網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗。既然是對抗，就有對手，既然有對手，就有動機和謀略，至于對手為達到某一目的所采用的具體方法，則是非常多變的了。

很多人還沒有真正認識到網(wǎng)絡(luò)安全的這一特點。在網(wǎng)絡(luò)安全對抗中，完全局限于具體技術(shù)方法層面的兵來將擋，就會始終陷于被動；忽略對手主觀能動性的特點，認為存在某種可以一勞永逸解決問題的“銀子彈”，則早晚會吃大虧。網(wǎng)絡(luò)安全工作中更需要的不是自然科學規(guī)律，而是孫子兵法。我們不但需要了解對手的各種攻擊技術(shù)，更需要理解“白開心”、“淘黑金”、“純小偷”和“大玩家”們的不同。

技術(shù)和環(huán)境的變化會徹底改變攻防戰(zhàn)法與安全態(tài)勢。在今天全球高度互聯(lián)的信息社會下，任何一個小的產(chǎn)品或者系統(tǒng)，都開放在全球不同動機的攻擊者面前。這些產(chǎn)品或系統(tǒng)的任何一個設(shè)計漏洞、管理員或用戶的任何一個不當使用或者疏忽，都可能被某個角落里的攻擊者所利用，用于竊取隱私、盜竊金錢、甚至殺人越貨。唯一的問題就是，你會不會成為目標，以及什么時候成為目標。如果心存僥幸覺得自己永遠不會是目標，那就大錯特錯了：每個人都有很高的可能成為達成最終目標所利用的對象（你可能要為此而承擔一些責任），每個人都有更高的可能“城門失火、殃及池魚”—因為關(guān)鍵基礎(chǔ)設(shè)施受到攻擊而損害自己的利益或安全。

因此，鴕鳥思想是非常要不得的。禁止研究某個系統(tǒng)或者產(chǎn)品的漏洞缺陷，不能讓安全防護方盡量多盡量早地發(fā)現(xiàn)問題和消除隱患，得益的是不受本國法律管轄的世界其他地方的攻擊者（本國境內(nèi)的違法者當然也是受益者，總之就是便宜了壞人）；通過封閉研發(fā)的方式，寄希望于攻擊者不知道系統(tǒng)是怎么實現(xiàn)的從而無法攻擊，同樣是十分脆弱和危險的，因為對這種保密的效果自己是無從知曉的，從而可能導致自己覺得安全實際早已被人掌握的安全假象。而且只要系統(tǒng)投入使用，攻擊者就可以開始研究找到攻擊方法，而封閉研發(fā)欠缺真正的攻防考驗，往往更加脆弱；以為找過“權(quán)威”隊伍進行過安全檢查、符合強制的安全標準就可以高枕無憂了，這是忘記了攻擊者的方法可能不是從“權(quán)威”那里學的，長期實戰(zhàn)的攻擊者的能力也不見得比所謂的“權(quán)威”隊伍低；等等。

“是騾子是馬，拉出來遛遛”，這是網(wǎng)絡(luò)安全能力檢驗的一條基本思路。追求實效的安全競賽，就是這一思想的重要踐行。“XP挑戰(zhàn)賽”中，主流XP安全防護產(chǎn)品直接面對全社會的研究人員的挑戰(zhàn)，很多廠商從中找到了改進產(chǎn)品的新方法，持續(xù)下去的話，這些產(chǎn)品就會在不斷的錘煉中成為真正的強者；“GeekPwn”、“XCTF”等比賽，則是通過社會研究人員尋找更多產(chǎn)品的安全問題、通過實戰(zhàn)對抗培養(yǎng)和發(fā)現(xiàn)實戰(zhàn)人才的重要活動。這些做法，也是國際上通行的最佳實踐。我們需要的是改變觀念、完善規(guī)則和機制，讓我們的網(wǎng)絡(luò)安全能力不斷得到實實在在的提升。