9大安全悖論

2.“IT 安全就是信息安全?！?/P>

信息安全與信息技術(shù)中的安全概念并不是一回事。如果“信息安全”可與“IT 安全”交換使用，就意味著沒人能做出基本的非技術(shù)安全決策，而且相關(guān)部門就會不可避免地去猜測其他部門的意思。

將那些在上述部門中有影響力的人召集起來，共同決定信息（非紙質(zhì)文檔或設(shè)備）是否屬于公司的資產(chǎn)，就像計算機(jī)和紙夾一樣。還要決定公司是否授權(quán)員工因工作需要以個人身份訪問信息。 將這些決策集中起來，并讓那些有職權(quán)的人簽上名。 這樣，一天之中可能就有更多的時間來決定如何管理安全，而不用再將時間浪費在猜測上了。

3.“我們的信息安全人員職位在 IT人員之上。”

頭銜并不重要。 向 IT 總監(jiān)報告的安全專家就是一名安全方面的行政官（專業(yè)系統(tǒng)管理員），雖然前者擁有信息安全官的頭銜。

問題在于，官員一詞常常暗示著有權(quán)查證或監(jiān)控所有保護(hù)信息的技術(shù)或流程控制手段是否有效。 IT 安全管理員通常參與了技術(shù)控制手段的設(shè)計過程，因此他是不能進(jìn)行自我審核或證明 IT 手段是否有效的。如果他是在 IT 部門內(nèi)報告時，尤其如此。 在非軍事環(huán)境中，公司的安全人員應(yīng)當(dāng)以 IT 總監(jiān)的同事或上級的身份進(jìn)行報告。

4.“安全不適用于老板?！?/P>

盡管薩班斯-奧克斯利法案（Sarbanes-Oxley Act）的頒布使得上市公司出現(xiàn)問題的概率越來越低，但偶爾仍有高級管理人員斷然拒絕遵守由自己批準(zhǔn)的安全或隱私規(guī)定。除非您準(zhǔn)備十分謹(jǐn)慎地記錄這些惡劣行為，并且保證內(nèi)容經(jīng)得起法庭辯論，然后再將他們帶至董事會或警察局（或解職），否則您就不得不解決這一問題。

大多數(shù)的此類“壞人壞事”還是能夠加以控制的，只要向他們指出，他們的行為會影響到其他人的行為就可以了。這樣，他們至少用以身作則來加以收斂。不過很少有人會承認(rèn)這種事，我曾經(jīng)遇到過很多IT部門只是在經(jīng)理辦公室安裝一條DSL線路供“客戶”訪問，但卻對究竟什么人來訪問毫不關(guān)心。這可不是一種理想的解決辦法，假如該經(jīng)理仍要求簽署一份薩班斯-奧克斯利證書的話，那出了事就該輪到你為自己花言巧語地辯護(hù)了。

5.“我們有密碼政策?！?/P>

嚴(yán)格來說，一份規(guī)定密碼長度和復(fù)雜度的文檔是一個技術(shù)標(biāo)準(zhǔn)或程序，而不是一項政策。政策是商業(yè)方針的外在形式。比如說，“個人在被授權(quán)使用公司資產(chǎn)前必須先進(jìn)行唯一性識別并得到確認(rèn)。” 您會注意到，這個政策例子只是關(guān)注在人員和使用權(quán)限方面該做些什么，而不涉及如何構(gòu)建可輸入字符的順序。

盡管某些軟件廠商努力在這個術(shù)語上大做文章，但像“組策略對象”這樣的技術(shù)控制手段確實不是政策。不過，我不是一個鉆牛角尖者，不會無緣無故陷入術(shù)語之爭。 工作時討論的重點應(yīng)當(dāng)是密碼標(biāo)準(zhǔn)（或者說“密碼政策”）是否有真實的政策支持，這樣 IT 部門才能將時間花在控制手段的實施上，而不是想方設(shè)法為自己的論證辯護(hù)，或者未經(jīng)授權(quán)就要求別人遵從。 沒有站得住腳的理由和方針，打算花很多時間重復(fù)同樣的指導(dǎo)，這樣的做法是很不得要領(lǐng)的。

