毫不奇怪，在各种各样的黑客攻击、破解和网络入侵占据了头条新闻之后，各国**和企业纷纷呼吁增加对“网络安全”的投资。这个词已经被用来形容美国两项有争议的立法，这是一个定义不清的包罗万象的词，指的是一个科技含量丰富、高度网络化的世界中微妙的问题。

也许更重要的是，网络安全也缺乏有意义的数字来代表这些威胁，这使得软件安全供应商的工作——那些从这些新发现的恐惧中获利的供应商——变得更加容易。

本月早些时候，公共利益组织ProPublica透露，大量引用的网络犯罪成本估算是捏造的，或者是从2009年的报告中慷慨推断出来的。这些分别来自赛门铁克（Symantec）和迈克菲（McAfee）的报告估计，美国企业每年因网络犯罪损失2500亿美元，全球损失达1万亿美元。

但正如ProPublica在与这些报告的主要撰稿人交谈后发现的那样，后者的统计数据完全没有出现在论文中，而前者仍然神秘地没有来源。普渡大学的尤金·斯帕福德（Eugene Spafford）是一位撰稿人，他说，当1万亿美元的数字开始出现在新闻报道中时，他“真的有点震惊”。剑桥大学（Cambridge University）的特约顾问罗斯•安德森（Ross Anderson）也发表了类似的评论，他说：“这个数字的智力素质还不到令人深恶痛绝的地步。”

FUD仍然是安全供应商销售工具包中最有效的工具

看到这种错误信息渗透到最高级别的**，突显了对信息安全采取务实做法的必要性。但是，即使没有虚假的数字在政治回音室里弹来弹去，FUD（恐惧、不确定性和怀疑）仍然是安全供应商销售工具中最有效的工具。

从某种意义上说，FUD的力量来自于这样一个事实：像Stuxnet这样的网络威胁——在伊朗核设施中发现的破坏离心机的美以攻击病毒——促成了这样一个引人入胜的故事。从网站漏洞到**发起的恶意软件攻击，再到Mat Honan关于数字生活被黑客摧毁的警示故事，很明显，计算机安全已经成为一个非常引人注目的话题，它引发了无数公司、**和个人的深深恐惧。

CSO Salted Hash博客的比尔•布伦纳（Bill Brennar）指出，他经常观察到独立安全研究人员对网络威胁的看法与供应商和记者对网络威胁的报道方式之间的差异，他写道，根据自己的经验，“当公关方法过于夸张时，同样的新闻报道也会随之而来，尤其是来自更主流的媒体。”

Brennar就Flame恶意软件发布了一封来自此类无良供应商的choice电子邮件，以说明实用的网络防御策略是如何被公关噪音所掩盖的：

Hi Bill,

It reads like an Avenger comic book or the next Bond film. Bigger than Stuxnet! Highly sophisticated! Predominantly used in data theft and cyber espionage! The widespread proliferation of malware infected systems and the toolkits hackers need to complete their latest espionage is indeed insidious.

(the vendor) is a recognized leader in providing soluti*** to defend against Advanced Persistent Threats (APTs). In order to address Flame, Deep Content Inspection (DCI) is a new approach to data inspection that incorporates thorough ****ysis that must be employed into the network. I wanted to connect you with (the vendor's CEO) as a resource to discuss the cause and effects of this malware. What is your availability to discuss the significance of Flame and how it could be avoided?

工业驱动的轰动效应过剩出现在一个关键时刻，许多人似乎最终同意，过去十年的****机制正在产生递减的回报。Unisys最近进行的一项调查（也是FUD的一个主要例子）发现，美国人现在更担心的是网络威胁，而不是与恐怖主义有关的国土安全问题。而且，由于网络安全已经符合各国**的长期利益，投资者也一直在押注Unisys和McAfee等网络防御公司，就像他们在9/11事件后押注现实世界的同行一样。

“很难说我们在安全方面处于什么样的位置，或者说缺乏安全方面的精确性。”

