所有的安全漏洞是否均是可預(yù)防的?

作為一個相對較新的安全領(lǐng)域，信息安全較為復(fù)雜，我想，我可能仍然在某些方面缺乏直接的經(jīng)驗，我需要以開放的心態(tài)彌補經(jīng)驗的缺乏，大膽的進行一些“非常規(guī)”的思考。

我的工作內(nèi)容的很大一部分是開發(fā)系統(tǒng)和進程檢測，以便能夠在產(chǎn)品的體系結(jié)構(gòu)和程序設(shè)計階段盡可能早的發(fā)現(xiàn)并防止產(chǎn)品漏洞(并以最低的成本代價)。

改變心態(tài)

幾年前，我曾在一處制造環(huán)境中工作，工作人員在其中必須非常小心周遭的能源原料、化學(xué)品的危險。這種風(fēng)險是非常真實的，有可能在錯誤的地點和錯誤的時間進行了錯誤的操作，就可能會導(dǎo)致嚴(yán)重的慢性疾病或急性損傷。但在現(xiàn)實中，實際的工作場所的風(fēng)險是很低的。

所不同的是心態(tài)。在某些工業(yè)環(huán)境中，工人們只是已經(jīng)就“事故是不可避免的”這一默許的想法達成了共識。他們認(rèn)為，正因為自己所從事的是危險工種，因此危險是工作固有的一部分。但經(jīng)驗表明，這種觀念是完全錯誤的。正確的心態(tài)應(yīng)該是：“一切事故都是可以預(yù)防的。 ”在工業(yè)環(huán)境中，系統(tǒng)和程序可以而且應(yīng)該到位，以降低風(fēng)險，防止事故的發(fā)生。而且，如果有意外發(fā)生，系統(tǒng)應(yīng)進行檢查和改善，以確保事故不會再次發(fā)生。所有的事故都是可以預(yù)防的。這種心態(tài)的變化已經(jīng)隨著時間的推移顯示出非常有效地減少事故和傷害的功效了。

安全漏洞是可以預(yù)防的

今天人們可以讀到許多關(guān)于“黑客是可以預(yù)防的”的文章，就好像所有的黑客攻擊都不能預(yù)防一樣。以及“許多設(shè)備的漏洞是可以避免的”，就像一些漏洞是不可避免的。

但是，不是說產(chǎn)品在設(shè)計過程中已經(jīng)經(jīng)過測試，規(guī)避了安全漏洞嗎，所以這些只是在開發(fā)過程中的“事故”?不是所有的安全事故都是可預(yù)防的嗎?現(xiàn)在是時候需要我們作為一名產(chǎn)業(yè)人員向產(chǎn)業(yè)安全管理中添加與我們們業(yè)務(wù)相關(guān)的內(nèi)容了。正如工業(yè)事故是可以預(yù)防的一樣，安全漏洞也是可預(yù)防的。隨著我進一步就軟件和硬件的脆弱性進行檢測，并采取相關(guān)防治措施之后，我認(rèn)為我們需要采取更加積極的心態(tài)。我相信這也適用于構(gòu)建自動化系統(tǒng)。

“所有的漏洞都是可以預(yù)防的。”

僅僅只是改變心態(tài)就能夠保證沒有安全漏洞發(fā)生什么嗎?當(dāng)然不。系統(tǒng)并不是完美的。當(dāng)相關(guān)的問題發(fā)生時，必須努力理解和解決其根本原因。但如果我們接受了我們可以不斷的學(xué)習(xí)和提高系統(tǒng)和流程的運作，不斷消除漏洞，我們將至少能夠推遲某些必然性危險的發(fā)生。因此，我們說所有的漏洞都是可以預(yù)防的。

我在英特爾的一個同事喜歡說的一句話是：“安全問題并不特殊。”在某種意義上，他是對的。從許多方面來看，信息安全難道不是那些傳統(tǒng)的生產(chǎn)環(huán)境安全問題的一種延伸嗎?企業(yè)仍然需要就風(fēng)險的緩解問題采取持續(xù)的改進措施，只是變化到一個新的背景而已。