開放有理 風險無罪？談政府雙OS計畫

| | | | | | 8則回應

    

開放或封閉?

隨著開原碼成為政府採購政策青睞對象，也取得了媒體報導主流角色，這也帶動企業組織採用Linux等開原碼作為企業營運系統平台的意願。這也是本篇文章討論的基礎：隨著開原碼系統進入企業IT領域，也應當像Unix、Windows等其他所系統接受一樣的質疑；筆者並非是視窗或是封閉系統的擁護者，只是，對企業而言，IT採購絕不能以「信念」為最高指導原則；成本效益、效率、穩定性等等才是CIO或IT經理考量的重點。

「從企業IT管理角度來看，企業採用Linux的理由之一是佈署Linux為桌面作業系統可以降低企業相當的購置成本，也讓企業會不被綁死在單一作業系統上，」你可能會這麼說。但筆者根據自身在資訊安全領域的經驗認為，佈署Linux作為桌面從安全、及管理上將會企業平添更多風險。

安全風險性

首先，Linux平台的風險與弱點鮮少人予以重視。開放提供了使用者更多的空間自行開發，然而也因為開放，導致有更多的漏洞與風險性需要謹慎考量。整體來說，根據如bugtraq或是相關研究弱點與風險的組織報告，Linux也有不少弱點，例如2006/5以來就有超過上百個各式相關弱點被證實與發現。這些弱點現在不構成威脅，並非這些弱點與風險的等級不若視窗平台嚴重，而是因為目前大多數線上系統採用較為保守與封閉的系統，使用開放原始碼的人數相對較少。或許視窗平台從不間斷的修正程式已經讓使用者感到疲憊與厭倦，但是至少使用者在可預測時程時加以修補，就可以很輕易免於被種植木馬或遭蠕蟲攻擊的機會。但這些在Linux界乃付之闕如。

管理風險性

第二，企業可能必須增加為「開放」環境而設計的新的控制項目與措施。Windows在桌面作業系統佔了90%以上的市佔率，也造就工具軟體支援的豐富度，而然新的操作平台意味著原有的管理機制與程序並不適用，而必須重新學習或取得。或許諸多擁護者會說，網路上有眾多的工具可供採用新平台的使用者應用。但這意謂著操作者需要花費更多的時間去熟悉以便維持相當的可用性與安全性，徒增管理負擔。

即使企業願意，也還是有相當風險性。依中信局「雙OS」的理想，在一台PC上同時預載Linux及Windows，管理者可能面臨的問題包括：應用程式或安全軟體是否通用？文件是否通用？溝通介面是否通用？還是每套OS上各裝一套？此外，就算切換的難度不高，但又有多少使用者需要不斷在二種作業系統上切換呢？

企業與單位中複雜、繁瑣的作業環境與程序，以及原有的系統與機制的整合，不僅加深了其風險性，同時間更反而導致購置與維護或是總體擁有成本(TCO)提高，違背了當初採購的初衷。

開放是演化而非革命

就像任何激進的革命一樣，沒有配套措施的開放將導致毀滅性的破壞。採用開原碼是一種IT佈署的革命，增加了開放平台讓其擁護者無不欣見革命的成功，從此可以登堂入室，和Windows平起平坐。然而缺乏合適的配套的措施與機制，比如跨平台的管理機制，可提供使用者管理Windows、Linux兼具的桌面環境，而中間的管理人力又是另一個問題。這絕對不是當初採用開放平台時所可以預見的。這時，誰是贏家、誰是輸家答案早已分明，然而最後付出代價的，可能是基於一時信仰而作出選擇的資訊管理人員及企業。

作者長期任職於IT產業，對網路安全、IT管理、資訊規劃多所研究，文章經常發表於各資訊相關刊物。