雖然我有好一陣子因為私人的原因沒有更新部落格,但是對於前一陣子熱門的話題之一 – Conficker - 倒也是略有耳聞。相關的報導與分析已經多如過江之鯽,而且其真相到現在也還沒個譜,所以 Conficker 本身並不是我這篇文章的重點。我剛好看到另外一篇報導,內容是有關 RSA 與 IDC 分析師針對這類問題提出來的看法與見解。每個人本來就有自己不同的立場與看法,所以也不是說因為看法不同就提出質疑,我要探討的是文章中提到所謂”治本”這件事。
兩者都試著說明自己的意見才是治本的方法,因為治本感覺比治標好,而且大家通常對於治本也比較不會要求立即性的效果。再加上治本往往給人的感覺也比較有學問,所以不管對廠商或分析師而言都是很重要的一件事。有這麼好康的事情,大家當然是卯足勁證明(說服)自己的方法就是治本之道,只是基本上我認為對使用者而言這是沒有多大意義的事情。理由如下:
- 問題本身可能還有更深層的問題要解決,而這樣的情況會一直下去。所以針對淺層問題的治本之道,對深層問題而言就變成了治標的方法。嚴格來說,除非真的找到最基本的問題,否則一切方案都是治標。
- 資訊安全的基本問題很難被發現,或者說就算被發現也有很大的可能性是無根本解的。我們以前常聽到一個笑話是避免系統受到網路的攻擊,最根本也是最有效的方法就是把網路線拔掉。那要避免一個系統受到攻擊,鎖在保險箱是一個做法,但是很可惜保險箱也不是100%安全。而要保護資訊安全,不使用資訊(或避免資訊的存在)可能是最根本之道,這就是實體銷毀的概念。只是這個方法對不再需要的資訊有效,對還有利用價值的資訊明顯無法施行。這些問題再怎麼樣都比其他問題來的深層,治本之道有嗎?
- 就算真的找到了根本的問題,也有了治本之道,那就只管治本之道就好了嗎?幾乎所有人都同意教育是培養道德與守法的治本之道,但是現實環境中哪個國家沒有使用法律這類治標的方案來約束行為?甚至我們有所謂的亂世用重典,而不是亂世推教育。原因在於避免問題的擴散與減緩其影響,往往是最需要先被滿足的。治標與治本來就有不同的目的,而兩者之間的並行與配合,往往更能夠提升推行的效果。
所以治標還是治本對使用者來說並不是最重要的問題。問題還是在於找出組織現況以及預期的目標,據此找出差異與最急需加強的部分,然後導入C/P值最高的方案(Cost-Effective)。當然,我並不是說不要去考量深層的問題。只是這些深層的問題要不要解,要怎麼解,憑據的依舊是針對自我組織所考量的結果,而不是所謂的治本還是治標。
事實上,近一步來分析這個問題,廠商提出這樣的看法有兩個比較可能的原因。第一個是廠商確實抱持這樣的信念,也根據這樣的信念希望解決客戶的問題。這類的廠商我認為具備了職業道德,並不是惡意的出發點,而且也往往能幫客戶達到預期的效果。另一個原因是廠商因為希望導入特定的產品/服務,所以就編了理由來說服自己/客戶。這類的廠商的出發點就有很大的爭議,甚至最後能不能發揮預期的效果都有很大的疑問。如果你是使用者,治標還是治本,就當作是廠商或顧問立場的表達,除此之外就別太放在心上了。而如果你是廠商,你會怎麼選擇呢?
相關連結:
沒有留言:
張貼留言