防火墙之父：安全就是关注细节

　　企业针对移动设备的安全策略

　　你曾经说现在的企业没有毅力控制个人设备进入企业。真的是这样吗?目前企业平台的安全性不足以确保员工自己的设备的安全吗?

　　让我来反问你一下，好吗?你觉得如果美国政府宣布，核导弹系统的控制软件已经移植到iPad上了，并且导弹部队的官兵可以用自己的iPad来运行和管理导弹系统，从而大大降低了导弹系统的管理成本。你觉得这事儿靠谱么?

　　这是视情况而定的：取决于事情的危机程度，对象的可替代程度，还有就是一旦出现问题，能否及时清除问题，以及你是否真的希望出现问题。只要是采访过公司数据泄漏，银行信用卡信息泄漏之类新闻的记者，都不会问你这个问题。

　　你问我的问题应该是：为什么企业能容忍制作的这么糙，这么难以管理的系统和软件存在，以至于他们都不知道该拿这些系统和软件怎么办了。但是他们还是让用户通过这些软件和系统登录自己的银行账户。他们这是不是脑残啊?这不可避免的带来了诸如不良的配置管理或不良的系统管理问题，或者说企业根本不懂IT。

　　没错，我就是在痛斥如今IT管理领域的一些趋势。

　　你还认为入侵测试和打补丁同样会让软件越来越安全吗?软件厂商会改变他们对于安全问题的态度吗?

　　是的。对于雕刻家来说，他可以一开始面对一块大理石，逐步去掉所有不像天使的部分，最后展现给人们一个天使雕塑，但是对于软件来说就不是这样了。你不可能一开始就把一个设计的垃圾一样的产品归入企业级软件的行列，然后不断的推出补丁进行修补，慢慢让它符合企业软件的标准。不管你怎么修饰，它还是垃圾。

　　软件行业现在基本上认识到了这一点，偶尔你还能看到某个软件重新编写了内核，因为最初的版本太局限。随着软件越来越复杂，功能越来越多，开发人员一般都开始使用源代码版本控制工具，单元测试工具，回归测试工具等进行管理。

　　问题在于，现在的软件行业是一个以上市时间为首要目标的行业，因为上市时间决定了回报大小，要他们做一些会影响到上市时间的工作，就好像在逼它们成为失败者一样。有时候可以通过一种模式来改变这一现状，即“先开发一个测试版，放到市场上吸引用户，如果成功了，就吸取其中的经验，在稍后开发一套正式版本”，但是我怕很多厂商会把第一个测试版的内核拿过来作为产品未来十年的内核用。实际上我们见到的很多软件都是这样的，最终结果并不好。

　　你曾经预测6-10年内黑客将不再是很酷的称号，对非技术人员的安全培训将毫无成果。您现在怎么看?

　　我想，至少我要感谢一下恶意软件和僵尸网络，以及职业化的网络罪犯，正因为他们，很多“正常人”都已经对黑客文化没什么印象了。而人们对于“灰帽子”社团的网络盈利模式也已经很清楚了，因此我觉得黑客社团应该想办法处理一些名誉的问题了。

　　至于对非技术人员的安全培训问题，我可能是预测错误了。我的错误不在于说培训没用，而是错在了我觉得新一代的领导层能更好的重视安全问题。而且在我看来好像更糟糕了。

　　哪种手机平台，或者您希望哪种手机平台会最终胜出，是开源的安卓，非开源的苹果系统还是黑莓。

　　我希望他们都完蛋，当然，从长远看，这是必然的。有一首歌叫做"Every OS Sucks" 很好的总结了我的观点。我透露一点：我买了个iPad，因为它放电影不错，而且不会被当做是手机。我真的挺喜欢“软件店”这种软件交付模式，它比让用户自己寻找软件，下载软件，再安装软件的方式好多了,既方便了用户，又能确保用户手机里不会装太多乱七八糟的东西。但是我还是担心软件的代码品质。