freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

我想把电脑学会,但我发现根本学不会怎么办?
2019-11-27 16:09:14

小学四年级,我爸把我送去暑期“电脑培训班”。那会儿的电脑培训班就教 DOS、Windows 3.x 的操作。那时候我对信息技术的各层分工是没有概念的,总体目标就一个,就是“把电脑学会”,至于学会什么:谁能说的清楚?现在总结其实就是学操作系统的使用方法(还有如何使用 WPS)。

不过我的这个目标没变过,就是“把电脑学会”,虽然我不知道要学会什么,但总之就是要学会。初高中花了 6 年看各种信息技术书刊杂志,构建起一个大致的轮廓:这东西在我长大以前,好像是没办法学会了,因为太多了。我觉得能花 6 年建立起一个“多”的概念也不容易了。

1.jpg

大学期间接触简单的 web 开发和网络架构,自己还做了一家网站,但我觉得这些根本就没什么,我明明还是什么都不会。大学毕业后学网络工程(交换与路由),认认真真把思科四本很厚的教程从头到尾看完,习题一道不拉地完成,拿到证了。学习前我就在想:花这么多钱考试,这回总应该能把电脑学会了吧?结果我发现,行业内的破认证一大堆,还有什么系统工程师、软件工程师,这师那师的。四本书都掌握了,结果还跟文盲一样...所以工作间隙相对系统地学了一门高级语言,知道了什么函数、结构体......问题是,我觉得自己仍然是文盲,我好像还是毛都不会,我捉急啊。

那时候我就觉得,这辈子我恐怕是学不会电脑了,毕竟大学也不是学计算机专业:所以完全没有看过学科概论之类的东西。到二十好几了,无聊翻到《计算机科学概论》,这本书相对系统地给出了一些信息技术行业不同层级的概念;并且看《大话处理器》这种更具体的趣味读本,才逐渐发现,这个行业的分工之细密,远非我这种智商正常人士可想。

其实我在 FreeBuf 工作期间,我真正知道了什么叫“垂直”。FreeBuf 是国内一家信息安全(cyber security)媒体,所以它垂直到什么程度呢?就是覆盖上至云安全、应用安全(比如 Android app 安全)、web 安全,中至系统安全、hypervisor 安全、中间件安全、网络安全(network security),下至芯片安全、通讯安全、XX 安全。如果按照场景来分类,其实还可作移动安全、企业安全、汽车安全什么的。这大概是没有一个通才能够全盘把控的了吧。

没有人能跟上这个时代

我还在 FreeBuf 的时候,信息安全仍然是个新兴行业。我们在做某些课题或行业研究的时候,并没有多少可借鉴的现成资料,而且做生产的企业也不肯给。那么在很多主题的研究上是处在一个盲人摸象、摸着石头过河的状态的。这个时候,没有一个人会告诉我,这件事你做对了或者这个方向你搞错了。在“研究”得出任何结论时,我们都无法搞清楚是否遗漏了什么重要变量,而且也没有人会告诉我们,因为系统太复杂又太新了。

几年前我采访时任 HackerOne COO 的王宁博士[1]。HackerOne 是美国一家从事漏洞托管服务工作的公司。王宁博士自己上世纪 80 年代念的物理学,并且随后在美国藤校深造了物理方向的宇宙学,而且她的研究方向是暗物质。我在采访中问了很多有关她博士期间的课题研究(毕竟我是个任性的人,花了一大半时间跟她聊物理,而不是聊信息安全),她研究的是Weakly Interacting Massive Particals粒子。

我觉得我从她那里获取到最有价值的一个信息是:当我们进行一些新领域的研究时,没有人能告诉你做得对不对,我们甚至连研究方法对不对都无法搞清楚。她说她在做博士论文的时候,下结论前非常害怕,因为她总觉得自己一定有什么变量没有考虑进去,生怕研究结论存在十分巨大的偏差,并且对行业产生很错误的导向。但她又说,不要害怕,因为我们能力都是有限的。

