为何制造恐慌作为策略 受到安全销售人员追捧

　　在本月的首席信息官杂志上，布鲁斯·施奈尔发表了有史以来最好的一个专题。“怎样销售安全”，就如何进行销售进行了常规的讨论。并对为什么计算机安全公司不能消除安全方面的恐惧进行了分析：

　　安全提供者 …总是不断地对他们产品的效果进行限制。这就是你经常看到的标语的基本信息，“我们提供安全，你可以专注于自己的事业”;或者是精心设计的投资回报率模型演示购买安全可以如何有利可图。但实际上这些是没有用处。安全销售依靠的是负面效应。

　　一种解决方案就是引起恐惧。作为一种原始的情感，恐惧比我们进行交易的能力有更长的历史。当人们真正地陷入恐惧的时间，他们很愿意做几乎任何事情以让这种感觉消失;大量来自心理学的研究支持这个论点。所有的防盗报警器推销员都会告诉你，人们只是在自己或者邻居之一被盗窃后，才会购买防盗报警器。由于九一一带来的恐惧，以及环境的变化，催生专业反恐行业。当人们被情感所控制，是否合理已经不是被关注的问题了。

　　(不要只了解文章的摘录。到这里阅读整个文章。)

　　在此之前，我也曾写过相关内容的文章(从2005年2月以来，安全产业的策略就是让你感到恐惧)，这个观点还是事实。施奈尔在这篇文章里没有提及的一件事是，这个心理可以为安全厂商提供了强大的经济诱因，它们寻找所有的东西，并发出声音。如果没有任何声音的话，你可能会愤怒，只要让你知道，它们正在工作就可以了。正如我观察到的相矛盾的情况是，在真实的世界中，出现问题忽略它在经济上好处更大：

　　乔伊可能有非常好的感觉，因为软件告诉他受到了相关的保护，即使所谓攻击的可能性非常微小。供应商不知不觉中给乔伊灌输的思想是，“给我更多的警告，这样就可以让我感觉到自己受到了完全的保护，我购买软件的钱花得就是物有所值。”如果他有更好的安全工具，可能就会发现即将断开的连接没有问题，并不必发出警告。

　　这是完全错误的。保证计算机的安全需要多个层次的合作，大部分的威胁在用户看到之前就应该被阻止或瓦解。收到大量的警告只能说明有一个层次的安全工具存在问题。但是，今天的安全软件发展情况却恰恰相反。

　　澳大利亚安全厂商PCTools最新的研究报告显示，上星期我写的“揭开无懈可击-操作系统的神话就是一个展示技术极端的完美例子”。按照研究报告的数据显示，可以得出相当明显的结论：WindowsVista操作系统的安全性与其前任相比有了很大的改善，但这并不意味着它能防范所有的威胁。因此，你需要包括从用户培训到最新的防病毒工具在内广泛多层次的安全战略。

　　正如施奈尔指出，真正的麻烦在于我们在安全问题上很难采用完全理性的态度。相反的是，我们经常屈服于恐惧：“我的天哪(ZOMG)、病毒!特洛伊木马!Cookies!”。这种反应导致安全厂商拼命扩大其产品范围(这样就可以收取额外的费用)。也是我为什么经常从同时运行五个单独安全工具的人们那里收到电子邮件。它们包括了两个配套的反间谍软件工具、防病毒软件、防火墙和Voodoo软件的一个额外工具。

　　我觉得这样太疯狂了。对于安全的认识存在了很大的区别。过分的安全是似乎是不明智的，完全得不到保障也不是可行的。找到正确的平衡点，是需要一点点额外的工作，正如施奈尔指出：“你不能屈服于头脑中的偏见。你要了解它，找到更好的机会克服它。”就是这样。

　　因此，你觉得自己该采用什么样的安全策略?