人們總是喜歡談論一些相同的東西，談多了也就成了所謂的“熱門”、“流行語”，當然，安全行業也不例外。說到現在的熱門話題無非是云、勒索軟件等等，而現在的流行語似乎是人工智能(AI)、比特幣以及區塊鏈等。

[[228526]]

說到區塊鏈有多熱，這里有數據為證!根據瞻博網絡(Juniper Research)提供的數據顯示，每10家大公司之中就有6家公司要么正在積極考慮部署區塊鏈技術，要么已經在行動當中。而在那些已經達到概念驗證階段的公司里，有三分之二(66%)預計到2018年年底時會把區塊鏈整合到自家系統當中。

人們常常將區塊鏈作為大多數問題的答案，原因之一就在于，我們很容易想象出區塊鏈技術的高級用例。但是事實上，區塊鏈并非適用于所有場景。

區塊鏈并非適用于所有情況

所有建筑師、工匠或是業余愛好者應該都明白這樣一個道理，選擇合適的工具能夠使困難的問題變得更加容易解決。同樣的道理，沒有哪一種工具能夠解決所有的問題。我們不得不承認，區塊鏈是一項偉大的數字發明，如果能夠應用在正確的領域，將會對整個世界帶來非凡改變。

但是，要記住的是，它并非適用于所有數字安全場景，沒錯，區塊鏈可能會改善食源性疾病(通過攝食進入人體內的各種致病因子引起的、通常具有感染性質或中毒性質的一類疾病)，但是其成本是多少呢?與每個提供商、分銷商和相關人員建立一個國家系統所付出的努力和代價是否值得?可能并不值得，即便是人類的生命存在威脅。

在其基本組件中，區塊鏈僅僅是一個交易分類帳本，每筆交易都與其他所有交易密切相關。這是一個關于完整性而不是加密的問題。定義和應用的加密算法使得以非易事的方式偽造交易變得十分困難?？梢哉f，區塊鏈是一個簡單而又富有革命性的概念。

2017年初，《哈佛商業評論》認為區塊鏈是一項基礎技術，因此“有可能為我們的經濟和社會系統創造新的基礎”。 2017年1月的世界經濟論壇報告預測，到2025年，全球GDP的10%將存儲在區塊鏈或區塊鏈相關技術上。如果你不了解區塊鏈，你可能需要開始了解它了。

但這并不意味著所有可以應用區塊鏈技術的東西都應該應用它。研究顯示，能夠從區塊鏈中受益最多的項目應該具備以下特點：對交易透明度和完整性有需求;當前依賴傳統存儲系統;需要傳輸大量信息。此外，應用區塊鏈技術還需要考慮成本問題，確保特定保護方案的成本(包括價值、時間以及最佳資源利用)不會超出其所產生的收益。

區塊鏈成本與收益

舉例說明，2017年9月，外媒報道稱，都樂，Driscolls，泰森食品、沃爾瑪、聯合利華、克羅格和雀巢正在與IBM合作開發能應用于食品供應系統的區塊鏈技術以阻止食源性疾病的大規模爆發。

當污染事件發生，傳統模式下是通過Excel臺帳或者中心化的數據庫來記錄食品流轉信息。如果中間環節出現問題，比如記錄遺漏、參錯，企業可能需要幾天甚至幾周的時間來追蹤感染源，并召回相應的產品。

而利用區塊鏈，供應鏈流程可以做到完全透明、可追溯，從食品鏈條的任一點都可以快速定位到源頭。當然，拯救人命是值得耗費大量財力的，對嗎?但是其實也許并非如此。在每一種保護場景中，我們習慣將價格標簽置于人命之上，來衡量值不值得。

我們都知道駕駛汽車每年會造成數以萬計的人員傷亡，但是我們還是不斷地追求車輛行駛速度;我們都知道，如果將車輛限速在5英里每小時，然后用笨重的橡膠材料制造輪胎，那么傷亡人數就會減少很多。但是如果連人腿都跑不過，誰還需要駕車呢?所以，社會已經采取了一個折衷做法，用每年一定數量的意外死亡來換取更快地駕駛速度追求。我們一直期待讓駕駛變得更加安全，不再有人因為駕駛汽車而死亡，但是如果代價是5英里每小時，以及糟糕至極的駕駛體驗，我想這樣根本不值得。

那么現在問題就變成，在一個特定場景中一條人命究竟值多少錢呢?如果現在我們將區塊鏈技術應用于防止食源性疾病，我們將需要花費多少努力才能阻止更多的人因感染有毒食物而生病或死亡呢?據美國疾病控制中心估計，美國每年都有大約4800萬人患有食源性疾病，造成128,000人住院，3000人死亡。這些數字可能比你所能想象的因食物而生病和死亡的人數要多。

現實是，每年都會有數百萬人因食物而生病，數千人因食物而死亡。當然，我們每個人都愿意支付更多的東西來降低這種食源性疾病的感染率，但是您愿意支付的具體數額是多少呢?社會又是否愿意支付雙倍的費用來降低這種患病的可能性?三倍呢?四倍呢?