知乎上有很多从事软件、硬件、网络、成像、安全等各层面工作的工程师关注我,所以我在发言时会格外谨慎,生怕哪句话发出来就贻笑大方了。不过我后来逐渐发现,这种担忧其实十分多余,因为大部分人即便参与生产,他能懂的专业领域也不会跨超过 2 个,能跨到 3 个细分领域的——那已经可以被视作天才了。就算对着一名全栈工程师,我在 web 架构上大放厥词,他甚至都没办法找出什么大把柄。

当计算机行业,或者说信息技术、电子科技行业发展到现如今这个阶段时,随分工的细密化,以及技术的飞速发展,已经没有某一个人能够跟上时代的节奏。这个是最近参加 FreeBuf 的 CIS 2019 网络安全创新大会,微软中国首席技术官韦青说的。他说:“这个时代里,每个人都只摸到了大象的一部分,当我们以为我们能找到答案的时候,反而会感到愈加迷茫。如果我们能够意识到我们都在盲人摸象,反而心态更能沉下来。”

我想,这里的“答案”对我而言,就是“把电脑学会”吧,所以啊,我这辈子大概都没办法达成这个目标了。

2.jpg

这是个软件定义一切的时代

韦青在佐证信息技术的外延不断扩展这个话题时,提到了一点,就是越来越多的东西被“软件定义”。感觉我最近写了很多“软件定义”的文章,或者至少在文章里都有提到软件定义。“我们在IT领域的都知道,IT架构中早就有了云化、虚拟化。其实质也就是把单点计算能力,虚拟化之后做平均化使用。但现在可不只是IT领域存在这种状况。”

前一阵参考麦肯锡的报告,我写了一篇文章《构建一个时代:汽车电子与软件架构的10大趋势预测》[2]。这篇报告大部分其实都是废话,不过有一个趋势提到了在汽车电子的软件架构中,会出现扩展的中间件对底层硬件做进一步抽象和虚拟。实际上,现有汽车的 ECU 就能够实现车内跨单元通讯,而未来的中间件则能够链接域控制器。它最终能够实现的是分布式计算,以及 SOA(service-oriented architecture),协力 ADAS、HAD 之类的东西。

这段不需要看懂,继续听我说。更早我在参加 5G 相关的活动时[3],研究 5G 网络架构布局变化了解到,C-RAN(中心化 RAN)诞生以后,BBU(基带处理单元)就集中到了一个中心机房,而且 BBU 本身开始转往 NFV 网络功能虚拟化,以及 SDN 软件定义网络技术。其实说白了,“软件定义”也就是说硬件可以采用更通用的架构,功能实现就用软件来区分就可以了。就类似于你用 PC 的通用架构做个游戏机,这肯定是没问题的,在 Windows 操作系统上搭个你自己的游戏平台 app 即可——这样一来,软件定义游戏机就诞生了。上面一段提到的汽车中间件抽象,本质与此类似,上层应用和下层硬件实现了进一步的脱藕。

“5G 通讯革新的,甚至都不是通讯技术本身,而是对数字化、软件化的使用能力,大家谈的都是 SDN,通讯的单点能力受限,所以需要虚拟化来实现硬件资源的平均。”这是韦青说的,“不光是通讯,制造行业其实也在做软件定义。”

前几天我才写了 NI(美国国家仪器)测试测量方案的软件定义[4](虽然人家其实从上世纪六七十年代开始就一直就在走这个路子),我们在现场看到一个通用的硬件架构实现三种完全不同的卫星测试功能,我比较孤陋寡闻,因为以前没有接触过测试测量行业,这会儿才知道原来测试测量仪器现在都这么搞了。

我其实还可以拿出更多的例子来说明(只要我参加更多会O_o),这个时代开始越来越倾向于“软件定义一切”(SDX),这种定义不限于信息技术本身——这个不是我说的,是韦青说的。我不是专家,说了不算。

3.jpg

一个高级的数字复刻版世界

说上面这么多有什么用呢?其核心如果我们配合数字化来看,或者说万物互联,一个桌子、凳子将来都数字化了,都有了传说中的 digital twin——我们现在特别流行说 digital twin,行业内很时兴把它翻译成“数字孪生”。我觉得“孪生”多用于形容词,比如孪生的双胞胎,它表征名词实在不雅,所以我更倾向于用“数字复刻版”来翻译这个词。

