Roger Grimes

區(qū)塊鏈供應(yīng)商正在大力宣傳該技術(shù)，將其作為很多安全問題和其他問題的解決方案。然而，企業(yè)在趕時髦之前應(yīng)考慮一下成本和其他可選方案。

在我的收件箱里，每天都有10到30封來自善意公關(guān)人員的郵件，他們想要推銷自己、客戶或者其客戶的產(chǎn)品。每星期我會打開很少的幾封郵件，讀一讀，也許會有一兩封讓我想深入下去。這要遠(yuǎn)遠(yuǎn)少于我的推特和專欄。

大部分公關(guān)宣傳的問題是，他們的宣傳大同小異：云、勒索軟件，等等。如今，流行趨勢似乎是人工智能、比特幣和區(qū)塊鏈。有時候，公關(guān)宣傳做得異想天開，把流行的技術(shù)詞匯吹上了天，讓我哈哈大笑。

下面舉一個公關(guān)宣傳的例子。

“跳過鯊魚”這種宣傳，公關(guān)人員暗示區(qū)塊鏈可能會使得美國最近更集中地召回大腸桿菌污染的生菜和雞蛋。這太難能可貴了。我會永遠(yuǎn)記住公關(guān)人員的名字，但原因并不是他們喜歡我。

區(qū)塊鏈并非萬能工具

建筑師、工匠和業(yè)余愛好者都知道，合適的工具能夠讓困難的情況變得容易一些。同樣的道理，同樣的工具并不能適用于所有的情況。區(qū)塊鏈?zhǔn)且豁?xiàng)偉大的數(shù)字發(fā)明，如果應(yīng)用于正確的領(lǐng)域，將會改變世界。

它并不是適用于所有數(shù)字安全情形的工具。是的，區(qū)塊鏈可能會改善食源性疾病問題的召回，但代價(jià)是什么呢？建立包括所有供應(yīng)商、分銷商和相關(guān)人員的國家體系會帶來高昂的成本，這是否值得付出努力和費(fèi)用呢？可能不值得，即使有疾病威脅，冒生命危險(xiǎn)。

區(qū)塊鏈的基本組成部分，不過是一個分布式交易賬本，每一筆交易都與其他交易以加密的方式綁定在一起。這涉及到完整性，而不是密碼。定義并應(yīng)用的密碼算法使得很難偽造交易，這樣，相關(guān)方也不能很容易地進(jìn)行驗(yàn)證。這是一個簡單但革命性的概念。

2017年初，《哈佛商業(yè)評論》指出，區(qū)塊鏈?zhǔn)且环N基礎(chǔ)性的技術(shù)，因此“有可能為我們的經(jīng)濟(jì)和社會系統(tǒng)創(chuàng)造新基礎(chǔ)?！?017年1月，《世界經(jīng)濟(jì)論壇》的報(bào)告預(yù)測，到2025年，全球GDP的10%將來源于區(qū)塊鏈或者區(qū)塊鏈相關(guān)技術(shù)。如果你還不知道區(qū)塊鏈，那現(xiàn)在就應(yīng)該開始了解它了。

但這并不意味著所有可能應(yīng)用區(qū)塊鏈的地方都應(yīng)該采用它。只有當(dāng)一群人之間的交易需要有很強(qiáng)的完整性，并且在特定的保護(hù)場景中所花費(fèi)的成本（包括價(jià)值、時間和最佳使用資源）不超過以下因素時才應(yīng)該考慮區(qū)塊鏈：

● 付出或者帶來的必要保護(hù)的能力

● 可提供同樣或者更多保護(hù)的另一種方法的成本

● 潛在的損失可能是由于沒有使用它而造成的

我可能忘記了一些，但這些是關(guān)鍵的要求。如果滿足了這些要求，那么區(qū)塊鏈可能是所需要的解決方案。

區(qū)塊鏈的成本與效益對比

舉個例子，讓我們想一想?yún)^(qū)塊鏈用來保護(hù)我們免受食源性疾病的侵害。當(dāng)然，拯救一個人的生命是不惜任何代價(jià)的，是嗎？事實(shí)證明，不是這樣。在幾乎所有的保護(hù)場景中，我們總是把價(jià)格標(biāo)簽貼在人的生命上。

