网络安全：一个社会性、政策性与棘手难题

网络安全是一个社会和政策问题，而非科学或技术问题。网络安全也是一个"棘手问题"。在1973年具有里程碑意义的文章《规划一般理论中的困境》中，城市规划师霍斯特·J·里特尔和梅尔文·M·韦伯这样描述棘手问题：

“寻找应对社会政策问题的科学基础注定会失败，因为这些问题具有特殊性。它们是’棘手’问题，而科学是为处理’驯服’问题而发展的。政策问题无法被明确描述。此外，在多元社会中，不存在无可争议的公共利益；没有公平的客观定义；应对社会问题的政策不能有意义地判断对错；除非首先施加严格限定条件，否则谈论社会问题的’最优解决方案’毫无意义。更糟糕的是，不存在明确客观答案意义上的’解决方案’。”

其他棘手问题包括气候变化、走私和核武器。不存在"完美的新常态"，因为网络安全没有"解决方案"。引用马库斯·拉努姆在2007年9月《信息安全杂志》中的话：“未来会更安全吗？它将尽可能不安全，同时继续运行。就像今天一样。”

澳大利亚政府一份题为《应对棘手问题：公共政策视角》的报告提出了三种缓解棘手问题的策略：权威性、竞争性和协作性。类似地，网络安全很可能需要这三种策略的某种组合。

总之，我提出的适度新常态是：任何评论网络安全的人都应认识到这是一个无法"解决"的棘手问题，但可以通过数十年的时间，运用多学科的专业知识和方法来缓解，其中技术专长是最不重要的。

如果非要提供新常态的技术要素，我提出"内置可见性"作为一项原则。资产所有者需要了解其数字资源如何被使用和滥用，任何提供计算资源的人都应包含实现这一目标所需的日志记录和访问权限。

*我在硬盘上发现了这份标注2020年6月1日的笔记，决定今天发布。