經(jīng)常有人戲稱數(shù)據(jù)是新金礦、新石油���、新貨幣�,甚至是寶石�,確實(shí),數(shù)據(jù)正逐漸成為人們進(jìn)行商業(yè)交易的重要新媒介���。我們知道�,黃金通常是通過(guò)高安全性的運(yùn)輸車輛進(jìn)行運(yùn)送的,并且對(duì)于貨幣人們也都不遺余力地保護(hù)著����,然而,數(shù)據(jù)卻沒(méi)有受到同等待遇�����,數(shù)據(jù)是通過(guò)軟件來(lái)處理的����,這些軟件也許是20年前為密閉房間內(nèi)的主機(jī)編寫的軟件;也許是由聰明但卻名不見(jiàn)經(jīng)傳的開(kāi)源程序員編寫的低成本高性能的軟件�����;又或許是沒(méi)有經(jīng)過(guò)正規(guī)安全編程培訓(xùn)�����,期望以此改善用戶體驗(yàn)和企業(yè)盈利模式的個(gè)人編寫的軟件����。但是幾乎所有的大型企業(yè)��、組織和政府都依賴于軟件�����,對(duì)于軟件安全以及如何解決現(xiàn)有的不安全軟件問(wèn)題����,甚至何謂“安全”等問(wèn)題�,都不得而知。鑒于軟件的安全性決定著我們的購(gòu)物和通信等網(wǎng)絡(luò)行為���,現(xiàn)在是時(shí)候認(rèn)真考慮軟件安全問(wèn)題了�,而不是盲目的認(rèn)為軟件完全不存在安全問(wèn)題����。
在目前這種不安全狀態(tài)下,必須進(jìn)行全面檢查并實(shí)行責(zé)任制����。很多企業(yè)的倒閉會(huì)對(duì)公眾和市場(chǎng)造成直接影響��,然而人們卻很難對(duì)于數(shù)據(jù)保護(hù)失效的影響進(jìn)行衡量,因?yàn)闊o(wú)法查出其原因和最終成本��。市場(chǎng)和公眾認(rèn)為這些保護(hù)失效主要出于隱私保護(hù)方面的問(wèn)題�����,其中最常見(jiàn)的例子就是信用卡數(shù)據(jù)盜竊����。消費(fèi)者們主要從信用卡發(fā)行商處獲得保護(hù)以免收欺詐性收費(fèi)的危害,而這些機(jī)構(gòu)常常因缺乏具體的實(shí)用的最佳做法而無(wú)法對(duì)消費(fèi)者起到保護(hù)作用��。信用卡發(fā)行商們都急于最大限度的擴(kuò)大信用卡的使用量和交易數(shù)量��,讓很多消費(fèi)者在實(shí)際消費(fèi)中成為受害者�。因此,利用信用卡費(fèi)用和利息建立起來(lái)的交易系統(tǒng)必須承擔(dān)責(zé)任��,采取有力的措施不讓類似的事件再次放生����。
人們對(duì)于軟件的依賴越來(lái)越明顯,醫(yī)療保健���、通訊�����、運(yùn)輸��、基本服務(wù)的獲取等�,都需要軟件來(lái)進(jìn)行。每天都有新的應(yīng)用程序在建立�,以滿足新的重要的需求,但這些軟件卻都是建立在不安全的應(yīng)用基礎(chǔ)上的�����,沒(méi)有考慮基本的安全問(wèn)題?,F(xiàn)有的應(yīng)用程序并不適應(yīng)于現(xiàn)有環(huán)境,一些新軟件(如面向服務(wù)架構(gòu))也進(jìn)一步暴露了現(xiàn)有功能的內(nèi)部漏洞��。
應(yīng)該怎么做����?