我們知道駕駛汽車每年會殺死成千上萬的人，但我們卻一直讓人們以非?？斓乃俣锐{駛危險(xiǎn)的汽車。我們知道，如果我們把汽車速度限制在每小時5英里，用笨重的橡膠造車，那么就會很少有人死亡，但是如果我們用腿跑步就能超過汽車，誰還會愿意去開車呢。因此，人們做出了權(quán)衡，我們認(rèn)可每年有相當(dāng)多的意外死亡，來換取更快地駕駛危險(xiǎn)的汽車。我們一直在努力讓駕駛更安全，但我們很難保證使其安全到不會有人死亡。因?yàn)檫@樣做并不值得。

那么問題就變成了在特定場景中人的生命值多少錢？我們一直在做這些決定。

如果我們將其應(yīng)用到食源性疾病，我們會付出多少才能防止更多的人因受污染的食品而得病和死亡？ 據(jù)美國疾病控制中心估計(jì)，美國每年都有大約4800萬人患上食源性疾病，造成12.8萬人住院，3000人死亡。這可能比你想象得有更多的人因?yàn)槭称范『退劳?。我認(rèn)為是這樣，幾十年來一直都是如此。在幫助對抗與食品有關(guān)的疾病方面，投入的資金顯著減少，但與食品有關(guān)的疾病發(fā)病率正在緩慢降低。

因此，每年有數(shù)百萬人生病，成千上萬的人死亡，而我們只是慢慢地做了一些事情。當(dāng)然，我們所有人都會愿意付出更多，讓人們盡量不因?yàn)槭称范貌?。但具體付出多少呢？人們是否愿意為我們的食品付出雙倍的價(jià)錢，從而讓我們不容易生病呢？三倍？還是四倍？

答案是，人們可能甚至不會接受上漲25%。食品價(jià)格稍微上漲一點(diǎn)，人們就會瘋狂。要實(shí)施區(qū)塊鏈，即使不付出數(shù)萬億美元，至少也是數(shù)十億美元。

在一個集中式的區(qū)塊鏈系統(tǒng)中，要想按照設(shè)定的方式全面跟蹤食品，則要求所有的收割設(shè)備、農(nóng)場、供銷社、物流方和商店買家參與進(jìn)來。他們都需要新的計(jì)算機(jī)系統(tǒng)和新軟件。我們農(nóng)業(yè)系統(tǒng)的很多領(lǐng)域都不使用計(jì)算機(jī)，或者其使用計(jì)算機(jī)的方式使得其不可能馬上引入?yún)^(qū)塊鏈。

更直接更容易的問題是：真的需要區(qū)塊鏈來提供全面的保護(hù)嗎？當(dāng)然，食品鏈可以從中受益，但真的需要區(qū)塊鏈提供的強(qiáng)大但是相對昂貴的全面保護(hù)嗎？或者一個普通的國家數(shù)據(jù)庫就足夠了？恢復(fù)到州這一級和疾病預(yù)防控制中心曾經(jīng)的籌資水平是否就足夠了？

可能會。

目前食品供應(yīng)跟蹤的問題不在于我們的食品跟蹤數(shù)據(jù)庫不夠完整，而是因?yàn)槲覀兏緵]有太多的東西，整個生產(chǎn)和分銷鏈上都是這樣。這并不是說，我們要讓很多生產(chǎn)商和經(jīng)銷商進(jìn)入現(xiàn)有的數(shù)據(jù)庫，改變條目以避免受到指責(zé)和起訴。

問題是，我們的整個系統(tǒng)并沒有進(jìn)行基本食品追蹤所需的系統(tǒng)，而且我們沒有足夠的調(diào)查人員去追蹤罪犯。即使把區(qū)塊鏈完美地放到食品系統(tǒng)中，也不太可能減少生病的人數(shù)，至少在解決資金問題之前不會。

