|
引用 | 编辑
再一次的相遇
2005-04-05 00:54 |
楼主
|
||
x0
1. 有系统就会有风险 面对系统风险,你可以轻松看待或认真以对,采取转移风险、或以投保的方式规避风险都是不错的方式;但无论如何,你就是不可否定它的存在。而造成系统风险的要素包括:系统弱点、弱点带来的的威胁性及所造成的影响力。 2. 老板名言:以小搏大 老板们会肯投资在安全议题上,最主要有两个原因:一是合乎标准规范,一是为了维护企业形象、商标、商誉以及智财权。而去证明今日花在安全议题上的一分钱,可以在明天替公司省下一块钱,是你最主要的工作。 3. 「完美」的安全难以办到,但可以作到「够好」的程度 如果说都没有任何事情发生,那我们可以说这系统是顶安全的。但这并不表示,只要有一个漏洞就是不安全的系统。我们必须要接受某些程度上的风险。只要你和你的管理阶层意识到这系统是有弱点的,并且作到了告知的动作,其实是算OK的。这也意谓着,你愿意在某特定环境下,容许这种受到监控的缺陷存在。 4. 每个人都应对安全性负起责任 你可以要求客户端来对系统安全性负责。但如果他们觉得是你要负起责任的话,那么,你可就有难题了!因为,当某些无可避免的问题跑出来时,他们也会觉得那是你的责任。 5. 安全议题不吸引人也不有趣,相反的,它无聊极了 企业内部的安全较少着墨于新技术,反而比较常针对人际关系、沟通以及财务会计之类的问题。你可知道,救火还蛮刺激的,但是防灾工作,简直是无聊死了,话说回来,这些预防的工作却可以大大降低火灾的次数及所影响的范围。 6. 预算永远不够 安全经理总是抱怨经费不足。就某些单位来说,这不过就是发发牢骚罢了!这也仅仅表示:管理阶层并不够重视安全性:今天不会重视,明天也不会。但在大多数的单位来讲,如果你负责规划安全专案,你一定会得到你所「需要」的预算。(要注意,我是说「需要」哦,并不是你「想要」的预算) 7. 安全应与人、政策、程序及产品画上等号 很可惜地,多数的系统安全的实行者,主要都是针对产品面。在未来的企业里,有很多相关于安全的技术,如防火墙(Firewall)、企业私有网路(VPN)、企业防毒(AV)、入侵侦测系统(IDS)、系统修补和组态管理工作,都将会纳入系统运作以及资料中心的范围内。而企业会比较希望所谓的系统安全专家,要精于其余比较「软性」的项目。 8. 解决一个最主要的安全问题后,总是会有下一个等着你 安全是永无止境的,它好比是生命轮回一般,是一直循环不断地:定义问题(IDENTIFY)、找出问题(ASSESS)、部署解决方案(DEPLOY)、持续监控(MONITOR)、侦测新的问题(DETECT)、回报与修正(RESPONSE)。这是要不断重覆进行的工作。 9. 资安主管的两难:顶着光环,却无能为力 好的那方面是,大多数单位在指派资安主管上,都相当地循规蹈矩照辈份来,因为常规就是如此!糟糕的方面则是,一直增加资安主管并不会带来更稳健的系统安全,也不会让巳存在的安全性政策更具威信。每当急需要兼具懂营运策略和系统安全性的领导者时,你便会看到,这些资安主管总是努力地埋首在经营的手法上。没人来作,只好自个儿来了。 10. 系统漏洞是永无止境的 我们总是可以发现新的安全漏洞,那究竟是为什么呢?因为啊─漏洞的增加速度永远大过被修补的速度。  x0
|
|||