编者按：

下面是一篇ZDNet对防火墙之父Marcus J. Ranum的采访，采访中比较引起我们注意的一点，是Marcus J. Ranum对于黑白名单的看法。他认为，IT部门既然肩负着为公司寻找有用的IT工具，就应该准确的将用户需要的需求交付，这里“准确”的含义，是指IT策略应该规定终端电脑上可以运行的软件，而不只是单单禁止其他软件的运行，即采用“白名单”而不是“黑名单”，这样可以大大减少未知的安全风险。

按照成熟的IT管理理念，终端设备与软件就应该是被严格规范的，基于业务需要的公私分明的工具，像Marcus J. Ranum所说的，如果你只需要用到邮件程序、文档处理工具，那么你只能使用这些工具。但目前在中国，类似的成熟而严格的IT管理规范并没有广泛的应用，Marcus J. Ranum的观点为IT规范性管理指出了一个改进的方向。

来源：ZDNet

Marcus J. Ranum是IT安全领域全球知名的专家和创新者，在行业内备受赞誉。二十年前，他设计并创建了 Digital Equipment Corporation’s (DEC) Secure External Access Link，即很多人所认识的第一款商业防火墙产品。

他曾经担任过多家知名企业的首席安全主管，并曾经负责管理白宫的电子邮件系统。他曾经为财富500强中的多家企业提供过安全咨询服务。Ranum目前居住在宾夕法尼亚州的一个远离城市和宽带网络的农场里。他很希望看到IT安全领域的战争结束，即使这意味着安全行业消失。

近日，Ranum接受了ZDNet的专访，与大家分享安全领域所面临的问题。

您为什么会加入信息安全行业?您最感兴趣的是什么?

其实我进入这个行业是很偶然的，那时候我在DEC的老板Fred Avolio让我负责公司的一个互联网网关，并让我“建立一个像Brian Reid 和 Bill Cheswick那样的防火墙”。20年后的今天，我觉得我还是在继续这个项目。老实说，我没在计算机安全行业发现什么有趣的事情，一旦你理解了策略的问题，剩下的就是花大量精力关注细节。

我在安全领域发现的最有趣的事情，大概就是有关于人们面对安全问题时的反应：他们总是想尽量安全的去做那些很危险的事情，而当你告诉他们这样做不可以的时候，他们通常都很愤怒。所以在我看来，整个行业就是一面是希望和努力，另一面是愤世嫉俗和无知，这两者之间的博弈。

您认为目前信息安全领域最普遍的问题是什么?该怎么解决呢?

信息安全领域最常见的一个问题也是我们从来没有去过多关注的，就是在终端系统上实现可靠的软件(安全性也是属于可靠性的)。这包含了操作系统设计和编码的可靠性，目前这两个方面的趋势是反向发展的。因此，也就出现了目前流行的“云计算”，即将主框架虚拟化：承认了目前终端设备具有很差的管理性能以及不可靠性，将数据和处理过程交由更好的数据维护机构去维护和管理，确保数据的可靠性，并降低IT部门的成本。

当然，这只是痴人说梦。为什么呢，因为令我们的终端系统出现不可靠性的因素同样出现在建立云服务的过程中。

那么该怎么去解决这个问题呢?重申一下，这个趋势的发展方向是错误的，而解决之道需要先进的技术管理模式，通过适度的投标需求，良好的软件工程，以及严谨的工作态度，而不是只考虑投标价格最低的供应商。这样整个趋势才可能自己修复。

我们需要做的就是全力关注可靠性，即包括品质在内的各种内容。

您并不赞赏黑名单模式，但是业界很多公司都在经营基于黑名单的安全产品，并且相当成功。您能解释一下您为什么不看好黑名单模式，以及您是否认为未来白名单将占统治地位?如果白名单成为主流，那么安全行业的收入状况将发生什么样的变化?

不是这样的，我本人是黑名单模式的大粉丝!这是一个非常重要的技术!只不过这个技术并没有回答广大用户的一个疑问，即“这个软件到底好不好?”。黑名单是用来鉴定某个内容的最佳技术，因为它不但可以回答“这货是坏的吗?”这个问题，还能告诉我们“这货到底是神马?”这非常符合人性的特点，即想对自己接触到的东西进行确认。这就是基于特征码的入侵检测/预防系统以及基于特征码的杀毒软件能得到广大用户支持的原因。这个技术很好理解，实现起来也很容易，并且可以持续不断的销售升级版本的特征库。

当你听说像Symantec这样的大公司都说黑名单不灵光的时候，我觉得这就是一个很重要的信号了，而目前安全软件行业的大部分厂商还是停留在有盈利就万事OK的阶段。目前行业中存在一个趋势，即建立一个基于云的完全混合的黑名单，这似乎是可以得到不少用户的信赖和认可，但是从长远看，这种动态黑名单也不会比现在的静态黑名单强多少。这里我所述的强弱是指“帮助客户解决恶意软件问题”，如果你的意思是指“帮助杀毒软件厂商解决他们自身的财务问题”，那我肯定会说，这个动态黑名单非常有效，并且在相当长一段时间内都会让这些厂商眉开眼笑。

另外，我还问过很多IT经理相同的问题：“你为什么要给客户一台电脑?如果你知道客户为什么想要一台电脑，为什么你不将电脑设置成只能执行客户所需的那几种功能，而其它功能一概不能执行。”这里所说的其它功能，包括比如“加入僵尸网络散发垃圾邮件”。我一直很困惑，为什么很多IT经理都说很难知道客户的电脑中到底运行了多少软件。我认为这是IT部门分内的事情。如果我的公司给我配了一台电脑，让我能够收发电邮，编辑公司的文档，那么应该很清楚的知道我电脑里应该会有一些文本编辑工具或办公套件，以及一个电子邮件客户端程序，能让我顺利收发电子邮件，除此以外，应该就不会有别的程序了。有一段时间，我觉得那些强大的智能手机上运行的软件商店是一个很不错的实现软件管理的方式，完全可用于桌面电脑系统，帮助提高系统的安全水平。但是后来我发现软件店成为了黑客的首选目标，软件店里的软件成为了黑客散布病毒的最佳载体。

因此，你还是需要一个黑名单系统，这样你就可以告诉某人：“你刚刚要安装的那个软件叫做 Stuxnet”，这很不错，而且很有用。但是你更需要的是白名单，因为这样才能体现出你到底想要你的电脑做些什么。我们可以拿一个防火墙策略来说明这个问题，传统的策略无非是默认拒绝和默认通过这两种。安全意识高的用户一般选择默认拒绝，而那些选择默认通过的用户，就要花很多时间来处理各种意外情况。二者的差别相当明显。

至于安全行业收入的问题，谁又会在意呢?就好像没有人会在意内燃机的出现对蒸汽机行业的冲击一样。事实上，我觉得如果有一天我们都能从安全威胁中解放出来，把安全工具扔到一边说“没问题了，我们编个游戏玩吧!”，那简直就太好了。不管你信不信，在防火墙行业刚起步的时候，我还打算把全部安全所需的产品开发出来呢，那时候觉得无外乎就是基于策略的访问控制，离线认证，点到点加密以及提高这些软件的品质。而到了90年代末期，疯子掌管了疯人院，于是结果就不言自明了。