IT網絡安全管理中妙語佳言安全格言
羅杰·G·約翰斯頓博士是阿貢國家實驗室核工程事業部漏洞評估小隊(VAT)的管理者。該小隊的工作是對安全設備、系統和程序進行分析和研究:
“漏洞評估小隊開展了廣泛的研究,內容涉及反假冒、篡改和入侵檢測、貨物安全、核保障以及利用工業與組織心理學因素的工具保障人身的安全等諸多領域。”
頻繁重復出現的問題
通過在洛斯阿拉莫斯和阿貢國家實驗室的多年工作,在發現和解決安全問題方面約翰斯頓博士已累積相當多的經驗。因此,他領悟到一些事情:
“作為一名安全漏洞評估師,在進行實體安全保障工作時,必須作到認為人都是自私的。或者需要專注于針對具體的安全問題。甚至,必須同時做到這兩點。不管怎么說,看到同樣的安全問題總是重復發生會讓你充滿了挫折感。”
約翰斯頓博士的追求
因此,約翰斯頓博士創建了他的安全格言列表。在之前,我沒有聽說過“安全格言”這個詞,因此,首先要確保大家對它的含義有統一認識:
· 格言:對一個普遍事實或原則的表述。一條原則或行為規則。
約翰斯頓博士進一步限定自己安全格言的定義,認為它們不屬于定理或絕對真理:
“依據我們的經驗,安全格言是在80-90%的時間里都可以有效保證人身安全和核安全的保障措施。”
起初,我沒有認識到約翰斯頓博士的重點是針對人身安全。只是因為他的格言非常符合IT科技領域的特點。這是我的觀點,不知道你是否同意。
最喜愛的安全格言
下面的內容就是我從約翰斯頓博士積累的安全格言中選擇的:
· 永遠存在未知的缺陷:對于給定的安全設備、系統或程序來說,如果存在一個安全漏洞的話,在大多數情況下,將永遠不會被發現(不論是好人還是壞人)。
約翰斯頓博士的評論:
“為什么想到這一點,是因為我們對同樣的安全設備、系統或程序進行第二次或第三次檢查的時間,總能找到新的漏洞。因為我們總能找到其它人遺忘的漏洞,所以反之亦然。”
· 檢查不出缺陷的評估毫無意義:一份僅僅包含少數漏洞或者認為沒有漏洞的評估報告是毫無價值和錯誤的。
· 所謂牢不可破的防護其實不堪一擊:對于安全設備或者系統來說,最大的破壞來自自信/傲慢的設計師、制造商或用戶,破壞程度有多大取決于他們使用“不可能”或“防干擾”之類詞匯的次數。
· 我們都同意等于出現問題:如果你對安全狀況感到滿意的話,一定會出現問題的。
我很高興地看到,約翰斯頓博士非常有幽默感。
· 無知者無畏:在安全方面人們的信任程度和他們實際了解的情況成反比。
約翰斯頓博士的評論:
“如果你從來沒有花時間仔細思考它的話,就會發現安全看起來是非常容易的。”
· 安全水平取決于最薄弱環節:安全的有效性取決于做錯的比做對的更多。
在所有情況下,這條格言都是有效的。約翰斯頓博士的評論:
“因為壞人通常是蓄意和機動而不是隨意進行攻擊的。”
下面幾條格言來自約翰斯頓博士對高層管理人員的看法:
· 領導的水平最關鍵:在安全方面,任何公司(非安全方面)的高層管理人員知道的情況都和安全性成反比,這取決于兩個方面,(1)他們認為安全有多簡單,(2)他們在微觀管理安全方面知道多少以及是怎樣任意調整規則的。
· 高管在安全方面往往自以為是:離中心越遠的(非安全方面)經理越有可能發現,他或她認為(1)自己了解安全及(2)安全性是容易的。
· 高管在公開場所談論安全時往往無知:當一名(非安全方面)的高級經理、官僚或政府官員談論安全方面的事情時,他或她通常會說一些愚蠢的、不現實的、不準確和或天真的觀點。
我個人最喜歡的:
· 很多安全常識并不為常人所知:常識問題的關鍵在于它沒有包含所有常識。
下面的格言解釋為什么安全問題解決起來非常慢:
· 不見棺材不落淚:在沒有最明顯的跡象出現嚴重的安全漏洞前,大家都會得過且過而不去處理。直到出現了壓倒性的證據,并被普遍認識到,而這時間災難已經發生了。換句話說“重大的心理(或實際)損害需要在安全出現重大變化前才能予以防范。”
· 事不關己高高掛起:指出安全漏洞(包括包括理論上他們可能存在的可能性)通常會被認為是“不負責任”,但是很少有人為忽視或掩蓋這些漏洞而負責任。
· 一切要求最低化:大部分人都認為一切是安全的,直到出現有力的證據證明這種認識是錯誤的。大家都向最低標準看齊。
【編輯推薦】
