信息技术领域变化无常。常有新理念与产品更改我们做业务的方式。经验丰富的行业人士有时说，行业的变化之快前所未有。的确如此，但我也认为互联网让事情变得超乎想象的快速，因为新的消息几乎在瞬间填充网络。

安全是一个经常变化的领域，尤其是紧随着的大量安全漏洞，如Target与Home Depot、OpenSSL与NTP中也有醒目的软件漏洞。

预算有限也常常为安全不足背黑锅，但还有其他因素。我们基于功能选择产品，但安全问题却没有纳入购买过程。之后，我们能做的就是将系统放在防火墙后面，或者让防火墙识别好的与坏的流量。我们可以限制用户访问，然后将系统名模糊掉，希望坏人发现不了，或者在攻击时不知所措。

这些都是创可贴，无法扩展或进行支援，我们需要从根源出发，修复IT基础架构安全问题。安全控制不到位，无法解决实际问题：软件没有安全性可言。

软件开发者并不关心安全，因为雇佣他们的人根本不考虑安全。技术参数由非技术人员撰写，不含安全条款、指定加密或优先用户保护，诸如增强型密码与双重认证。这些说明由开发者添加，但他们对该技术不了解，尤其是加密。

一个例子就是我们的银行，不允许密码中出现标点符号、百分比与空白。为什么不啊？他们可以避免受到SQL注入式攻击，而这些字符颠覆了数据使用应用的方式。这其实意味着他们的应用安全性太弱。他们牺牲我们账户的安全，因为他们没有对应用输入进行审查。

关于不安全有太多例子可以分享，尤其是随着我们深挖基础架构堆栈。我们的数据中心塞满了许多实用默认密码的产品，还开启了通信协议，没有防火墙或IP级别的访问控制。厂商应该一直致力于让安全更容易执行在IT基础架构的所有层级。我该为那些让自己产品更安全，并以更安全配置交付产品的厂商鼓掌。

数据中心行业需要持续关注IT安全。在调查一款产品时首先询问的该是安全功能，如数据加密、密码处理、双重认证与IP限制。略过厂商介绍直接找答案去。最后，不要购买和使用不带安全功能的产品。