今日计算机架构：从被动防御到主动出击的破局

自首个计算机蠕虫出现，恶意软件利用漏洞的威胁从未停歇。近期WannaCry勒索软件、物联网僵尸网络DNS攻击等事件更让我们警醒：依赖“事后补救”的被动防御，已无法应对日益隐蔽的攻击。本文提出，计算机架构需转向「默认禁用」的主动安全逻辑，从根源切断攻击路径。

被动防御的两大死穴

当前主流防御模式是「监控接口+识别已知攻击签名」——比如杀毒软件扫描病毒特征、防火墙过滤恶意流量。但这种“亡羊补牢”的方式存在致命缺陷：

1. 零日攻击无计可施：只有已知攻击才有对应签名，新漏洞（零日）出现时，防御完全失效；

2. 资源消耗难以为继：监控需要大量计算资源，嵌入式系统（缺算力）、高I/O系统（数据过载）根本无法支撑。

主动安全：用「默认禁用」锁死攻击入口

主动安全的核心逻辑是：限制“任意代码执行”的权限——攻击者的本质是利用“运行未知代码”的能力劫持系统，而「默认禁用」（除非明确授权，否则禁止执行）正是切断这一入口的关键。

这类系统早已落地：

1. 定制逻辑电路（硬编码/验证比特流）：功能无法修改；

2. 配备硬件监视器的处理器：跟踪执行并与预定义、验证的模式进行比较；

3. 强化操作系统：限制功能减少攻击面；

4. “封闭式花园”：控制允许运行的应用。

它们对零日攻击同样有效——因为从根源限制了系统操作空间，大幅降低攻击者的可乘之机。

「自由」与「安全」不必二选一

有人担心：「默认禁用」会牺牲“运行任意代码的自由”？其实无需焦虑：

1. 大多数用户不编写代码，只需使用现成应用——「选择应用的自由」已平衡安全与便利；

2. 主动安全不等同于单一授权：可像证书机构一样，允许多个实体为可信代码签名，用户不会被单一授权者绑定。

互联网的启示：根本性转变可行

主动安全需要重构系统架构，这很难？互联网的发展已给出答案：

最初互联网是「默认允许任意流量」，但商业普及后安全问题凸显。而软件定义网络（SDN）的出现，让网络回到「默认禁用+集中授权」——新连接需经控制器批准才能建立。尽管与原始设计相悖，但数据中心和运营商仍热情部署，因为它带来了更可控的环境。

未来：从「允许」到「禁止」的转向

全球互联的今天，计算机系统与有价值的信息、物理资源深度绑定，攻击成本越来越低。我们需从「默认允许任意代码执行」转向「默认禁用，授权后执行」：

1. 代价：新增代码需额外授权流程；

2. 收益：可防御所有已知/未知攻击，比被动防御更可靠。

最终问题留给行业：放弃“运行任意代码的便利”，换得更安全的数字环境，是否值得？