我的一些工作伙伴抱怨我太古怪,但是我认为通过检查某家公司数据中心里的硬件和软件,就能够判断该公司安全防范能力的级别。这不是一个科学事实,但是这是我的经验:一个家公司如果越依赖于陈旧的硬件和软件,那么它越不可能理解Internet以及信息安全的重要性。
不是在说老软件的安全性就更差——其实常常它要比新软件更安全。但是最终,过时的和得不到技术支持的软件本身就会成为一个安全、支持和业务风险。
一般来说,最好只使用有技术支持的软件,尤其如果它是商业软件的话。但是软件公司应该如何以及何时停止继续进行技术支持呢?而机构应该何时采用新版本的软件呢?
我认为软件公司不论有何种理由,都不应该停止对仍然在大量使用的软件的技术支持。但是有的时候,会有一些因素打破(为)销售新软件(而停止服务)的愿望。
例如,2001年微软公司和Sun Microsystems公司的技术和解“迫使”这个软件巨头中止了对相当多产品的技术支持。微软最初计划在2004年1月16日停止对多个版本的Windows 98的技术支持,但是该公司上周又宣布它将把服务期限延长到2006年6月30日。
根据News.com的消息,一份最近由AssetMetrix作出的研究报告表明:尽管微软在市场推广上作出了巨大的努力,但是仍然有相当数量Windows 98占据着各公司的桌面系统。还没有进行升级的用户众多,我已经看到企业和数据中心隐隐呈现的问题了。Windows 98也许是一个老的操作系统,但是很多人仍然在使用它。
就我看来,只要公司没有使用Windows 98连接到网络上——包括Internet,那么在一段时间内仍然使用它是可以理解的。然而,把Windows 98 放在公司长期的规划上,从长远来看可能就不是一个好主意了。微软迟早都会停止(对它的)支持,公司最终不得不升级到新版本的Windows。
过时的和得不到技术支持的软件总是需要额外的安全考虑,但是说所有过时的软件都有安全风险也是错误的。事实上,导致安全问题的事件往往都发生在新版本的软件上。
机构需要找到安全问题和成本考虑之间的平衡点。但是没有哪一种单一的方法能够确定过时的软件会在什么时候节省成本或是导致迫在眉睫的灾难。
但是,有一种方法能够受限防止大范围的安全问题——在安全补丁公布的时候就打上正确的补丁。总而言之,勤于系统的维护和更新是保证Internet上安全的最重要因素。
