快生活 - 生活常识大全

安全产品设计之美绝不是滔滔江水


  "美就是美,真即美",这是我们所有人在世上所知道的和需要知道的。
  ————《希腊古瓮颂》,约翰 济慈
  从上世纪90年代的DOS模式下杀毒软件简单实用的命令参数模式,到今天从终端到应用的五花八门各种安全软件。安全软件的产品设计,对许多程序员和广大计算机爱好者来说,似乎不是一个特别热门的话题,绝对不会有手机安全或者一个智能汽车安全性缺陷讨论来的热烈。
  回顾自己进入信息安全行业20年的短暂生涯,安全软件的产品设计的深入研究也是从2006后随着终端安全和"安全最后一公里"的提法的热潮兴起才进入自己的视野。而在此之前关注的,除了功能就是性能,毕竟,安全如刀剑,杀伤和防御能力是第一元素。以往的安全产品评测中,似乎也很少见到提及此方面的评测案例。
  但是360的兴起和其对国内安全产业和互联网市场的攻城略地,的确让我开始换位思考其中引发的诸多问题和背后的原因,抛开老生常谈的江湖恩怨,开始关注其中的安全产品设计要素。我也希望现有安全产品厂商,包括未来的潜在安全新秀,应该开始重视此方面的问题,而不是仅仅将其看为软件的界面和美工。
  在我的职业生涯中,这样的观念改变还出现在对国内木马工具的分析上。许多用于黑产的产品工具技术上谈不上多大的突破,但在产品设计中却是相当的极致,以致如今国外也有不少"爱好者"非常喜欢国内做的小工具。
  安全产品的设计,在今天这个用户体验第一,得屌丝者得天下的时代,随着"泛安全"的兴起,安全产品的使用者和体验者早已超出了专业用户的范畴,"互联网入口"的商业模式的驾轻就熟,以及黑色产业链的持续扩张和离散式的复杂化,使得各大互联网巨头和新兴力量如今谁也不敢轻易忽视安全体验带给他们的冲击。
  在我看来,安全产品的设计,特别是面向最终用户的设计,首先必须将冷冰冰的功能表现方式变得轻松而简单,将其与现实世界的安全体验更直接的联动起来并充分借鉴,类似"体检"、"诊断"的表达去替代安全扫描就是这样的转变。如同今天你面对智能家电,绝不会向一个DIY发烧友或者传统硬件极客一样,摊开一堆电路板和连接线,让其充分享受加工才能使用的过程。而是如同越来越智能化的汽车,就像《2012世界末日》黑老大对着飞机里的豪车那样轻声说:启动,千万不要将之鄙视为傻瓜化的思维,千方百计找出其可能存在的缺陷,用苛刻挑剔的安全风险辨证观点去左右产品本身的设计。正如黑客总是无数次刷掉苹果的系统,甚至比赛快速地突破IPhone5S的指纹识别,但实际并改变不了其忠实的粉丝更新换代的欲望,只会增加其产品在媒体和传播中的曝光率。
  安全产品的设计,还在于对安全流程的简化或者重新组合交互方式,增加对最终用户的直接交互,减少中间环节。传统的安全产品,比如令我印象深刻的是早期接触CheckPoint的防火墙产品,在90年代后期的感觉是为之惊艳,这个评价来自其复杂专业的策略配置,纯粹的软件方式。但其特别复杂的授权方式,比如必须上网通过其网站输入一些如用户IP的信息激活形成序列号的方式,迅速被国内外代理商充分发挥而造假,欺骗用户提供信息而将一个产品利用checkpoint网站管理中心(一般只有代理商才有权限而不会向用户移交产品账号)改IP的方式重复销售谋取暴利和灰色收入。直到大约2004年后随着互联网经济的热潮与普及,用户安全动手能力的提高才开始被许多用户开始发觉而减少,但此时,JUNNIPER等国内外硬件防火墙的快速成长迅速挤占分享了CheckPoint的先发优势,CheckPoint在中国市场当时取名"查克炮",一个伟大的安全产品被一群利欲熏心不懂技术的商人玩弄于股掌,以致在渠道内成了调侃的笑料。
  图:俄罗斯黑客大会上"破解门锁"的体验展台上,俄罗斯美女都不禁心有戚戚
  安全产品的设计,结果的呈现同样重要,许多安全产品的宣传页绞尽心智归纳总结,总能包装出各种安全概念,比如"防水墙"、智能网关、UTM、网闸。但实际的结果呈现中,在过去对于非专业用户来说,总是一大堆带着专业术语的各种日志。虽然现实里,根本没有足够好、足够快、足够廉价或者足够安全的概念。但是用户如果花钱请个保镖,保镖只会告诉将自己的装备和手段拆成摊开成一堆螺丝和指标参数,请用户自行裁量决策,哪个用户不会抓狂?当然我不是鼓励安全产品设计者因此就要胡编乱照采用忽悠小白的做法来瞒天过海,但的确要考虑什么样的结果呈现有利于用户认识产品的优势和取得的效果,的确绝对是非常非常关键的要素,这其中唯有的标准是简单简介是第一视觉,当然你可以同时提供复杂的证据来辅助这简单后的强大数据。
网站目录投稿:灵儿