经济危机为部署开源安全解决方案带来曙光

ZDNet安全频道原创翻译 转载请注明作者以及出处

对于希望改善安全环境的公司用户来说，由金融危机造成的经济衰退可能会被证明是一个很好的机会。
--------------------------------------------------------------------------------------------

　　纵观即将结束的2009年第一季度，从2008年的经济崩溃中立即反弹是不太可能的这一现象越来越明显。我们不但要处理由于在2008年中由政府和企业决策者做出的灾难性决策导致的后果，并且还看到同样的决策正继续从国会中发布出来。仅仅一个“经济刺激”法案就为整个国家财政增加了前所未有的十多年才能处理的债务，新的法案就象关注“保护”儿童一样空洞无物，没有任何细节方面的信息，仅仅起到了粉饰太平，将濒临崩溃的整个行业伪装起来的作用。

　　调查结果显示，尽管面临经济衰退的影响，但IT安全方面的预算貌似不会受到削减。尽管，对未来进行预测的调查结果未必是那么的有效，但比起调查结果显示，人人都准备削减安全方面的预算，这种信息总是显得要好一些的。当然，只有时间才会告诉我们实际情况将是什么样子的。

　　从另外的角度来看，财政投入收缩对于安全来说，相当于提供了意想不到的机会，可以真正实现安全情况的改善。安全对于企业来说，永远是重中之重，任何企业都不会忽略这一点的。企业削减安全相关预算时，经常发生的最明显也是最糟糕的情况，就是要求你你少花钱多办事。但实际上在所有人都削减预算的时间，这是不可能的，因此，唯一能做的就是希望你少做工作。应该牢记“少花钱多办事”的原则是不公平的，这会改变你对上级政策和采购变化的态度。

　　调查结果显示，在企业IT工作人员、高级管理人员和管理人员中，大约有50%的接受调查者表示他们已经在企业中使用或者打算使用开源软件，随着越来越多技术为导向的人被列入调查，在未来，这个数字还会变得越来越高。尽管在大型企业中，大部分高层管理人员依然拒绝考虑开源的软件(举例来说，“Linux”，因为通常情况下，这是大多数人都知道的所有开源软件的典型代表)。但对董事会成员、首席执行官和他们的直接下属的调查显示，至少有55%甚至更高的人，不会断然拒绝考虑开源的软件。

　　作为一名IT工作人员，如果你希望利用开源系统，提高企业网络安全性的话，这可能是一个不错的机会。举例来说，“关闭”日志服务器，安全完整性审计服务器和为移动中员工服务的代理服务器之类的要求是不是让你觉得非常熟悉，并且感到沮丧。只要你了解怎么利用这样的机会，金融危机导致的经济衰退是可能会带来帮助的。

　　大家经常听到这样的说法，购买IBM的产品一定是最佳选择。现在，在一定程度上这种情况也适用于购买微软和思科产品的时间了。只要你的费用在预算规定的范围中，需要购买的网络安全产品来自微软或者思科，申请在几分钟内就可以获得批准。在很多情况下，如果把产品换成开源的软件，情况就完全不同了。在很多管理人员的心目中，Linux和开源软件有着先入为主的坏名声，这属于“黑客的” ，他们并不了解，实际上“黑客”的含义属于非技术领域的;由于不属于公司的产品线，所以技术支持的效果很差(而经常忽略企业也提供了有效的生产线);害怕侵犯版权和专利方面的法律，导致公司名誉受到影响，在这一点上，要感谢圣克鲁斯系统(SCO)之类提出诉讼的公司。它提出诉讼的结果基本上消除了在没有任何可信证据支持索赔的情况下，所有可能存在侵权的起诉成功的可能性。

　　在一些团体中，普通的开源软件，特别是Linux还有一个安全性差的坏名声。造成这种现象的部分原因是，很多人并不了解什么是软件安全，以及开源软件是怎样进行开发的。他们听到“开源”这个词，就会得出这样的结论，“这简直是安全的灾难，如果所有人都可以得到源代码，那么任何人都可以对其进行修改。我们怎么确认收到的软件，没有被某些想要窃取我们机密数据的恶意‘黑客’修改?”还有一部分原因是，大部分人在技术方面的知识很有限，这也包括了一部分所谓技术方面的专家，他们完全不明白安全不仅仅和漏洞数量有关。

　　随着Linux在IT专业人士中日益的普及，它的安全情况也更加受到关注，特别是对于那些希望打破依赖于将用户控制在黑暗中不让他们了解病毒的真相以获取既得利益的传统商业模式的公司来说。在过去的一两年中，先前没有注意到任何Linux方面消息的经理们，对于微软Windows安全方面定期报告的问题实际上已经麻木了，已经不在关注这些问题了，以至于没有注意到Linux漏洞报告在新闻媒体报道中的增长频率。对Linux漏洞缺乏实际认识导致他们对Linux的安全性提出质疑，他们可能认为，Linux没有达到在“现实世界”中使用的安全级别。

　　由于这样的原因，并且由于大部分人们心目中，“Linux”和“开源软件”基本上是同义词，导致在企业网络中部署开源软件变成一项非常难以获得批准的安全政策。但现在，由于经济危机导致的预算下降可能有助于改变这种状况。随着安全方面的需求越来越多而同时预算的资金又进一步下降，开源软件(与专用软件产品相比，在部署方面将节省大量资金)将开始更具有吸引力。如果通过部署包含了开源在内的分层安全策略可以给企业网络带来安全方面的改善的话，现在是时间考虑怎样提出新的提案了。

　　在这种情况下，成本的节约以及安全性能不会受到影响是将封闭源代码的专有解决方案迁移到开源的解决方案最有帮助的理由。如果你的上级领导对“Linux”有着下意识莫名的怀疑的话，也可以考虑选择使用类似FreeBSD或OpenBSD之类的BSD Unix系统。作为，很多这方面的决策者从来没有听说过它们的名字，因此，他们不会有什么负面的印象。将它们叫做BSD Unix，可以降低被很多企业高层管理人员讨厌的风险。

　　很显然，我并不能确切地告诉大家，怎样才能获得在网络中部署开源的机会。每一个位置，每一张网络，都是不同的，在安全和业务的需要也是有区别的。在受到怀疑的情况下，部署开源工具达到改善安全效果的目的应该是可行的。实际上的情况是，开源软件不需要许可证并承担垄断成本的固有优势给处于经济衰退阴云下的公司带来了一线希望。