防线漏洞百出　谈安全界10大不专业现象

当乳臭未干的孩子们说“我不敢做”的时候，妈妈总会在第一时间说“没事，没有什么好担心的”。系统管理员拿着一盒备份磁带说“几分钟就能把所有备份搞定”，有时人们所听到的第一句话总是正中下怀，不管这话到底在多大程度上是真的。信息安全也一样，有些话乍听起来使人非常放心，但是作为安全顾问来讲，我发现这些通常令人放心的事情指的是内部信息资产和技术资源的保安工作，或者是那些与自己责任不大的问题。

“我们已经形成了安全文化”

我经常从一些这样的企业里听到这样的话，这些企业开始很小，可能是家庭作坊，随着经营深入，然后眨眼间发现自己的公司已经发展为上千人的大企业，但缺乏管理措施和执行策略。报有这种想法的老板可以到安静的咖啡屋，喝上一杯咖啡，仔细想想有多少工作要做。最简单的，没有指导意见、没有反馈机制如何来建立安全，每个人对安全的理解都不同，还奢谈什么文化，与其谈“安全文化”还不如提倡“以身作则”文化。如果有规章制度的话，将其写下来；如果有落实和监督规章制度的相关技术的话，也将其写下来；如果有人违反规章制度的话，严格查办；如果规章制度阻碍了正常业务的开展，调整。就这么简单。

“IT安全在我们这里就是信息安全”

信息安全不等于IT安全，假如信息安全这个术语和IT安全一个概念的话，那就意味着没有人做基础的非技术安全规定了，同时还会对多个部门的职责界定造成影响，IT、人力资源、法律、审计等部门都回造成混乱。将上述受影响的部门集合在一起，讨论一下信息是否是公司的资产，就像计算机和资料文档一样。考虑公司如何对员工的工作、物理接入以及信息对每个人授权，确定下来并形成一个组策略，并向领导请示尽快落实下来，这样的话可能就有时间来考虑如何管理安全了，而不要总是纸上谈兵。

要明确信息是公司资产的一部分，有时甚至是公司最大的资产。信息的价值要比IT软硬件的价值高，这点一定要明确。

“这对老板不适用”

虽然在塞班斯法案实施后，这一问题有所好转，但有时公司高管还是拒绝遵从自己亲自批准的安全策略。除非你工作一丝不苟，并准备跟他杠上了，否则大多数人会选择睁一只眼闭一只眼。领导至少应该在员工面前以身作则，回到自己办公室该怎么样还怎么样不管，但要给员工带好头。如果还想通过塞班斯法案检查的话，最好还是按规矩办为好。

“我们的信息安全官在IT部”

不管名号怎么叫，IT部门的安全专家只能是安全管理员，即使这个人保有信息安全官的头衔。这里面的问题是通常信息安全官的职责是确认各种安全措施是否能够有效地防护信息安全。安全管理员通常是设计这些安全措施的技术负责人，因此自我审计自己的工作效果。这就是“既当运动员，又当裁判员”的问题。除了军事单位，公司内信息安全官的职位应该高于IT主管。

“我们有密码策略”

严格来讲，规定密码长度、复杂度的文档是一份技术标准或操作指南，而不应该叫作策略。策略是业务指令的容器，例如“个人在被授权使用公司资产之前必须确认身份并授权”。注意策略是要做什么，而不是如何做。虽然在某些软件厂商的努力下，概念上有些混淆，“组策略对象”根本就不是策略。然而，我不是吹毛求疵的人，不会抓住术语的叫法不放。重要的是该密码标准（或者说策略）根本不符合真正的策略要求，以致于IT人员花大量时间对此进行控制，而不去管未授权使用的问题，真是舍本逐末。没有好的操作指导和要求，做再多其它努力也是无用功。

“我们经理拥有全部密码”

虽然这是CISSP的初级错误，但现实中确实有一些经理要求这样做。美其名曰怕有人突然辞职或生病不能到公司，无法进行相关工作。我上一次遇到这样的神人是在一个小的政府机构里，里面全是律师，本应该知道这是不对的。然而，当我碰到这样的情况，我会毫不犹豫叫停。这样对经理说很有效：如果你这样做的话，他们犯任何错误，你都有嫌疑；永远也不得消停。想早点退休的话，那就这么干吧。

“Web应用只有在....，才....”

使用IE也可以安全的浏览网页，自己开发的客户端/服务器应用也可以放在互联网上，但如果发现某个应用只针对客户的某种配置，那就意味着安全考虑的还不够。大多设计良好的Web应用是跨平台的，并通过虚拟环境进行测试。发现设计不良的Web应用特别受人关注，因为Windows安全地带对于正确设置浏览器的要求比较低，这通常是为了内部应用能够正常工作。但是当用户用于中了MySpace病毒，浏览了含有拉登恶意软件的电子邮件会怎么样呢？通常该应用会被贬的一无是处，这时候再到质量保障部测试那不是耽误事吗。

“X品牌是我们的标准”

我对某个品牌没有任何成见，但是当一家大型企业的硬件采购人员说“我们的标准是Dell（或其它品牌）”，那这里面的真正意思是“我们将技术标准扔了吧，只考虑采购成本，厂商提供什么我就用什么”。这就像我姨妈逛街购物，只看打折信息，不看这东西到底有什么用，买它是因为“它降价75%”。但对于我姨妈和IT人来说，做决定时要注意几点，选择一家厂商的产品是可以的，试用一段，如果不合要求就果断换掉。

一家厂商当然不可能代表技术标准，不做功课就会有问题，当厂商改变了产品线，尤其是对网络和安全设备来说，功能是否还能达到要求。当顾客都不知道想要什么的时候，似乎一切都是需要的。

“这些是从哪来的”

对于那些高科技设备找厂家直接服务还可以理解，但IT部门应该负起应负的责任，IT部门的帮助台电话跟有些厂商的800电话一样难打。企业的安全策略不是只用来读的，应该切切实实的落实下来。

“我们将防火墙规则发送给了...”

大多数网络管理员对于上述泄露密码给主管一事心知肚明，但有些竟然随便将防火墙规则拷贝用电子邮件发送出去；更遭的是，有些竟然让厂家或者自由顾问对防火墙进行配置。这些规则，如果足够复杂的话，会暴露整个企业的网络拓扑以及安全防范。没有特别需要的话，没有一个认真的安全专家会拷贝别人的防火墙规则，系统审计员会查看规则的变动情况。如果发现防火墙规则外泄了，那就准备重新规划企业IP设计吧。