就是桌子、椅子这些真实世界的实体,也有了自己的数字复刻版,在数字世界有一个自己的复刻版本。这里又要提我前不久写的另一篇文章了(讨厌不讨厌?),《西门子与AI技术,为Mentor带来了什么?》[5],我觉得现在最喜欢提数字复刻版的就是西门子和 Mentor。

我们仔细想一想,什么是 digtal twin 啊?其实芯片 EDA 行业每天都在搞 digital twin。EDA 的本质就是在你的芯片正式生产以前,我用软件(或者更多硬件仿真)的方法,给你先跑一遍,看看能不能跑——这不就是典型的先做个实体芯片的 digital twin 吗?这一点扩展到机械制造,也就变成了现在很流行的“智能制造”或者“智慧工厂”,针对生产环境做个 digital twin,包括产品、生产流程、生产绩效的 digital twin。有了 digital twin,我就能在数字世界模拟你这套生产流程有什么问题,或者未来可能出现什么问题。

Digital twin 在我的理解中实际上是“数字化”的某种高级阶段(这一点欢迎参见《电子工程专辑》12 月刊封面故事,没错也是我写的),就好像《黑镜》第四季的《DJ 下台》那样,现实世界以后什么东西都可以用数字来事先演练一遍,多可怕......韦青说,以后不管是物理还是流程对象,都会在 cyber(也就是数字世界)产生一个定义,再由软件去定义和优化它,“所以都会数字化、虚拟化进行软件定义”,那么一切其实都是调用功能,“就变成一个服务了”。

什么意思呢?就是说,如今的计算机行业,或者说得流行点叫数字世界,已经发生了极大的外延,你身边的一切实体物件最终都是要被数字化的。这对于整个信息技术垂直行业而言,是个巨大的机遇。不过其实说穿了,上面这一大堆的核心都是“万物互联”,只不过它看起来更高级。

当数字世界彻底侵蚀现实世界,并且双方边界都不再清晰,同时虚拟现实技术有非常高端的发展(不止是 VR 头盔,也可能是生物植入技术)你能想到有哪些事情会发生吗?除了《黑镜》,可设想的科幻影视剧探讨其实很多样。包括马斯克的 NeuroLink 脑机结合技术若有深入发展[6,参考本文的最后一个段落],则人类可能要进入一个新纪元了——大概是通过电子技术来满足人类各种心理需求的时代,咱就不深入说了。

4.jpg

信息安全行业的转折点

最后终于还是要说一说信息安全了。在集成融合的时代,什么 IT/CT/OT/BT 融合了,且在数字世界外延发生变化,数字与现实边界不再清晰的时候,就信息安全来看,以后可不只是在电脑上杀个毒这么简单。这种融合和数字化实际上涉及到了多行业,包括我在前文提到的制造、通讯,甚至对于生物安全的理解,那么“安全”其实就扩展到了过去不曾有过的范围内。

“未来的安全就不光是信息安全了。”以场景的角度来看,可能是“交通安全、城市安全、医疗安全”等等。

其实我在信息安全行业呆的一年多,一直在听各路安全公司讲一个概念,就是“将安全融入到开发环节中去”。我一直觉得这概念是反人类的,那些做 app 开发的人,根本不会理你:老板催我赶紧把 app 上架呢,你要我每个环节都检查安全问题?你不仅浪费我的时间,而且老板也看不到产出,我 KPI 不达标,你安全工程师付我工资吗?

在传统数字产品的开发上,几乎所有做产品的公司大概都是我提的这种想法。而且,人类的历史一路走来,从来都是先发展再治理:套用到这里,安全这种毫无实际产出,还妨碍效率的东西一定是靠边站的。可能在以往的某些领域,比如金融,毕竟是关乎钱财的,咱还稍微在意点儿安全。比如支付宝在安全方面就投了大把的钱。而在其他领域,大家照样看不上安全,这是个常态。信息安全行业从业人员的所谓“安全融入到开发环节中去”只能成为一个美好的梦。

