所有的安全漏洞是否均是可预防的?
作为一个相对较新的安全领域,信息安全较为复杂,我想,我可能仍然在某些方面缺乏直接的经验,我需要以开放的心态弥补经验的缺乏,大胆的进行一些“非常规”的思考。
我的工作内容的很大一部分是开发系统和进程检测,以便能够在产品的体系结构和程序设计阶段尽可能早的发现并防止产品漏洞(并以最低的成本代价)。
改变心态
几年前,我曾在一处制造环境中工作,工作人员在其中必须非常小心周遭的能源原料、化学品的危险。这种风险是非常真实的,有可能在错误的地点和错误的时间进行了错误的操作,就可能会导致严重的慢性疾病或急性损伤。但在现实中,实际的工作场所的风险是很低的。
所不同的是心态。在某些工业环境中,工人们只是已经就“事故是不可避免的”这一默许的想法达成了共识。他们认为,正因为自己所从事的是危险工种,因此危险是工作固有的一部分。但经验表明,这种观念是完全错误的。正确的心态应该是:“一切事故都是可以预防的。 ”在工业环境中,系统和程序可以而且应该到位,以降低风险,防止事故的发生。而且,如果有意外发生,系统应进行检查和改善,以确保事故不会再次发生。所有的事故都是可以预防的。这种心态的变化已经随着时间的推移显示出非常有效地减少事故和伤害的功效了。
安全漏洞是可以预防的
今天人们可以读到许多关于“黑客是可以预防的”的文章,就好像所有的黑客攻击都不能预防一样。以及“许多设备的漏洞是可以避免的”,就像一些漏洞是不可避免的。
但是,不是说产品在设计过程中已经经过测试,规避了安全漏洞吗,所以这些只是在开发过程中的“事故”?不是所有的安全事故都是可预防的吗?现在是时候需要我们作为一名产业人员向产业安全管理中添加与我们们业务相关的内容了。正如工业事故是可以预防的一样,安全漏洞也是可预防的。随着我进一步就软件和硬件的脆弱性进行检测,并采取相关防治措施之后,我认为我们需要采取更加积极的心态。我相信这也适用于构建自动化系统。
“所有的漏洞都是可以预防的。”
仅仅只是改变心态就能够保证没有安全漏洞发生什么吗?当然不。系统并不是完美的。当相关的问题发生时,必须努力理解和解决其根本原因。但如果我们接受了我们可以不断的学习和提高系统和流程的运作,不断消除漏洞,我们将至少能够推迟某些必然性危险的发生。因此,我们说所有的漏洞都是可以预防的。
我在英特尔的一个同事喜欢说的一句话是:“安全问题并不特殊。”在某种意义上,他是对的。从许多方面来看,信息安全难道不是那些传统的生产环境安全问题的一种延伸吗?企业仍然需要就风险的缓解问题采取持续的改进措施,只是变化到一个新的背景而已。