9大安全悖论

2.“IT 安全就是信息安全。”

信息安全与信息技术中的安全概念并不是一回事。如果“信息安全”可与“IT 安全”交换使用，就意味着没人能做出基本的非技术安全决策，而且相关部门就会不可避免地去猜测其他部门的意思。

将那些在上述部门中有影响力的人召集起来，共同决定信息（非纸质文档或设备）是否属于公司的资产，就像计算机和纸夹一样。还要决定公司是否授权员工因工作需要以个人身份访问信息。 将这些决策集中起来，并让那些有职权的人签上名。 这样，一天之中可能就有更多的时间来决定如何管理安全，而不用再将时间浪费在猜测上了。

3.“我们的信息安全人员职位在 IT人员之上。”

头衔并不重要。 向 IT 总监报告的安全专家就是一名安全方面的行政官（专业系统管理员），虽然前者拥有信息安全官的头衔。

问题在于，官员一词常常暗示着有权查证或监控所有保护信息的技术或流程控制手段是否有效。 IT 安全管理员通常参与了技术控制手段的设计过程，因此他是不能进行自我审核或证明 IT 手段是否有效的。如果他是在 IT 部门内报告时，尤其如此。 在非军事环境中，公司的安全人员应当以 IT 总监的同事或上级的身份进行报告。

4.“安全不适用于老板。”

尽管萨班斯-奥克斯利法案（Sarbanes-Oxley Act）的颁布使得上市公司出现问题的概率越来越低，但偶尔仍有高级管理人员断然拒绝遵守由自己批准的安全或隐私规定。除非您准备十分谨慎地记录这些恶劣行为，并且保证内容经得起法庭辩论，然后再将他们带至董事会或警察局（或解职），否则您就不得不解决这一问题。

大多数的此类“坏人坏事”还是能够加以控制的，只要向他们指出，他们的行为会影响到其他人的行为就可以了。这样，他们至少用以身作则来加以收敛。不过很少有人会承认这种事，我曾经遇到过很多IT部门只是在经理办公室安装一条DSL线路供“客户”访问，但却对究竟什么人来访问毫不关心。这可不是一种理想的解决办法，假如该经理仍要求签署一份萨班斯-奥克斯利证书的话，那出了事就该轮到你为自己花言巧语地辩护了。

5.“我们有密码政策。”

严格来说，一份规定密码长度和复杂度的文档是一个技术标准或程序，而不是一项政策。政策是商业方针的外在形式。比如说，“个人在被授权使用公司资产前必须先进行唯一性识别并得到确认。” 您会注意到，这个政策例子只是关注在人员和使用权限方面该做些什么，而不涉及如何构建可输入字符的顺序。

尽管某些软件厂商努力在这个术语上大做文章，但像“组策略对象”这样的技术控制手段确实不是政策。不过，我不是一个钻牛角尖者，不会无缘无故陷入术语之争。 工作时讨论的重点应当是密码标准（或者说“密码政策”）是否有真实的政策支持，这样 IT 部门才能将时间花在控制手段的实施上，而不是想方设法为自己的论证辩护，或者未经授权就要求别人遵从。 没有站得住脚的理由和方针，打算花很多时间重复同样的指导，这样的做法是很不得要领的。

6.“我们的管理者已复制了所有密码。”

尽管这种想法会让 CISSP（信息系统安全认证）的新手们感觉不可思议，但确实有一些管理者要求其直接下属将个人密码告诉他。 这种盛气凌人却又十分愚蠢的要求总有一个屡试不爽的理由：“如果有人辞职或生病了该怎么办？我们如何获取他们的文档？”

我最近一次遇到这种与时代格格不入的做法是在一家小型的州级代理机构中，那里有很多律师，按理，他们应该更明白事理。不过，当我遭遇这种抱有“多用户权限便于其访问信息”想法的狂妄者时，我真应该大吼一声“时代不同了，改变一下吧！” 我发现唯一有效的策略就是告诉他：“一旦您这样做，如果下属们做了坏事，您都有嫌疑。您永远都不能将他们开除，因为您自己也将成为一名嫌疑对象。” 鼓励提早退休也值得一试。

 7.“除非我们……，Web 应用才可以运行”。

可以用 IE 安全地浏览 Web 网页，也可以将 B/S结构的应用放在公用互联网上，但却发现某个应用被设计成只供单一客户端使用。这种情况往往意味着，安全原则到最后阶段才被考虑，即使被考虑，其过程也很仓促。

找出设计差劲的 Web 应用应得到人们的特别关注，因为公司浏览器的 Windows“安全区域”设置往往低得不合理，而其目的仅仅是为了能让内部应用程序可用。如果那些用户加载 MySpace 插件浏览内含恶意软件的 Web 邮件时，会发生什么？将这些应用当作无用的遗留代码处理吧，与质量保证部门合作在测试流程中加入基本的安全标准。

8.“品牌 X 就是我们的标准。”

我不是针对戴尔公司，但是当一家颇具规模的机构的硬件人员说，“我们所采用的是戴尔标准（或其他品牌）”这样的话时，他们真正想表达的是，“我们抛弃了技术标准以换取购买时的折扣。”

不过，一家厂商并不是一个技术标准，如果没有人做好准备工作，就会招致麻烦。当厂商（尤其是像思科这样的网络和安全设备厂商）对软件或产品线作出改动时，一定要对功能需求胸有成竹，以确认软件或产品能否仍然如预期那样地工作。 

9.“我们已将防火墙规则发送给……”

多数网络管理员对于密码泄露行为感到厌烦，不过，他们之中有很多人会随意通过电子邮件方式复制其防火墙规则。更糟糕的是，他们会让设备厂商或自由顾问配置其防火墙，并且只保存这些规则的副本。 即便有些复杂，这些规则仍然提供了一份详细的示意图，清楚地说明了贵组织的安全设施与识别内部网络和服务，以及如何找到它们有关的重要信息。

如果没有特别要求其保留防火墙规则，任何一位认真的安全管理专业人员都不应顺手带走他人的防火墙规则副本。合格的信息系统认证审计师或其他审计师将在管理员的系统上检查防火墙规则，而不会在自己的系统上进行。 如果您看到贵公司的防火墙规则被粘贴到审计报告中，尤其是公开报告中，您就准备重新实施项目吧，同时别忘了联系您的律师。（CNW-美国《Network World》供本报专稿）