对**来说，最大的卖点是保护“关键基础设施”，即控制水和电网等设施的系统。在美国，这在很大程度上源于（具有讽刺意味的是）**害怕在自己使用Stuxnet和Flame等尖端网络武器后遭到报复。然而，制定应对这些威胁的战略是很棘手的，因为在“网络安全”问题上，不可能总是有可操作的数据集。

海军犯罪调查局（NCIS）的网络分析员肯尼思·吉尔斯（Kenneth Geers）说：“很难准确地说出我们在安全方面处于什么位置，或者缺乏安全。”在****的背景下，很难对每件事都赋予美元价值。”

尽管吉尔斯坚持认为这些威胁不可掉以轻心，但他也质疑各国**开始出手是否谨慎。

“我认为很明显，（对关键基础设施的破坏）是一个真正的风险，”Geers上周在电话中对Verge说但我不知道我们应该对此有多担心，直到我们在现实世界中看到更多的演示或概念证明。”

一些分析人士对“网络战”这个词避而不谈，但吉尔斯认为这是一个合适的，如果有点笨重的隐喻未来会发生什么。他最近在Def-Con的演讲通过孙子的世界著名的战术圣经《孙子兵法》探讨了网络防御。

“尽管这些系统很脆弱，但我们将来可能会看到某种军备控制。”

不过，他说，涉及各国“相互关灯”的情况需要做大量工作，涉及的附带损害也非常大，以至于各国**可能只会同意将它们排除在外。”他说：“我认为，尽管这些系统很脆弱，但未来我们可能会看到某种形式的军备控制。”换言之，可能是20国集团（G20）齐聚一堂，说‘看，金融业、关键基础设施……这些是我们不会触及的领域’。”

然而，国会议员们并没有冒任何风险。在参议院和众议院，新的立法旨在通过为**机构实施更智能的操作标准来加强网络防御。但在这一过程中，他们还违反了隐私法，允许**和企业在不承担责任的情况下共享个人的私人数据，只要交易所援引了“网络安全”。

这就是网络安全这个可延展的定义的问题所在，作者兼活动家科里·多克托罗说，随着这个词在**各个部门的传播，公民们会很好地加以监督。

“这里的‘告诉’是，没有人会告诉你什么是网络安全。”

“我认为，这里的‘告诉’是，没有人会告诉你什么是网络安全，”他告诉我们，在拉斯维加斯炎热的defcon外您的“网络”无法通过添加“网络安全”来提高安全性。”

多克托罗也认为，现在的计算机网络肯定存在重大风险，“但**的网络安全倡议没有任何意义。例如，**的一项举措，旨在确保移动设备不会向未经授权的各方泄露信息——这将非常有用。但说我们要让移动设备更安全并不意味着什么。”

他描述了安全网络的两个不同定义：一个是真正安全的网络，其中私有数据可以保持私有；另一个是通过允许**访问和监控网络上的所有内容而变得“安全”。

他说：“如果你是****局的人，你认为在AT&T的主干上安装一个分束器并阻塞所有的流量是相称的、有效的和合法的，那么对你来说，一个安全的移动网络就是这样的：每一次点击、每一个信号、每一次握手、每一件事情都被传输到母舰上，这样每个人都能‘更安全’。”。

格尔斯也认为，各国**在如何利用网络安全方面应保持谨慎。”“我不认为威胁已经上升到我们需要采取任何严厉措施的程度，”他说，理由是需要保护隐私和公民权利但如果网络卫士正在为当地社区提供供水或供电等基础设施，那么现在就开始考虑如何将国家级的专业知识交给他们。”

“我希望看到一个关于网络安全的合法讨论——我认为我们没有得到这个。”

有趣的是，隐私并不是这些网络安全法案（CISPA和2012年网络安全法案）现在都被推迟到明年的原因。相反，这是由于美国商会（uschamberofcommerce）和其他机构对企业在遵守新标准时将面临的经济负担的担忧。

“从我的角度来看，当我的**不向****局或其他实体泄露信息时，我的**会更加安全，”Doctorow断言因此，我希望看到合法的网络安全和有关网络安全的合法讨论——我不认为我们得到了这一点。”