【IT168 专稿】2007年，在体验过Vista系统全新的安全措施之后，用户不停地抱怨微软的系统过于“安全”了。史蒂夫鲍尔默回答说：“唉，这一切不是你们要求的么？”但不久就不得不做出让步，微软发布了Vista Service Pack1，推出了“Windows 95安全仿真”模式。

　　这就是IT供应商多年来一直面临着的困难选择：允许无限制地访问和使用所有功能会面临安全风险，而加强安全性又必须牺牲可用性。通常，人们只能在“拥有无限权限的超级用户模式”以及“最高安全级别模式”之间寻找平衡点。

　　不幸的是，准确定位平衡点是非常困难的，最好的情况是IT供应商提供自由的功能选项，而将配置工作留给IT人员和安全管理员。有人认为这样做是不够的，应当在缺省情况下使用最严格的安全策略；另一些人则认为IT太复杂了，用户教育和培训没有太大用处，计算机应当变得像家电一样容易使用。

　　尽管缺乏普遍的共识，但IT行业仍然在坚定不移地追求更高的安全性，尤其是安全强度以及可用性。2007年，安全行业将呈现出四大趋势。

SonicWALL首席技术官  Joe Levy

IT走势：更安全更好用

　　①针对数据安全的可审计性要求将会逐渐普及。大企业多年运营的经验表明，必须有相应的处罚措施才能保证合法操作，因此目前有一种倾向就是将严格的管理延伸到中等规模的企业。让咨询师、审计人员以及检查人员感到沮丧的是，小型企业可能无法忍受合法审计过程所带来的复杂性和成本。

　　在现行法律和管理环境影响到的所有业务领域，许多人都认为IT行业是最容易管理的，因为IT行业采用的主要是现有技术，包括用于数据存储和传输的加密方法和标准、切实可行的密码和认证策略以及平台，以及预防恶意软件和系统完整性保护的方法。审计追踪性要求将被分解，而负担主要落在IT硬件和软件供应商身上。

　　现在已有这样的例子，用户起诉产品供应商，因为其产品有可被利用的漏洞和缺陷。因此供应商不得不对源代码进行更全面的测试，保证用户不会因常见的漏洞如缓冲区溢出和权限漏洞而遭受损失。像Coverity和Klocwork这样的代码执行路径分析工具将成为开发周期中不可缺少的工具，提供这类源代码分析工具的企业将成为安全行业大家庭的一员。