许多公司都在研发先进的安全技术。对于信息安全而言,IT世界仍然信奉技术至上的准则,这就为以信息为基础的机构带来了安全规划问题。
客户忘记了一点:保护技术最好与它们要保护的基础架构同样可靠和“有弹性”,不能修复出现问题的基础架构引发了对安全产品能力的怀疑。在现有复杂性的基础上增添更多的复杂性不会使保护程度得到提高,而只是给了人们一个保护程度提高的错觉。
在帮助构建了软件产业的同时,软件许可条款使得软件厂商无需为它们产品引发的问题承担任何法律和信誉责任,它们对厂商提供了其它行业中罕见的保护。很显然的是,高科技产业是唯一一个厂商无需为其产品的设计或制造问题承担应有责任的产业。
容忍和使用不负责任的厂商推出的“足够好”的产品已经成为被广泛接受的标准,客户遭受的任何损失都被认为是在信息时代开展业务的代价。这些情况对互联网安全的“贡献”目前还不得而知。
最近数年,对保护信息的关注帮助创建了数个安全评估标准。从HIPPA、FIMSA到SOX和GISRA,没有一种标准表明一款成功的信息保护产品的质量好于“公开宣称符合这些标准”。如果这些标准被认为是对安全的最低要求,为什么在产品经受不住考验时,几乎没有安全方面的负责人为此被解雇?
目前的技术采购周期要求客户升级产品,与得到厂商支持的产品保持“一致”,不断地用另一特别是在质量“足够好”的产品取代现有质量“足够好”的产品,新增添的功能可能根本没有任何用处。无论是否喜欢或需要,客户必须采购不熟悉的产品,这可能使它们的网络和机构为此付出巨大的隐性代价。
目前的安全现状显然是不可接受的,客户应当要求安全性有重大提高。但是,要真正地改变目前的现状,我们需要的不仅仅是技术创新。就我们目前的了解,实现信息安全的一个主要障碍是文化,而不是技术。
网友评论