；除非首先施加严格限制，否则谈论社会问题的‘最优解决方案’毫无意义。更糟糕的是，不存在明确和客观答案意义上的‘解决方案’。”

其他棘手问题包括气候变化、走私和核武器。不存在“完美的新常态”，因为网络安全没有“解决方案”。引用Marcus Ranum在2007年9月《信息安全杂志》中的话：“未来会更安全吗？它将尽可能不安全，同时继续运行。就像今天一样。”

澳大利亚政府一份题为《应对棘手问题：公共政策视角》的报告提出，缓解棘手问题有三种策略：权威性、竞争性和协作性。类似地，网络安全可能需要这三种策略的某种组合。

总之，我的适度新常态是：任何评论网络安全的人都会认识到，这是一个无法“解决”的棘手问题，但可以通过数十年的时间，利用多学科的专业知识和方法来缓解，其中技术专长是最不重要的。

如果非要提供新常态的技术要素，我提出“内置可见性”作为一个原则。资产所有者需要了解其数字资源如何被使用和滥用，任何提供计算资源的人都应包含实现这一目标所需的日志记录和访问权限。

*我在硬盘上发现了这份标注日期为2020年6月1日的笔记，并决定今天发布它。