Monday, December 31, 2012

沒重視測試的重要


上星期寫了關於DDoS的文章,指有黑客以聲東擊西的手法入侵機構系統,防不勝防。

有從事網絡安全朋友取笑我說,我終於懂得想犯罪分子所想了。

但也有網絡安全專家向我指出,雖然這些政商大機構都有不少電腦專才,但多數習慣因循的工作狀態,發現DDoS威脅很自然地便找應對方案,甚麼防火牆、反入侵系統等,卻從不反問自己,為甚麼人家要DDoS自己?事故過後,又忙別的了,上次的為甚麼,又忘記了。

專家朋友指出,他所見的業者中,多數沒重視測試的重要。傳統的PDCA循環,即「計劃、實行、測試、執行」(Plan、Do、Check、Act)裏的C不見了,沒進行入侵測試,或者以為技術供應商已經處理了。

其實,電腦網絡保安也非甚麼高深火箭科學,出現問題始終是人為的管理,和基本的計劃和執行。

2012.12.31 刊於《晴報》《IT天下》專欄

0 Comments:

Post a Comment

<< Home

-->