谷歌前高管建议让用户支配企业安全需要

　　在上周三召开的“黑帽”安全会议上，前谷歌工程部副总裁Douglas Merrill进行了开幕主题演讲。这可不是一次传统意义上的安全行业讲话，他的观点是：让用户支配企业的安全需要。

　　Merrill(最近担任EMI唱片公司首席营运官兼总裁)用一个比喻来开讲：以在高校校园里修一条人行道来比喻他对安全架构的看法。他说，校园管理规划人员修好人行道，并在人行道外铺上草坪。但6个月过去了，他们会发现草坪上有人为踩踏穿行的痕迹，因此，管理人员会用金属链拦住草坪，以令学生只在人行道上走。如果学生还是坚持要在草坪上穿行，他们会在草坪上放置花盆以求一劳永逸地阻止此类行为。

　　同样的情况也出现在企业的安全管理上。公司们试图通过限制使用即时通讯，以及强制用代理使用Gmail来控制员工。Merrill还引用了他身为首席运营官的经验：Exchange让他感到沮丧，他指责经典企业软件对用户不友好。“员工在工作中需要更好的工具，”Merrill说，“他们正试图利用最先进的技术。”在他看来，最好的技术往往可以在消费类软件中发现。

　　他说，20年前，每个人都希望用企业软件工作，今天，有更好更具用户友好性的工具，如即时消息。安全管理人员不要忙于与员工的需要做斗争，而是应努力确保他们所使用的网络的安全。

　　还有一个好办法可以解决学校人行道的问题：先不修人行道，只种草，让学生可以随意到处行走，然后6个月后，在由学生自己踩出的道路上修上人行道。Merrill认为，这对安全管理应该同样有效：即用户应主导安全发展。

　　Merrill认为这种观点并非是给目前的价值达10亿美元的安全产业抛出了一个威胁，而是一种折中观点。他说：“我相信，安全公司将从创建基础设施界限到基础设施弹性方面都会做出改变。如果我们能够建立正确的安全措施，我们做事会更方便，而不是更辛苦。”(周源编译)