9大安全悖論

2.“IT 安全就是信息安全。”

信息安全與信息技術(shù)中的安全概念并不是一回事。如果“信息安全”可與“IT 安全”交換使用，就意味著沒人能做出基本的非技術(shù)安全決策，而且相關(guān)部門就會不可避免地去猜測其他部門的意思。

將那些在上述部門中有影響力的人召集起來，共同決定信息（非紙質(zhì)文檔或設(shè)備）是否屬于公司的資產(chǎn)，就像計(jì)算機(jī)和紙夾一樣。還要決定公司是否授權(quán)員工因工作需要以個(gè)人身份訪問信息。 將這些決策集中起來，并讓那些有職權(quán)的人簽上名。 這樣，一天之中可能就有更多的時(shí)間來決定如何管理安全，而不用再將時(shí)間浪費(fèi)在猜測上了。

3.“我們的信息安全人員職位在 IT人員之上?！?/P>

頭銜并不重要。 向 IT 總監(jiān)報(bào)告的安全專家就是一名安全方面的行政官（專業(yè)系統(tǒng)管理員），雖然前者擁有信息安全官的頭銜。

問題在于，官員一詞常常暗示著有權(quán)查證或監(jiān)控所有保護(hù)信息的技術(shù)或流程控制手段是否有效。 IT 安全管理員通常參與了技術(shù)控制手段的設(shè)計(jì)過程，因此他是不能進(jìn)行自我審核或證明 IT 手段是否有效的。如果他是在 IT 部門內(nèi)報(bào)告時(shí)，尤其如此。 在非軍事環(huán)境中，公司的安全人員應(yīng)當(dāng)以 IT 總監(jiān)的同事或上級的身份進(jìn)行報(bào)告。

4.“安全不適用于老板?！?/P>

盡管薩班斯-奧克斯利法案（Sarbanes-Oxley Act）的頒布使得上市公司出現(xiàn)問題的概率越來越低，但偶爾仍有高級管理人員斷然拒絕遵守由自己批準(zhǔn)的安全或隱私規(guī)定。除非您準(zhǔn)備十分謹(jǐn)慎地記錄這些惡劣行為，并且保證內(nèi)容經(jīng)得起法庭辯論，然后再將他們帶至董事會或警察局（或解職），否則您就不得不解決這一問題。

大多數(shù)的此類“壞人壞事”還是能夠加以控制的，只要向他們指出，他們的行為會影響到其他人的行為就可以了。這樣，他們至少用以身作則來加以收斂。不過很少有人會承認(rèn)這種事，我曾經(jīng)遇到過很多IT部門只是在經(jīng)理辦公室安裝一條DSL線路供“客戶”訪問，但卻對究竟什么人來訪問毫不關(guān)心。這可不是一種理想的解決辦法，假如該經(jīng)理仍要求簽署一份薩班斯-奧克斯利證書的話，那出了事就該輪到你為自己花言巧語地辯護(hù)了。

5.“我們有密碼政策?！?/P>

嚴(yán)格來說，一份規(guī)定密碼長度和復(fù)雜度的文檔是一個(gè)技術(shù)標(biāo)準(zhǔn)或程序，而不是一項(xiàng)政策。政策是商業(yè)方針的外在形式。比如說，“個(gè)人在被授權(quán)使用公司資產(chǎn)前必須先進(jìn)行唯一性識別并得到確認(rèn)?！?您會注意到，這個(gè)政策例子只是關(guān)注在人員和使用權(quán)限方面該做些什么，而不涉及如何構(gòu)建可輸入字符的順序。

盡管某些軟件廠商努力在這個(gè)術(shù)語上大做文章，但像“組策略對象”這樣的技術(shù)控制手段確實(shí)不是政策。不過，我不是一個(gè)鉆牛角尖者，不會無緣無故陷入術(shù)語之爭。 工作時(shí)討論的重點(diǎn)應(yīng)當(dāng)是密碼標(biāo)準(zhǔn)（或者說“密碼政策”）是否有真實(shí)的政策支持，這樣 IT 部門才能將時(shí)間花在控制手段的實(shí)施上，而不是想方設(shè)法為自己的論證辯護(hù)，或者未經(jīng)授權(quán)就要求別人遵從。 沒有站得住腳的理由和方針，打算花很多時(shí)間重復(fù)同樣的指導(dǎo)，這樣的做法是很不得要領(lǐng)的。