在其他安全機(jī)制上應(yīng)用區(qū)塊鏈

我自己差點(diǎn)就難堪了。我討論了很多關(guān)于預(yù)防食源性疾病的問題，其實(shí)我是想說清楚任何人都應(yīng)該了解計(jì)算機(jī)安全場景，正如我提到的以上的要求。在首先弄清楚安全解決方案能否真正解決問題之后（因?yàn)榇蠖鄶?shù)解決方案并不能很好地解決他們銷售人員所提出的問題），第二個最重要的問題是，是否真的需要，以及會付出什么代價(jià)。

把我的想法應(yīng)用到RFID防盜錢包上。RFID防盜錢包應(yīng)該能夠保護(hù)你，阻止小偷窺探你未受保護(hù)的錢包中的信用卡。提供RFID保護(hù)功能的供應(yīng)商想說服你——你需要保護(hù)，因?yàn)橛锌赡艹霈F(xiàn)犯罪活動。

如果你注意一下我的要求，會發(fā)現(xiàn)犯罪發(fā)生的可能性是很重要的。到目前為止，還從來沒有出現(xiàn)過RFID犯罪案件被受保護(hù)的錢包阻止的案例。因此，任何超過0美元的投資都是不明智的。

另一個例子：很多企業(yè)數(shù)據(jù)泄露事件都與社會工程攻擊密切相關(guān)。據(jù)2018年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告，所有數(shù)據(jù)泄露事件中的93%涉及到社會工程攻擊。這不是廣告軟件。這不是在某人桌面上彈出的惡意軟件程序，在干壞事之前被防病毒軟件刪除。這是值得報(bào)告的數(shù)據(jù)泄露事件，導(dǎo)致進(jìn)行取證調(diào)查，很有可能需要非常大的資金和資源應(yīng)對支出。所以，無論你做什么來阻止可能的威脅，都是有道理的。你必須得決定花多少錢，怎么花（例如，網(wǎng)關(guān)過濾器，數(shù)據(jù)泄漏預(yù)防、教育和其他工具）。

最后一個例子。你應(yīng)該使用傳統(tǒng)的防火墻嗎？采用防火墻，網(wǎng)絡(luò)和主機(jī)能夠阻止預(yù)定義或者未經(jīng)授權(quán)的網(wǎng)絡(luò)入侵。幾十年來，其能力和價(jià)值早已被證明了。如今，傳統(tǒng)防火墻所阻止的攻擊只占了很小、很小的比例。

傳統(tǒng)的防火墻只用于保護(hù)沒有打補(bǔ)丁或者配置不當(dāng)?shù)南到y(tǒng)。如果你沒有這方面的問題，那么也許你不需要傳統(tǒng)的防火墻。我知道很多非常、非常龐大的企業(yè)，其互聯(lián)網(wǎng)入站流量大到難以想象，但他們已經(jīng)不再使用防火墻了。因?yàn)榉阑饓Υ蠓冉档土藬?shù)據(jù)流速度，價(jià)值不高。

可以這么說，只是因?yàn)榘踩珯C(jī)制可以讓你更安全，但這并不意味著它就是合適的工具。可能是因?yàn)閷?shí)施工具太昂貴，或者可能是所面臨的威脅根本不存在（至少目前還沒有）。生命是一系列的安全評估標(biāo)準(zhǔn)，就像食源性疾病和快速行駛的汽車一樣，我們經(jīng)常學(xué)會在可能導(dǎo)致非常嚴(yán)重后果的環(huán)境中生活——因?yàn)槲覀儾辉敢鉃橥耆陌踩冻鲞^高的代價(jià)。

發(fā)給我區(qū)塊鏈/食物傳播疾病的公關(guān)人員讓我笑了，我回復(fù)郵件說不。幸運(yùn)的是，他們對我的回答很寬容，我們建立了新關(guān)系。因此，在這個意義上，公關(guān)人員可能已經(jīng)達(dá)到了他們的目的。

Roger Grimes自2005年以來一直擔(dān)任安全專欄作家，持有40多個計(jì)算機(jī)證書，并撰寫了10本計(jì)算機(jī)安全方面的書籍。

原文網(wǎng)址

https：//www.csoonline.com/article/3269236/blockchain/why-blockchain-isn-t-always-the-answer.html