学习电脑安全策略的真正重点

ZDNet安全频道原创翻译 转载请以文字链形式注明出处

作者：乍得·佩林

也许你的电脑是仅仅是自己在使用，因此不必向其它人说明自己的安全策略。但对于安全情况的了解，还是应该越多越好。
-----------------------------------------------------------------------------------

从2007年7月开始，我关注于网络安全，并撰写了很多相关的网络日志。大家可以从文章中找到我学习的重点，不仅仅是关注技术，而是对安全的质量和深度加强了解。也就是说，在很多方面，技术不是主要的问题，问题也不在于了解、分析、对比“业界最佳做法”。

不过，这并不意味着全面忽视这些“业界最佳做法”。即使你发现它们错失了安全原则中的许多重点，广泛地关注安全技术和涉及的问题，可以让你更清楚地考虑相应的问题。

此外， 所谓“业界最佳做法”的做法是古板的标准专业安全人员所确定的。不论喜欢与否，我们都要能够面对自己的认识；因此，在希望对大家进行安全方面的教育的时间，应该根据大部分人的实际情况来确定。

在“为什么你不能进行管理”一文中，我们就安全专家为什么很难获得支持的一些原因进行了讨论。在后面的文章“如果董事会不支持该怎么办”中，讨论了一些你可以采取的个人保护措施，防止职业生涯受到影响。作为TechRepublic社区成员Dana44指出，文章并没有就如何进行管理提出任何意见。

坦率地说，在一篇文章中根据这些方针提供全面的意见是一件非常愚蠢的事情。关于这个主题，我必须承认，企业政治下的信息安全不是我的专长领域。你是不可能从网上书店Barnes & Noble.com提供的书籍找到真相的。我通常的做法是，仅仅谈论象管理一类的话题，如果有人愿意听，就详细地讨论一下。我认为这是一个不错的机会。

我毕竟只是门外汉，不过，我可能知道正确问题的正确答案而已。如果有人认为我受雇一些所谈论的组织的话，我希望了解原因。如果我说，“我没听说云为基础的防毒系统，”我将很快开始失去对经理以及任何意见的重视和信心。

如果你只是对确保自己的信息安全有兴趣的话。了解软件体系结构、网络系统、基本的加密技术就可以了。至于“智能保护网络”这类的资料，你可能永远也不需要知道。

如果你是一个专业的安全人员，就需要了解安全的前沿领域。只有这样，才能对安全问题进行分析，并给以解决。这包括了：

·目前最热门的工具，不管是好的还是坏的：你需要知道是什么人在使用它，首席信息官的会议和期刊上在推广什么，现在管理人员读的杂志上有什么样的广告。象Secunia PSI和NSI（在汤姆·欧扎克的个人工具集合中可以找到更多的类似软件）、微软Exchange Server智能邮件筛选V2、MOICE等类的软件都被包括在内。你需要了解软件的情况，目前的安全领域内的焦点。如果你已经确定理想的软件选择，也需要从专家的角度提供一个有说服力的解释。

·讨论未来安全性的热门话题：我已经提到过趋势科技行政总裁的先发制人的营销大战，一个以“云”为导向的防毒未来计划。关于如何解决相关的问题，并没有被说明。趋势科技总裁兼首席执行官陈怡桦提供了报告也没有什么真正的意义。目前为止，看起来这只是一种营销的手段。你必须能够确定可能的解决方案的特点，并解释为什么它们并不适用于现在的具体情况，或提供你认为可行的模拟安全计划。因为，对于总裁兼首席执行官来说，安全主管必须是一个专家。

·使用时髦词语和专业术语以表现“最佳做法”的办法：如果你没有准备好，就经常会遇到使用时髦词语的情况。很多情况下，这是在混淆主题范围的讨论。所谓的“业界最佳做法”经常是利用时髦词语和专业术语将大家都知道的问题复杂化。你需要知道如何同坏运气和恶意破坏行为进行斗争，确保数据的安全，这个是不需要讨论。

·适用的清单：希望通过清单实现安全是安全人员最喜欢的一项工作，在我和其它安全专家讨论的时间发现。你需要对“安全政策框架”和其他安全检查清单进行全面的分析。我倾向于先做一个初始的风险评估，确定一个初步估计，以确保系统安全，然后研究安全清单。在这个清单中，你可以对系统进行调整，以获得大家的普遍认可。而且，可以在其他经理提出意见的时间予以解释。

·反对的原因：在你希望进行工作的时间，除了了解支持者的原因外，还需要了解反对者反对的原因。以便在和上层管理人员进行讨论的时间，指出其中的问题。如果没有获得统一的认识的话，核心的安全问题不会得到解决。

如果没有足够的专业知识的话，你可能发现会无法获得董事会的支持。因此，你需要找到自身问题的关键。