Neil McAllister撰文，列举了过去30年失败的25项IT技术，其中“安全”竟然位居榜首。该文作者写到：“在个人计算机被广泛应用的30年里，安全状况看起来越来越差，计算机病毒、蠕虫就像感冒一样常见，Web、E-mail、及时消息给各种犯罪活动提供了前所未有的机会。我们现在是将一个数字世界建造在了一个不安全的基础之上，安全问题的解决困难重重”。

　　Neil McAllister作为“信息安全”圈外人的观点可能过于悲观了，但我们扪心自问，在大家都越来越重视信息安全，安全技术和安全产品都日新月日异的今天，为什么安全问题还是层出不穷呢?在信息安全的道路上，沿着原路继续走，肯定是死路一条，那么我们是该向左走，还是向右走?

　　ICSA首席科学家、赛门铁克防病毒软件的最早发明人Peter Tippett 在“Dark Reading”的新闻报告中说：“现在到了信息安全专家们该醒一醒、停止浪费精力的时候了， 安全专家需要改变传统的思考方式”。

　　Peter Tippet认为：“业界在脆弱性研究、测试、软件补丁上花的时间太多，但实际上只有3%的被发现和利用”。实际上，现代的信息技术不可能从根本上杜绝技术漏洞的出现，如果信息安全建立发现和根除所有漏洞上，就像在现实世界中要消灭所有病原体一样不可能。”Peter Tippet还举了一个例子：汽车开了一个天窗，有人发现可以射一支箭穿过天窗杀死司机，尽管可能性很小，但确实能够做到。由于能够将人“杀死”，所以这个漏洞应是“关键”的。那汽车厂是否应该安装一个“箭头偏转”装置来弥补这个漏洞呢?

　　可见信息安全的前提不应该是“发现并弥补所有的漏洞”，而应是在存在漏洞的前提下，开展信息安全保障工作。 那么我们应该如何开展信息安全保障工作呢?”

　　Peter Tippet还是以汽车作了一个类比：很多人都试图找到一种100%的信息安全的保护措施，一旦措施发生失效的情况，就认为没用，甚至废除该措施。但现实世界中，汽车安全带只有阻止50%的死亡事故的发生。显然对每一种安全措施应该抱有一种正确的态度，既不能过分依赖，也不能随便否定其作用。

　　Peter Tippet还谈到一个很有趣的研究成果：只有8%的机构将其路由器(内置防火墙)的默认设置改为“禁止内部信息流”，设置外部信息流默认为“禁止”的就更少。但这种简单的设置，会大大改善网络安全的情况。

　　综上所述，现在安全界太热衷于揭示漏洞和脆弱性了，却缺乏风险的观念;太关注单台计算机的防护，而忽视了对整个系统的防护;过分追求安全过程的“完美”，却忽视了很多基本的、有效的操作。我们需要重新反思自己的工作方式，换种思路做安全。

(责任编辑：)