所有的安全漏洞是否均是可预防的?

温斯顿·桑德斯 发表于:14年07月13日 18:42 [转载] 网络

  • 分享:
[导读]本文作者温斯顿·桑德斯曾在英特尔工作近二十年,目前的工作是使数据中心更安全,更高效。温斯顿毕业于加州大学伯克利分校和华盛顿大学。

所有的安全漏洞是否均是可预防的?

作为一个相对较新的安全领域,信息安全较为复杂,我想,我可能仍然在某些方面缺乏直接的经验,我需要以开放的心态弥补经验的缺乏,大胆的进行一些“非常规”的思考。

我的工作内容的很大一部分是开发系统和进程检测,以便能够在产品的体系结构和程序设计阶段尽可能早的发现并防止产品漏洞(并以最低的成本代价)。

改变心态

几年前,我曾在一处制造环境中工作,工作人员在其中必须非常小心周遭的能源原料、化学品的危险。这种风险是非常真实的,有可能在错误的地点和错误的时间进行了错误的操作,就可能会导致严重的慢性疾病或急性损伤。但在现实中,实际的工作场所的风险是很低的。

所不同的是心态。在某些工业环境中,工人们只是已经就“事故是不可避免的”这一默许的想法达成了共识。他们认为,正因为自己所从事的是危险工种,因此危险是工作固有的一部分。但经验表明,这种观念是完全错误的。正确的心态应该是:“一切事故都是可以预防的。 ”在工业环境中,系统和程序可以而且应该到位,以降低风险,防止事故的发生。而且,如果有意外发生,系统应进行检查和改善,以确保事故不会再次发生。所有的事故都是可以预防的。这种心态的变化已经随着时间的推移显示出非常有效地减少事故和伤害的功效了。

安全漏洞是可以预防的

今天人们可以读到许多关于“黑客是可以预防的”的文章,就好像所有的黑客攻击都不能预防一样。以及“许多设备的漏洞是可以避免的”,就像一些漏洞是不可避免的。

但是,不是说产品在设计过程中已经经过测试,规避了安全漏洞吗,所以这些只是在开发过程中的“事故”?不是所有的安全事故都是可预防的吗?现在是时候需要我们作为一名产业人员向产业安全管理中添加与我们们业务相关的内容了。正如工业事故是可以预防的一样,安全漏洞也是可预防的。随着我进一步就软件和硬件的脆弱性进行检测,并采取相关防治措施之后,我认为我们需要采取更加积极的心态。我相信这也适用于构建自动化系统。

“所有的漏洞都是可以预防的。”

仅仅只是改变心态就能够保证没有安全漏洞发生什么吗?当然不。系统并不是完美的。当相关的问题发生时,必须努力理解和解决其根本原因。但如果我们接受了我们可以不断的学习和提高系统和流程的运作,不断消除漏洞,我们将至少能够推迟某些必然性危险的发生。因此,我们说所有的漏洞都是可以预防的。

我在英特尔的一个同事喜欢说的一句话是:“安全问题并不特殊。”在某种意义上,他是对的。从许多方面来看,信息安全难道不是那些传统的生产环境安全问题的一种延伸吗?企业仍然需要就风险的缓解问题采取持续的改进措施,只是变化到一个新的背景而已。

[责任编辑:dajun]
由北京电子学会支持和指导,北京电子学会计算机委员会、中国绿色数据中心推进联盟、北京信息科技大学计算机学院、网络文化与数字传播北京市重点实验室主办,《UPS应用》杂志、机房360网承办的“2014大数据时代信息资源建设研讨会暨2014绿色数据中心建设与高效运营论坛”将于10月21日在北京举行。本次会议将编辑出版《2014大数据时代信息资源建设研讨会暨2014绿色数据中心建设与高效运营论坛论文集》。现在全国范围内面向各行业的专业人士征集论文。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.