6.“我們的管理者已復(fù)制了所有密碼?！?/P>

盡管這種想法會讓 CISSP（信息系統(tǒng)安全認(rèn)證）的新手們感覺不可思議，但確實有一些管理者要求其直接下屬將個人密碼告訴他。 這種盛氣凌人卻又十分愚蠢的要求總有一個屢試不爽的理由：“如果有人辭職或生病了該怎么辦？我們?nèi)绾潍@取他們的文檔？”

我最近一次遇到這種與時代格格不入的做法是在一家小型的州級代理機(jī)構(gòu)中，那里有很多律師，按理，他們應(yīng)該更明白事理。不過，當(dāng)我遭遇這種抱有“多用戶權(quán)限便于其訪問信息”想法的狂妄者時，我真應(yīng)該大吼一聲“時代不同了，改變一下吧！” 我發(fā)現(xiàn)唯一有效的策略就是告訴他：“一旦您這樣做，如果下屬們做了壞事，您都有嫌疑。您永遠(yuǎn)都不能將他們開除，因為您自己也將成為一名嫌疑對象?！?鼓勵提早退休也值得一試。

 7.“除非我們……，Web 應(yīng)用才可以運行”。

可以用 IE 安全地瀏覽 Web 網(wǎng)頁，也可以將 B/S結(jié)構(gòu)的應(yīng)用放在公用互聯(lián)網(wǎng)上，但卻發(fā)現(xiàn)某個應(yīng)用被設(shè)計成只供單一客戶端使用。這種情況往往意味著，安全原則到最后階段才被考慮，即使被考慮，其過程也很倉促。

找出設(shè)計差勁的 Web 應(yīng)用應(yīng)得到人們的特別關(guān)注，因為公司瀏覽器的 Windows“安全區(qū)域”設(shè)置往往低得不合理，而其目的僅僅是為了能讓內(nèi)部應(yīng)用程序可用。如果那些用戶加載 MySpace 插件瀏覽內(nèi)含惡意軟件的 Web 郵件時，會發(fā)生什么？將這些應(yīng)用當(dāng)作無用的遺留代碼處理吧，與質(zhì)量保證部門合作在測試流程中加入基本的安全標(biāo)準(zhǔn)。

8.“品牌 X 就是我們的標(biāo)準(zhǔn)?！?/P>

我不是針對戴爾公司，但是當(dāng)一家頗具規(guī)模的機(jī)構(gòu)的硬件人員說，“我們所采用的是戴爾標(biāo)準(zhǔn)（或其他品牌）”這樣的話時，他們真正想表達(dá)的是，“我們拋棄了技術(shù)標(biāo)準(zhǔn)以換取購買時的折扣?！?/P>

不過，一家廠商并不是一個技術(shù)標(biāo)準(zhǔn)，如果沒有人做好準(zhǔn)備工作，就會招致麻煩。當(dāng)廠商（尤其是像思科這樣的網(wǎng)絡(luò)和安全設(shè)備廠商）對軟件或產(chǎn)品線作出改動時，一定要對功能需求胸有成竹，以確認(rèn)軟件或產(chǎn)品能否仍然如預(yù)期那樣地工作。 

9.“我們已將防火墻規(guī)則發(fā)送給……”

多數(shù)網(wǎng)絡(luò)管理員對于密碼泄露行為感到厭煩，不過，他們之中有很多人會隨意通過電子郵件方式復(fù)制其防火墻規(guī)則。更糟糕的是，他們會讓設(shè)備廠商或自由顧問配置其防火墻，并且只保存這些規(guī)則的副本。 即便有些復(fù)雜，這些規(guī)則仍然提供了一份詳細(xì)的示意圖，清楚地說明了貴組織的安全設(shè)施與識別內(nèi)部網(wǎng)絡(luò)和服務(wù)，以及如何找到它們有關(guān)的重要信息。

如果沒有特別要求其保留防火墻規(guī)則，任何一位認(rèn)真的安全管理專業(yè)人員都不應(yīng)順手帶走他人的防火墻規(guī)則副本。合格的信息系統(tǒng)認(rèn)證審計師或其他審計師將在管理員的系統(tǒng)上檢查防火墻規(guī)則，而不會在自己的系統(tǒng)上進(jìn)行。 如果您看到貴公司的防火墻規(guī)則被粘貼到審計報告中，尤其是公開報告中，您就準(zhǔn)備重新實施項目吧，同時別忘了聯(lián)系您的律師。（CNW-美國《Network World》供本報專稿）