经理来自火星 专家来自金星

ZDNet安全频道原创翻译 转载请注明作者以及出处

典型管理者头脑中的世界和典型技术专家头脑中的世界之间存在着一条不可逾越的鸿沟。
--------------------------------------------------------------------------------------------

　　前几天，在一个关于加密技术的邮件列表里我发现了一封和维斯特-沙米尔-阿德勒曼加密算法(RSA)有关的电子邮件。这让我想起了在以前曾经工作过公司的情况，在那里就使用“RSA”，以期让员工更安全地获得计算能力。

　　当年我在公司的职务是网络管理员和IT管理经理，在这里我不会提到公司的具体名称。当时，副总裁要求我参与一个会议，和软件开发部主管就如何实施下一步安全措施进行讨论。经过大约二十多分钟的讨论，话题已经进展到大量开发者使用了运行两种不同Linux操作系统发行版本的高配置ThinkPad笔记本计算机等移动计算平台，它们被主要当作工作站来使用，怎样才能确保这些系统的安全。副总裁转过来对我说： “你觉得RSA的效果怎么样?”

　　这个问题并不复杂，所以我(我想是可以理解的)有点意外和困惑。我用反问的方法回答了这个问题：“这取决于你想用它来做什么。”

　　这下子，他开始朝我眨眼，显示出一副困惑的表情。软件开发部主管回到自己的位置上，等待我们俩进行进一步的沟通看看是否会互相理解对方的话语，因为他不知道我会怎么做。

　　我尽最大的努力从一个门外汉可以理解的角度向他解释关于维斯特-沙米尔-阿德勒曼加密算法的基本常识。我知道这看上去很奇怪，帮助一位非技术经理了解一种加密算法的用途和优点，尽管他管理的仅仅是整个网络中的十台八台运行微软Windows操作系统的计算机。但是只要他提出问题，我就尽力给予答复。为了确保就讨论重点取得一致，他尽力尝试提出一些有帮助的问题，举例来说，他提到“...应该这样利用维斯特-沙米尔-阿德勒曼加密算法实现笔记本计算机的安全访问?”当然，这也正如我在前面已经提到的，看起来就这个问题我们之间根本无法进行沟通。

　　经过几分钟的交谈我才突然发现，实际上副总裁并不是让我介绍对维斯特-沙米尔-阿德勒曼加密算法的认识。实际上，转折出现在软件开发部主管那里，也就是那位坐在旁边看我们讨论的老兄，他问了副总裁一个清楚但似乎没有什么关联的问题，让我的头脑在瞬间清醒了，彻底领悟了关键所在。

　　“你的意思是RSA安全这家公司?”

　　我都有种要用Palm手机拍自己前额的欲望，但这样只会激怒副总裁。相反的，我是这样说：“噢， RSA安全公司!我还以为你问的RSA加密算法。”

　　接着，我就加密算法和加密产品之间的区别进行了解释。在这段时间里，副总裁询问了RSA安全公司SecurID硬件令牌(可以提供一次性密码、多因素验证等功能)产品线的情况。他是在一本杂志的广告上看到的这种产品。对于非技术经理来说，同名的公司而不是加密算法才是符合自身定位的真正问题。

　　我告诉他，在判断这种产品是否符合公司的需求之前，我必须对产品进行一些分析和研究。关于这样的研究，我告诉他，必须包括与需要使用的员工(对于安全来说，防止出现漏洞是非常重要的，部署前的评估就是处于这样的目的)进行讨论，并且还要确定它们是否会和我们系统的配置产生冲突。

　　这个故事告诉我们，以技术为导向的IT专业人士，特别是象安全专业人员之类的项目专家，必须确保自己已经认识到和非技术人员之间存在交流的鸿沟。这种误区最少也会导致在讨论问题时浪费时间，最坏的情况则可能导致事故出现。在许多方面，管理人员和技术人员都生活在不同的世界中。在就技术问题进行讨论的时间，我们需要加倍小心，以确保表达的意思是一致的。