6.“我們的管理者已復(fù)制了所有密碼?！?/P>

盡管這種想法會讓 CISSP（信息系統(tǒng)安全認(rèn)證）的新手們感覺不可思議，但確實(shí)有一些管理者要求其直接下屬將個(gè)人密碼告訴他。 這種盛氣凌人卻又十分愚蠢的要求總有一個(gè)屢試不爽的理由：“如果有人辭職或生病了該怎么辦？我們?nèi)绾潍@取他們的文檔？”

我最近一次遇到這種與時(shí)代格格不入的做法是在一家小型的州級代理機(jī)構(gòu)中，那里有很多律師，按理，他們應(yīng)該更明白事理。不過，當(dāng)我遭遇這種抱有“多用戶權(quán)限便于其訪問信息”想法的狂妄者時(shí)，我真應(yīng)該大吼一聲“時(shí)代不同了，改變一下吧！” 我發(fā)現(xiàn)唯一有效的策略就是告訴他：“一旦您這樣做，如果下屬們做了壞事，您都有嫌疑。您永遠(yuǎn)都不能將他們開除，因?yàn)槟约阂矊⒊蔀橐幻右蓪ο蟆！?鼓勵(lì)提早退休也值得一試。

 7.“除非我們……，Web 應(yīng)用才可以運(yùn)行”。

可以用 IE 安全地瀏覽 Web 網(wǎng)頁，也可以將 B/S結(jié)構(gòu)的應(yīng)用放在公用互聯(lián)網(wǎng)上，但卻發(fā)現(xiàn)某個(gè)應(yīng)用被設(shè)計(jì)成只供單一客戶端使用。這種情況往往意味著，安全原則到最后階段才被考慮，即使被考慮，其過程也很倉促。

找出設(shè)計(jì)差勁的 Web 應(yīng)用應(yīng)得到人們的特別關(guān)注，因?yàn)楣緸g覽器的 Windows“安全區(qū)域”設(shè)置往往低得不合理，而其目的僅僅是為了能讓內(nèi)部應(yīng)用程序可用。如果那些用戶加載 MySpace 插件瀏覽內(nèi)含惡意軟件的 Web 郵件時(shí)，會發(fā)生什么？將這些應(yīng)用當(dāng)作無用的遺留代碼處理吧，與質(zhì)量保證部門合作在測試流程中加入基本的安全標(biāo)準(zhǔn)。

8.“品牌 X 就是我們的標(biāo)準(zhǔn)?！?/P>

我不是針對戴爾公司，但是當(dāng)一家頗具規(guī)模的機(jī)構(gòu)的硬件人員說，“我們所采用的是戴爾標(biāo)準(zhǔn)（或其他品牌）”這樣的話時(shí)，他們真正想表達(dá)的是，“我們拋棄了技術(shù)標(biāo)準(zhǔn)以換取購買時(shí)的折扣。”

不過，一家廠商并不是一個(gè)技術(shù)標(biāo)準(zhǔn)，如果沒有人做好準(zhǔn)備工作，就會招致麻煩。當(dāng)廠商（尤其是像思科這樣的網(wǎng)絡(luò)和安全設(shè)備廠商）對軟件或產(chǎn)品線作出改動時(shí)，一定要對功能需求胸有成竹，以確認(rèn)軟件或產(chǎn)品能否仍然如預(yù)期那樣地工作。 

9.“我們已將防火墻規(guī)則發(fā)送給……”

多數(shù)網(wǎng)絡(luò)管理員對于密碼泄露行為感到厭煩，不過，他們之中有很多人會隨意通過電子郵件方式復(fù)制其防火墻規(guī)則。更糟糕的是，他們會讓設(shè)備廠商或自由顧問配置其防火墻，并且只保存這些規(guī)則的副本。 即便有些復(fù)雜，這些規(guī)則仍然提供了一份詳細(xì)的示意圖，清楚地說明了貴組織的安全設(shè)施與識別內(nèi)部網(wǎng)絡(luò)和服務(wù)，以及如何找到它們有關(guān)的重要信息。

如果沒有特別要求其保留防火墻規(guī)則，任何一位認(rèn)真的安全管理專業(yè)人員都不應(yīng)順手帶走他人的防火墻規(guī)則副本。合格的信息系統(tǒng)認(rèn)證審計(jì)師或其他審計(jì)師將在管理員的系統(tǒng)上檢查防火墻規(guī)則，而不會在自己的系統(tǒng)上進(jìn)行。 如果您看到貴公司的防火墻規(guī)則被粘貼到審計(jì)報(bào)告中，尤其是公開報(bào)告中，您就準(zhǔn)備重新實(shí)施項(xiàng)目吧，同時(shí)別忘了聯(lián)系您的律師。（CNW-美國《Network World》供本報(bào)專稿）