答案是人們連25%的價格上漲都接受不了，一位農名表示，即便是糧食價格上漲一點，世界都可能會陷入瘋狂。而實施區塊鏈技術需要花費多少成本呢?即便是用不了一萬億美元，也至少需要數十億美元。

為了充分跟蹤食品動態，需要在中心化區塊鏈系統中與每個食品采集設備、農場、加工商、運輸商以及商店買家建立聯系，他們每個環節都需要配置新的計算機系統和軟件。事實上，很多農場工人根本不會使用計算機，更別說突然引入區塊鏈技術了。

接下來又會引發一系列問題：是否真的有必要部署區塊鏈來提供足夠的保護水平?當然，食品鏈能夠從中獲益，但是它真的需要區塊鏈這樣強大而又相對昂貴的技術來提供防護嗎?或者一個普通國家的數據庫是不是就已經足夠了呢?

如今的食品供應跟蹤問題并不是我們的食品跟蹤數據沒有足夠的完整性，而是我們沒有在整個系統中進行基本食物追蹤所需的系統，而且我們沒有足夠的調查人員來追究違法者。即使您將區塊鏈完美地引入食品系統，它可能也不會降低食源性疾病的感染率，至少在您解決資金問題之前不會。

而且，在實際的商業推廣過程中，區塊鏈食品溯源進程的推廣也存在不少的掣肘。首先是區塊鏈可以處理的信息量是有限的，目前來看底層協議性能處理普遍還不佳，如以太坊每秒25個左右的交易量也讓人詬病。其次是對于上鏈信息的真實性問題，有一部分完美主義者持不同意見。另外，不同平臺間的溯源技術和標準不同可能會導致商品溯源普及進展緩慢等等。

將區塊鏈應用于其他安全機制

為了表達上述觀點，我參考過很多有關預防食源性疾病的言論，但是我的目的不是為了否定而否定，我希望在確認任何一項安全解決方案時，首先要弄清楚該解決方案能否真正地解決問題(因為大多數解決方案不具備廣告宣傳中的功效)，然后，第二個最為關鍵的問題是即便該方法真的有效，但是你有部署它的必要嗎?實際部署又要花費多少成本?

現在就把我的這種想法應用于RFID阻擋((RFID blocking))錢包中進行驗證。我們都知道，現在銀行卡都是RFID卡比較多，通過設備可以讀取并破解，為了防止通過設備讀取錢包里面的卡的信息，這種錢包便應運而生。提供RFID保護技術的供應商會說服你，你需要保護，不然可能會受到侵害。

但是，如果你回顧我的第一條要求——即弄清楚該解決方案能否真正地解決問題——會發現，到目為止，從未有過一起記錄在案的RFID犯罪活動被RFID阻擋錢包成功阻止的案例。對于這種根本不起效用的投入，都是不明智的投資。

另一個例子：社會工程手段是造成大多數企業數據泄露的最主要原因。根據2018年《Verizon數據泄露調查報告》顯示，93%的數據泄露涉及社會工程。社會工程不是廣告軟件，也不是會在桌面上彈出的惡意軟件程序，能夠在執行某些操作之前就被殺毒軟件查殺。這種威脅造成的數據泄露可能會為企業帶來不可估量的經濟和名譽損失，所以，無論你采取何種措施來降低這種威脅都是合理的。你只需要決定需要在哪些方面投入多少資金即可(例如，網關過濾器、數據泄露防御、員工培訓以及其他安全工具等)。

最后一個例子：你應該要使用傳統防火墻嗎?防火墻允許網絡或主機阻止預定義或未經授權的網絡嘗試。幾十年來，它們已經證明了自己的耐力和價值。如今，傳統防火墻能夠阻止的攻擊只占非常非常小的一部分。

如今，傳統防火墻僅用于防止未修補或配置錯誤的系統。如果你沒有這些問題，那么你可能就不需要傳統的防火墻。據我所知，一些非常大型且擁有大規模入站互聯網流量的組織都已經不再使用防火墻。因為防火墻會過度放緩整體流量，且根本無法提供足夠的價值。

總而言之，更夠讓你更安全的安全機制并不一定是正確的，且適合你的工具。這可能是因為實施該工具的成本可能過于昂貴，超出你的承受能力，或是有其他更便宜且能夠提供相同防護水平的產品代替;亦或者它面臨的威脅確實不存在(至少目前還沒有)。人生就是一系列安全評估，就食物傳播疾病或快車致命而言，我們常常會選擇為了一些利益而忍受非常嚴重的潛在后果，因為我們不喜歡完全安全所要付出的代價。