在IT这个领域,没有什么比“安全”这个概念更深入人心的了。不管是企业级的复杂网络环境还是个人弄个电脑来玩玩,无一不把安全二字挂在嘴边。企业的IT部门的人满世界的打听安全产品的性能 、个人收个电子邮件也会问“你那个东西没病毒吧…”,看起来热闹得很。仿佛这个IT就是为了“安全”而存在的。前一阵子先是“熊猫烧香”接着是金山跟“灰鸽子”口水大战,更是让人们对那些做坏事的行为(制作病毒)深恶痛绝,再次把信息安全这根弦绷紧。这种局面确实对安全厂商的市场有利呀!
曾经,我也为“一分钟倒计时重启”束手无策,也为清除nimda通宵达旦,无数的光阴耗在与病毒的对抗之中,烦不甚烦。手工清毒,买单机版杀毒软件、网络版杀毒软件,硬件防火墙甚至还考虑买防病毒网关,但结果都不太理想。累得半死还是很被动,问题在哪里呢?放眼整个互联网,一些机构不惜血本,购买大量的安全产品重装上阵—什么入侵检测、用户验证系统、防火墙、防病毒网关等等—但病毒一来,该中毒的还中毒。这不,熊猫烧香不是把各大安全厂商弄得灰头土脸?!不过,我们的安全厂商早练就了一身“事后诸葛”的高强本领。用户就是不明白,我花了那么大的代价,怎么还是要遭殃呢?相信有此种疑问的不在少数。
天下熙熙,皆为利来,天下攘攘,皆为利往,一切漂亮的幌子都是也谋取经济利益为目的,更有甚者,其推销手法犹如王婆卖瓜,十分可笑。诚然,病毒、黑客非法行为等问题确实威胁着互连网的安全,这是必须时刻留意和防范的,但也没有想象的那么恐怖。这个问题倒是与人生有些相似:人活着难免生病,生病可能导致死亡,但人活着的主要目的不是生病,同样,IT也不是为了安全这个目的而存在的。单拿信息安全这个问题来讨论,什么是信息安全?系统正常运行,硬盘突然损坏导致服务终断;下雨使机器浸水而不能访问,这些算不算安全问题?现在,我们偏要把问题狭义化,好象只有恶意的、非授权的访问等少数行径定义为安全问题,想必,这应该不是真相。
那么,IT存在的本质是什么呢?个人认为,它的本质应该是高效、平稳地运行,俗一点的讲法就是让它好好的活着,尽管它有时难免生病。IT保障活动是全局的,全方面的;安全问题只是一个极小的一部分,要把它硬生生的狭义化和孤立出来,无异于本末倒置毫无效果。因此,我们必须从全局保障的角度出发,把安全放在一个相对重要的位置,来保证整个IT环境的正常运营。那种全国人民都缺钙的鼓吹方式可以休也!
http://www.hacker.cn/News/xtaq/2007-5-15/07515101895185F8C2KD7BHDHJE6.shtml