明确如何给人们带来安全 Bruce Schneier对安全剧院的新观点

安全专家Bruce Schneier 毫无疑问是行业里最具智慧和洞察力的专业人士。这不但是因为他在密码学方面的贡献，而且因为他在这一领域出版过多部优秀的相关书籍。

和很多聪明人一样， Schneier 也很顽固。虽然他在技术上的观点我没有什么可否认的，但是在非技术领域，他的一些观点确实有悖于我。

比如 Schneier杜撰了一个叫做"Security Theater" 的术语来描述在没有明显改善安全措施的情况下让用户感到更安全的方法。

这是个伟大的定义。Security Theater确实存在。但是Schneier 却将其全盘否定了。没错，911之后机场安检更加严格了，给旅客带来的不便远大于劫机犯。虽然以往劫机事件很少，但是仍有可能发生，安检严格后，劫机情况更少了，但是还是会发生。如果没有了安检，那么估计也没有人愿意坐飞机了。
在本周的RSA大会上， Schneier 根据自己Web网站上的文章"安全性心里."进行了 "可调和性安全" 的讲话。

我认为他的观点很好，尤其体现了Schneier近年来在非技术问题上的思考日趋成熟。

最明显的是，他明确解释了Security Theater的目的。当人们在理应得到安全保障的环境中得不到应有的保障，他们就开始产生不良的决定，比如避免乘坐航空交通工具，虽然航空器在其它所有交通工具中具有最高的安全系数。Security Theater可以带回人们对安全性的认可，并引导人们回复正常的判断和行为。
Security Theater 也不是十全十美的。它只是某种欺骗行为，并不是问题的最佳解决方案。另外它还有很多其它问题。比如 在Schneier演讲后的问答时间里，有听众表示，如果使用Security Theater让民众对某种威胁感到安心后，一旦威胁状况恶化，可能会导致民众更大的不安全感。

Schneier在他的文章中增加了第三个变量。除了事实和感觉外，我们还建立了安全分析的概念模型。不管模型多么理性，我们的感觉总是变化的。虽然听众里有人问及，是否我们不该只考虑事实和模型，我想我们必须成人感觉和模型在功能上的不同，因此我们必须将其独立看待。比如，我们对模型的表述和分析，要比表述感情来的简单的多。

但是实际上，我们如何决断安全问题则是取决于一个重要问题，安全专家是在真正解决安全问题，还是在让人们觉得更安全？不幸的是，这个问题太难回答了。这取决于谁在支付安全专家们的薪水，他们期待什么，以及期待的合理性。在一种极端的情况下，也许安全专家们希望努力实现安全性，但实际上的需求则是提供一个让大家感到安全的产品而已。

另外在大会中还有一个点跟我有关的小插曲。Schneier在讲1982 Tylenol危机 时，最后使用了显示窃启包装作为例子。同时他打开了一瓶大会组织者提供的饮料。在我看来，他并没有意识到这两者的关系，于是我提醒了他。他接受了我的提醒，表示现在防窃启的瓶盖已经深入我们的生活，以至于我们都不再去留意它了。

这种防窃启的盖子对我们的实际安全来说并没有起到什么作用，但是却可以让我们在饮用一瓶从未见过面的饮料时，感到安全。 如果是以前的老Bruce Schneier，肯定会说这种瓶盖不是好东西，而现在的Bruce Schneier，我觉得已经在心理学对安全行为的影响上有了一定的研究，今后的研究肯定会有更大的成就。