什么樣的安全才意味著是“足夠”的？

申請免費(fèi)試用、咨詢電話：400-8352-114

賈森·辛那在最近的一篇文章“比爾·蓋茨時(shí)代的結(jié)束，大家認(rèn)為最聰明的事件”中，就經(jīng)濟(jì)學(xué)家所謂的“比爾·蓋茨的含義”和這和微軟共同創(chuàng)始人的關(guān)系進(jìn)行了討論。這項(xiàng)討論非?；钴S，已經(jīng)有了數(shù)以百計(jì)的評論，有希望就蓋茨的遺產(chǎn)發(fā)表一篇文章。

討論中共同的一個(gè)主題是微軟已經(jīng)發(fā)布以及將來發(fā)布的軟件產(chǎn)品是不是都“足夠好”。討論開始于這樣一個(gè)觀點(diǎn)，微軟 Windows和DOS操作系統(tǒng)是“足夠好”，所以才能占據(jù)整個(gè)市場。這種無罪推定的觀點(diǎn)沒堅(jiān)持多長時(shí)間，很快就有人強(qiáng)烈反對微軟Windows操作系統(tǒng)與一般情況下的所有事物或者特別事物（尤其是Mac OS X和Linux發(fā)行版操作系統(tǒng)）相比是“足夠好”，并且質(zhì)疑“足夠好”就等于好。

在這方面的一些評論中最有爭議的是，“足夠好”是不是真正的足夠好。經(jīng)過了反反復(fù)復(fù)的很多爭論，techrepublic社區(qū)成員的技術(shù)大鼠（Techno Rat）提出了下面的觀點(diǎn)：

足夠好是一個(gè)歸納的結(jié)果，對于不同的人來說不太可能有相同的含義。

這就如同進(jìn)行健康檢查一樣，除非在上下文的基礎(chǔ)上對“足夠好”進(jìn)行定義，否則人們就會(huì)對其含義進(jìn)行討論，從而偏離實(shí)際需要討論的內(nèi)容，在可以稱作技術(shù)大鼠（Techno Rat）的定義中，考慮了相關(guān)的背景因素：就Tech Sanity Check Weblog上的一篇文章的冗長的回應(yīng)。

如同我所預(yù)料地，話題正逐漸傾向于思考和安全有關(guān)的東西....

什么樣的安全保護(hù)才是“足夠好”的？

單就“足夠好”來說，其實(shí)意味著沒什么。但需要的背景和意圖添加了很多額外的事情。在沒有澄清發(fā)言者意圖的應(yīng)用背景下，“足夠好”只會(huì)讓大家混亂，而不會(huì)產(chǎn)生任何有意義的討論。舉例來說，如果你說微軟Windows操作系統(tǒng)的安全是“足夠好”的只會(huì)帶來很多辯論，因?yàn)椤白銐蚝谩睂τ谝恍┤藖碚f和另一些人不同，或者對于一些人是足夠好而另一些人不是。實(shí)際上，最后可能上升到哲學(xué)的角度，這依賴于開發(fā)和項(xiàng)目管理人員對“足夠好”是怎么界定的。

在討論的時(shí)間，“足夠好”必須清晰地表明它到底代表了什么意義。

“足夠好”是“足夠好” 。

“安全是足夠好”這樣的建議背后隱藏的含義實(shí)際上是，安全并不絕對是一系列良好做法的最終結(jié)果，因?yàn)樘岣甙踩钥傆懈嗟姆椒?。最后，你不必始終為安全擔(dān)心。足夠好的安全可以保證讓需求實(shí)現(xiàn)。

“足夠好”這樣一個(gè)術(shù)語的使用是一個(gè)很好的現(xiàn)象。這說明你在評估所涉及的風(fēng)險(xiǎn)的時(shí)間，已經(jīng)考慮過安全性了，這樣作出的決定一定是明智的。畢竟，大家都知道滿足需求的安全，不能有效地取代需求。換句話說，就是這表明了良好的風(fēng)險(xiǎn)管理政策的重要性。

這種類型“安全是足夠好”的聲明，可以帶來良好的安全實(shí)踐。這樣的話，你可以利用安全方面的專長為任何實(shí)體進(jìn)行服務(wù)，并確保作到最好。不論是你的老板、客戶或者是你自己，都必須執(zhí)行的風(fēng)險(xiǎn)評估，對安全風(fēng)險(xiǎn)進(jìn)行平衡，確定所面對的機(jī)會(huì)成本，確定采用什么樣的安全措施解決這些風(fēng)險(xiǎn)，以保證安全足夠好，可以滿足需要。

“足夠好”不是“足夠好”

“安全是足夠好”在另一種情況下的含義，代表了在行業(yè)背景下軟件公司的認(rèn)識。軟件供應(yīng)商必須對安全措施的重要性，成本依據(jù)市場因素進(jìn)行綜合考慮。對于象微軟這樣大型軟件公司來說，軟件設(shè)計(jì)與開發(fā)中安全的真正價(jià)值在于創(chuàng)建軟件的市場形象。

對于公司來說，讓公眾感到安全才是真正的目的，這在某種程度上可能鼓勵(lì)實(shí)際安全方面的發(fā)展；但由于安全的感覺比真正的安全實(shí)施起來更容易，所以實(shí)際的安全將幾乎無一例外地被忽略。安全只要在感覺上足夠好就可以了，這就會(huì)保證大部分基礎(chǔ)用戶不會(huì)被其它軟件吸引去。

這種類型“安全是足夠好”的聲明，讓安全專家們退縮。采取這種做法的安全，往往忽略了實(shí)際的安全需求。市場基礎(chǔ)的“足夠好”并不涉及到真正的安全，除非你就是根據(jù)這種“足夠好”的理念出售軟件的公司。

不同的環(huán)境下意義也是不一樣的

當(dāng)然，在董事會(huì)中以及市場營銷部的辦事處，這些對“安全是足夠好”的認(rèn)識是不同的，在合同條款中的足夠好或者不好才是關(guān)鍵的。當(dāng)你說足夠好的時(shí)間，需要確定時(shí)間、地點(diǎn)和對象，并確定你的意思被理解了，你必須保證人們是真正理解了而不是以為理解了。

當(dāng)然，其他許多可能的意義而言，“足夠好”的這兩個(gè)意義在軟件行業(yè)討論安全問題的時(shí)間是最常見和重要的。請務(wù)必清楚你考慮到的實(shí)際意思。畢竟，在沒有有一個(gè)共同討論的基礎(chǔ)的時(shí)間，我們會(huì)發(fā)現(xiàn)取得進(jìn)展是非常困難的。

不是么？（ZdNet）