但是!But!xikaxi!!!现在情况还真是不大一样了,比如说汽车电子化,每辆车 1、2 亿行软件代码在里面跑,如果安全出了问题,方向盘或者制动系统被劫持了,那人就挂了。一旦涉及到大规模的人身安全时,一切社会资源就来了。这时,信息安全就真正和人身安全挂钩了。前不久我去参加是德科技的活动,他们在宣传中已经开始大谈“汽车网络安全测试”了[7]——这其实也是个必然趋势。

是德科技相关负责人开玩笑这么说的:“很多汽车企业老板半夜做梦都吓醒,客户开着自己的车,刹车系统、方向盘被劫持,第二天公司就被告倒闭了。”这件事现在其实还没有显现出威力。而且我从是德科技那里了解到一点:整车厂、Tier 1零部件厂一般都会成立一个团队,专门研究汽车安全问题,很多整车厂的安全部门都有自己的database,其中加入了所有已知的攻击。

而且的而且,汽车架构的每个组成部分都有自己的安全测试方案,比如辅助驾驶、引擎、娱乐系统,都是企业内部不同的人在处理安全问题,这其实是非常典型的“安全融入到开发环节中去”的初期实现。与此同时,自己做了安全测试,还要让是第三方测试测量企业再去搞一遍安全问题。

其实在汽车之外,IoT 产品未来的安全性是更令人担忧的。尤其是很多医疗设备,汽车在人身安全的问题上可能都只是件小事。如果出现一两例的汽车电子系统被劫持,固件升级和召回可能都是常规方案。但一个**起搏器,以及各种植入式医疗设备,在 IoT 演化之路上出现安全问题,要怎么召回呢?而且这个问题实际上正在发生,我在以前的文章里提过,参见文末给出的这一堆链接。

5.jpg

所以实际上我在说什么呢?就是“安全融入到开发环节中”未来会真正在我前文第 2、3 段提到的趋势过后,成为一种必然落实到位的方案,因为软件定义一切,而且数字与现实世界的边界模糊了,与此同时数字世界的安全问题开始大量关乎人身安全。这其实是信息安全这个行业提升价值天花板的重要转折点。

最后一点,如果你有在仔细看文章,你应该要问本文的第 1 段有什么用。那就是,在这个盲人摸象的时代,既然我都学不会电脑,你、我也根本无法凭借一己之力来解决安全问题,甚至各种开发的问题。于是,“协力同行”会成为一个必选项。不止是安全企业间的协力,也不只是不同层级安全解决方案的协力,而是所有企业一起,就算你不做安全你也要开始在意这个问题了——因为没有一个人或者一个企业单枪匹马能解决这么复杂的问题。

不过韦青看得比我远得多,他认为,在面对这样一个时代,“安全融入到开发环节中去”都还不够,因为这句话只涉及到了技术人员。而要解决这些趋势造成的安全问题,技术人员的能力也还差得远呢。“安全的社会、安全的网络、安全的信息,不止是信息部门的事,而是大家的事。广大市民安全意识要培养,工种需要提升对于安全的认识。”“所以不光是技术,还需要意识、素质的极大提高。”有没有感觉特别老生常谈?像中学生守则。不过在上述趋势面前,这些大概还都会在未来成真呢,不过我觉得那还早。

参见本文提到的所有,我写的文章:

[1] 开源的理念做安全:FreeBuf与HackerOne COO王宁对谈安全众测

https://www.freebuf.com/articles/people/132072.html)

[2]构建一个时代:汽车电子与软件架构的10大趋势预测

https://www.eet-china.com/news/201911181213.html)

[3]从RFSoC说起,5G对赛灵思而言意味着什么?

https://www.eet-china.com/news/201907040921.html)

[4]NI的“软件定义自动化测试测量”策略,价值在哪里?

https://www.eet-china.com/news/201911261410.html)

[5]西门子与AI技术,为Mentor带来了什么?

https://www.eet-china.com/news/201909101537.html)

[6]马斯克的脑机接口技术,让世界变黑客帝国?你想多了

马斯克的脑机接口技术,让世界变黑客帝国?你想多了-电子工程专辑

[7]当汽车被黑客攻击成为常态,当汽车网络安全测试初露头角

https://www.eet-china.com/news/201910111520.html)

# 网络安全 # 极客
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者