軟件,尤其是軟件評(píng)估和軟件采購(gòu)��,在嚴(yán)謹(jǐn)性和透明度方面���,必須像其他大多數(shù)重要組件一樣對(duì)待��。政府或者行業(yè)領(lǐng)導(dǎo)者不可能在沒(méi)有看到某組件安全運(yùn)行的詳細(xì)分析說(shuō)明前就采購(gòu)該組件�。不管是噴氣式飛機(jī)��,還是生產(chǎn)車間的新機(jī)器���,又或者是食品的成分����,都是需要進(jìn)行嚴(yán)格的安全檢查才能使用的����。軟件也是同樣如此的,如果不安全的話���,將會(huì)對(duì)客戶�、員工和股東造成非常壞的影響�。
同時(shí)也應(yīng)該對(duì)現(xiàn)有軟件進(jìn)行評(píng)估,負(fù)責(zé)任的企業(yè)絕不會(huì)在不確定老化機(jī)器的安全性的情況下將舊機(jī)器運(yùn)用到新進(jìn)程中�����。軟件也同樣也會(huì)面臨老化和過(guò)時(shí)的問(wèn)題���,在受保護(hù)環(huán)境中使用的應(yīng)用程序不太可能在網(wǎng)絡(luò)環(huán)境下受到適當(dāng)保護(hù)��,重新定位用途的應(yīng)用程序需要付出很多努力���,因?yàn)樾掠猛究赡軒?lái)新風(fēng)險(xiǎn)����,或者涉及需要保護(hù)的數(shù)據(jù)類型���。
成本問(wèn)題
提高軟件安全性的成本必須通過(guò)衡量維持現(xiàn)有狀態(tài)的有形成本以及無(wú)形成本來(lái)考慮��,而不安全軟件在其中占了不小比重�����。另外��,違規(guī)造成的有形成本也很重要����,這包括:發(fā)送成千上萬(wàn)的通知信�,信用監(jiān)控服務(wù),罰款和罰金���,以及潛在的聲譽(yù)損失��。另一個(gè)較少考慮到的因素就是清理費(fèi)用��,包括:系統(tǒng)的修復(fù)����、恢復(fù)和重新配置�����,對(duì)所有軟件訪問(wèn)點(diǎn)的必要更新�,對(duì)違規(guī)原因和風(fēng)險(xiǎn)的調(diào)查產(chǎn)生的費(fèi)用等。企業(yè)在購(gòu)置新軟件時(shí)�����,特別是在購(gòu)買定制軟件時(shí)���,如果事先沒(méi)有部署適當(dāng)?shù)陌踩刂?����,?duì)軟件漏洞的鑒定��、修復(fù)和調(diào)整等問(wèn)題可能增加預(yù)算����。
與此同時(shí),那些依賴于技術(shù)進(jìn)行快速簡(jiǎn)單的商務(wù)交易的消費(fèi)者和企業(yè)的信心開(kāi)始逐漸減退�����,這帶來(lái)最大的成本問(wèn)題�����。近年來(lái)���,交易過(guò)程曝光事件不斷增加�,越來(lái)越多的私人信息被盜竊���,這些都成為擴(kuò)大軟件應(yīng)用的障礙�。
保護(hù)軟件安全的實(shí)際費(fèi)用可以通過(guò)進(jìn)行評(píng)估來(lái)管理�,優(yōu)先考慮最容易受攻擊和最有價(jià)值的軟件,選擇合適的供應(yīng)商����,至少要能保證其產(chǎn)品的安全性以及安全使用性��。另外��,在于外包合作伙伴簽訂合同時(shí)也必須明確安全要求和標(biāo)準(zhǔn)��。
這可能嗎���?
所有企業(yè)都有可能完全保護(hù)他們的應(yīng)用程序嗎�����?這不太可能���,因?yàn)闆](méi)有哪個(gè)企業(yè)可以保證其工作環(huán)境是百分之百的安全����。并且經(jīng)驗(yàn)告訴我們幾乎所有的軟件都存在安全漏洞�����,我們無(wú)法確定企業(yè)���、開(kāi)源程序或者某些類型的軟件是不安全的����,這也不能解決任何問(wèn)題。
唯一的解決辦法就是要認(rèn)識(shí)到軟件逐漸開(kāi)始作為大多數(shù)企業(yè)發(fā)展的重要核心���,因此���,軟件需要承擔(dān)安全和隱私問(wèn)題的責(zé)任。這也要求企業(yè)開(kāi)始意識(shí)到風(fēng)險(xiǎn)的存在���,必須開(kāi)始發(fā)現(xiàn)存在的問(wèn)題并解決問(wèn)題�。必須從現(xiàn)在就開(kāi)始行動(dòng)�����,因?yàn)槊刻?���、每個(gè)應(yīng)用程序、每個(gè)新功能產(chǎn)品�����,都可能擴(kuò)大問(wèn)題的嚴(yán)重性,而這個(gè)問(wèn)題最終將需要解決����,否則企業(yè)將無(wú)法繼續(xù)前行。
現(xiàn)在是時(shí)候承認(rèn)問(wèn)題的存在�,并承擔(dān)相應(yīng)責(zé)任,不管問(wèn)題多么嚴(yán)重�。總之�,沒(méi)有看到問(wèn)題并不說(shuō)明問(wèn)題不存在。
