唱反调：安全，你算老几

唱反调：安全，你算老几

作者：田逸（ sery@163.com ）

在 IT 这个领域，没有什么比“安全”这个概念更深入人心的了。不管是企业级的复杂网络环境还是个人弄个电脑来玩玩，无一不把安全二字挂在嘴边。企业的 IT 部门的人满世界的打听安全产品的性能 、个人收个电子邮件也会问“你那个东西没病毒吧 …” ，看起来热闹得很。仿佛这个 IT 就是为了“安全”而存在的。前一阵子先是“熊猫烧香”接着是金山跟“灰鸽子”口水大战，更是让人们对那些做坏事的行为（制作病毒）深恶痛绝，再次把信息安全这根弦绷紧。这种局面确实对安全厂商的市场有利呀！

 

曾经，我也为“一分钟倒计时重启”束手无策 ， 也为清除 nimda 通宵达旦，无数的光阴耗在与病毒的对抗之中，烦不甚烦。手工清毒，买单机版杀毒软件、网络版杀毒软件，硬件防火墙甚至还考虑买防病毒网关，但结果都不太理想。累得半死还是很被动，问题在哪里呢？放眼整个互联网，一些机构不惜血本，购买大量的安全产品重装上阵 ― 什么入侵检测、用户验证系统、防火墙、防病毒网关等等 ― 但病毒一来，该中毒的还中毒。这不，熊猫烧香不是把各大安全厂商弄得灰头土脸？！不过，我们的安全厂商早练就了一身“事后诸葛”的高强本领。用户就是不明白，我花了那么大的代价，怎么还是要遭殃呢？相信有此种疑问的不在少数。

 

天下熙熙 , 皆为利来 , 天下攘攘 , 皆为利往，一切漂亮的幌子都是也谋取经济利益为目的，更有甚者，其推销手法犹如王婆卖瓜，十分可笑。诚然，病毒、黑客非法行为等问题确实威胁着互连网的安全，这是必须时刻留意和防范的，但也没有想象的那么恐怖。这个问题倒是与人生有些相似：人活着难免生病，生病可能导致死亡，但人活着的主要目的不是生病，同样， IT 也不是为了安全这个目的而存在的。单拿信息安全这个问题来讨论，什么是信息安全？系统正常运行，硬盘突然损坏导致服务终断；下雨使机器浸水而不能访问，这些算不算安全问题？现在，我们偏要把问题狭义化，好象只有恶意的、非授权的访问等少数行径定义为安全问题，想必，这应该不是真相。

 

那么， IT 存在的本质是什么呢？个人认为，它的本质应该是高效、平稳地运行，俗一点的讲法就是让它好好的活着，尽管它有时难免生病。 IT 保障活动是全局的，全方面的；安全问题只是一个极小的一部分，要把它硬生生的狭义化和孤立出来，无异于本末倒置毫无效果。因此，我们必须从全局保障的角度出发，把安全放在一个相对重要的位置，来保证整个 IT 环境的正常运营。那种全国人民都缺钙的鼓吹方式可以休也！

 

                                                  2007-3-31

                                                  于菜市口