羅杰·G·約翰斯頓博士是阿貢國家實驗室核工程事業(yè)部漏洞評估小隊(VAT)的管理者。該小隊的工作是對安全設(shè)備����、系統(tǒng)和程序進行分析和研究:
成都創(chuàng)新互聯(lián)提供成都做網(wǎng)站�、網(wǎng)站制作、網(wǎng)頁設(shè)計��,品牌網(wǎng)站制作��,一元廣告等致力于企業(yè)網(wǎng)站建設(shè)與公司網(wǎng)站制作�,十余年的網(wǎng)站開發(fā)和建站經(jīng)驗,助力企業(yè)信息化建設(shè),成功案例突破上千多家,是您實現(xiàn)網(wǎng)站建設(shè)的好選擇.
“漏洞評估小隊開展了廣泛的研究��,內(nèi)容涉及反假冒�����、篡改和入侵檢測���、貨物安全、核保障以及利用工業(yè)與組織心理學因素的工具保障人身的安全等諸多領(lǐng)域�����。”
頻繁重復出現(xiàn)的問題
通過在洛斯阿拉莫斯和阿貢國家實驗室的多年工作�,在發(fā)現(xiàn)和解決安全問題方面約翰斯頓博士已累積相當多的經(jīng)驗。因此���,他領(lǐng)悟到一些事情:
“作為一名安全漏洞評估師���,在進行實體安全保障工作時,必須作到認為人都是自私的�����?���;蛘咝枰獙W⒂卺槍唧w的安全問題。甚至����,必須同時做到這兩點。不管怎么說�,看到同樣的安全問題總是重復發(fā)生會讓你充滿了挫折感?���!?/p>
約翰斯頓博士的追求
因此,約翰斯頓博士創(chuàng)建了他的安全格言列表。在之前��,我沒有聽說過“安全格言”這個詞����,因此,首先要確保大家對它的含義有統(tǒng)一認識:
· 格言:對一個普遍事實或原則的表述��。一條原則或行為規(guī)則��。
約翰斯頓博士進一步限定自己安全格言的定義�,認為它們不屬于定理或絕對真理:
“依據(jù)我們的經(jīng)驗,安全格言是在80-90%的時間里都可以有效保證人身安全和核安全的保障措施���?�!?/p>
起初��,我沒有認識到約翰斯頓博士的重點是針對人身安全。只是因為他的格言非常符合IT科技領(lǐng)域的特點���。這是我的觀點����,不知道你是否同意。
最喜愛的安全格言
下面的內(nèi)容就是我從約翰斯頓博士積累的安全格言中選擇的:
· 永遠存在未知的缺陷:對于給定的安全設(shè)備����、系統(tǒng)或程序來說,如果存在一個安全漏洞的話�,在大多數(shù)情況下,將永遠不會被發(fā)現(xiàn)(不論是好人還是壞人)�。
約翰斯頓博士的評論:
“為什么想到這一點,是因為我們對同樣的安全設(shè)備����、系統(tǒng)或程序進行第二次或第三次檢查的時間,總能找到新的漏洞���。因為我們總能找到其它人遺忘的漏洞��,所以反之亦然��?!?/p>
· 檢查不出缺陷的評估毫無意義:一份僅僅包含少數(shù)漏洞或者認為沒有漏洞的評估報告是毫無價值和錯誤的�。
· 所謂牢不可破的防護其實不堪一擊:對于安全設(shè)備或者系統(tǒng)來說,最大的破壞來自自信/傲慢的設(shè)計師�、制造商或用戶,破壞程度有多大取決于他們使用“不可能”或“防干擾”之類詞匯的次數(shù)��。
· 我們都同意等于出現(xiàn)問題:如果你對安全狀況感到滿意的話,一定會出現(xiàn)問題的����。
我很高興地看到,約翰斯頓博士非常有幽默感�。
· 無知者無畏:在安全方面人們的信任程度和他們實際了解的情況成反比。
約翰斯頓博士的評論:
“如果你從來沒有花時間仔細思考它的話�����,就會發(fā)現(xiàn)安全看起來是非常容易的�����?����!?/p>
· 安全水平取決于最薄弱環(huán)節(jié):安全的有效性取決于做錯的比做對的更多��。
在所有情況下�����,這條格言都是有效的�。約翰斯頓博士的評論:
“因為壞人通常是蓄意和機動而不是隨意進行攻擊的?��!?/p>
下面幾條格言來自約翰斯頓博士對高層管理人員的看法:
· 領(lǐng)導的水平最關(guān)鍵:在安全方面�����,任何公司(非安全方面)的高層管理人員知道的情況都和安全性成反比����,這取決于兩個方面�����,(1)他們認為安全有多簡單�,(2)他們在微觀管理安全方面知道多少以及是怎樣任意調(diào)整規(guī)則的。
· 高管在安全方面往往自以為是:離中心越遠的(非安全方面)經(jīng)理越有可能發(fā)現(xiàn)�����,他或她認為(1)自己了解安全及(2)安全性是容易的��。
· 高管在公開場所談?wù)摪踩珪r往往無知:當一名(非安全方面)的高級經(jīng)理�、官僚或政府官員談?wù)摪踩矫娴氖虑闀r,他或她通常會說一些愚蠢的��、不現(xiàn)實的、不準確和或天真的觀點�。
我個人最喜歡的:
· 很多安全常識并不為常人所知:常識問題的關(guān)鍵在于它沒有包含所有常識。
下面的格言解釋為什么安全問題解決起來非常慢:
· 不見棺材不落淚:在沒有最明顯的跡象出現(xiàn)嚴重的安全漏洞前��,大家都會得過且過而不去處理��。直到出現(xiàn)了壓倒性的證據(jù)�����,并被普遍認識到���,而這時間災(zāi)難已經(jīng)發(fā)生了����。換句話說“重大的心理(或?qū)嶋H)損害需要在安全出現(xiàn)重大變化前才能予以防范����。”
· 事不關(guān)己高高掛起:指出安全漏洞(包括包括理論上他們可能存在的可能性)通常會被認為是“不負責任”����,但是很少有人為忽視或掩蓋這些漏洞而負責任。
· 一切要求最低化:大部分人都認為一切是安全的�����,直到出現(xiàn)有力的證據(jù)證明這種認識是錯誤的��。大家都向最低標準看齊��。
分享名稱:IT網(wǎng)絡(luò)安全管理中妙語佳言安全格言
分享鏈接:
http://uogjgqi.cn/article/cdpscci.html
