信息技術領域變化無常。常有新理念與產品更改我們做業務的方式。經驗豐富的行業人士有時說，行業的變化之快前所未有。的確如此，但我也認為互聯網讓事情變得超乎想象的快速，因為新的消息幾乎在瞬間填充網絡。

安全是一個經常變化的領域，尤其是緊隨著的大量安全漏洞，如Target與Home Depot、OpenSSL與NTP中也有醒目的軟件漏洞。

預算有限也常常為安全不足背黑鍋，但還有其他因素。我們基于功能選擇產品，但安全問題卻沒有納入購買過程。之后，我們能做的就是將系統放在防火墻后面，或者讓防火墻識別好的與壞的流量。我們可以限制用戶訪問，然后將系統名模糊掉，希望壞人發現不了，或者在攻擊時不知所措。

這些都是創可貼，無法擴展或進行支援，我們需要從根源出發，修復IT基礎架構安全問題。安全控制不到位，無法解決實際問題：軟件沒有安全性可言。

軟件開發者并不關心安全，因為雇傭他們的人根本不考慮安全。技術參數由非技術人員撰寫，不含安全條款、指定加密或優先用戶保護，諸如增強型密碼與雙重認證。這些說明由開發者添加，但他們對該技術不了解，尤其是加密。

一個例子就是我們的銀行，不允許密碼中出現標點符號、百分比與空白。為什么不啊？他們可以避免受到SQL注入式攻擊，而這些字符顛覆了數據使用應用的方式。這其實意味著他們的應用安全性太弱。他們犧牲我們賬戶的安全，因為他們沒有對應用輸入進行審查。

關于不安全有太多例子可以分享，尤其是隨著我們深挖基礎架構堆棧。我們的數據中心塞滿了許多實用默認密碼的產品，還開啟了通信協議，沒有防火墻或IP級別的訪問控制。廠商應該一直致力于讓安全更容易執行在IT基礎架構的所有層級。我該為那些讓自己產品更安全，并以更安全配置交付產品的廠商鼓掌。

數據中心行業需要持續關注IT安全。在調查一款產品時首先詢問的該是安全功能，如數據加密、密碼處理、雙重認證與IP限制。略過廠商介紹直接找答案去。最后，不要購買和使用不帶安全功能的產品。