罗杰·G·约翰斯顿博士是阿贡国家实验室核工程事业部漏洞评估小队(VAT)
![](/icons/42765de.gif)
管理者
![](/icons/42765dou2.gif)
该小队
![](/icons/42765de.gif)
工作是对安全设备、系统和
![](/icons/42765chengxu.gif)
进行分析和研究:
“漏洞评估小队开展了广泛
![](/icons/42765de.gif)
研究
![](/icons/42765dou.gif)
内容涉及反假冒、篡改和入侵检测、货物安全、核保障以及利用工业和组织心理学原因
![](/icons/42765de.gif)
工具保障人身
![](/icons/42765de.gif)
安全等诸多领域
![](/icons/42765dou2.gif)
”
频繁重复出现
![](/icons/42765de.gif)
问题
通过在洛斯阿拉莫斯和阿贡国家实验室
![](/icons/42765de.gif)
多年工作
![](/icons/42765dou.gif)
在发现和解决安全问题方面约翰斯顿博士已累积相当多
![](/icons/42765de.gif)
经验
![](/icons/42765dou2.gif)
因此
![](/icons/42765dou.gif)
他领悟到
![](/icons/42765yi.gif)
些事情:
“作为
![](/icons/42765yi.gif)
名安全漏洞评估师
![](/icons/42765dou.gif)
在进行实体安全保障工作时
![](/icons/42765dou.gif)
必须作到认为人都是自私
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
或者需要专注于针对具体
![](/icons/42765de.gif)
安全问题
![](/icons/42765dou2.gif)
甚至
![](/icons/42765dou.gif)
必须同时做到这两点
![](/icons/42765dou2.gif)
不管如何说
![](/icons/42765dou.gif)
看到同样
![](/icons/42765de.gif)
安全问题总是重复发生会让你充满了挫折感
![](/icons/42765dou2.gif)
”
约翰斯顿博士
![](/icons/42765de.gif)
追求
因此
![](/icons/42765dou.gif)
约翰斯顿博士创建了他
![](/icons/42765de.gif)
安全格言列表
![](/icons/42765dou2.gif)
在的前
![](/icons/42765dou.gif)
我没有听说过“安全格言”这个词
![](/icons/42765dou.gif)
因此
![](/icons/42765dou.gif)
首先要确保大家对它
![](/icons/42765de.gif)
含义有统
![](/icons/42765yi.gif)
认识:
· 格言:对
![](/icons/42765yi.gif)
个普遍事实或原则
![](/icons/42765de.gif)
表述
![](/icons/42765dou2.gif)
![](/icons/42765yi.gif)
条原则或行为规则
![](/icons/42765dou2.gif)
约翰斯顿博士进
![](/icons/42765yi.gif)
步限定自己安全格言
![](/icons/42765de.gif)
定义
![](/icons/42765dou.gif)
认为它们不属于定理或绝对真理:
“依据我们
![](/icons/42765de.gif)
经验
![](/icons/42765dou.gif)
安全格言是在80-90%
![](/icons/42765de.gif)
时间里都可以有效保证人身安全和核安全
![](/icons/42765de.gif)
保障措施
![](/icons/42765dou2.gif)
”
起初
![](/icons/42765dou.gif)
我没有认识到约翰斯顿博士
![](/icons/42765de.gif)
重点是针对人身安全
![](/icons/42765dou2.gif)
只是
![](/icons/42765yinwei.gif)
他
![](/icons/42765de.gif)
格言非常符合IT科技领域
![](/icons/42765de.gif)
特点
![](/icons/42765dou2.gif)
这是我
![](/icons/42765de.gif)
观点
![](/icons/42765dou.gif)
不知道你是否同意
![](/icons/42765dou2.gif)
最喜爱
![](/icons/42765de.gif)
安全格言
下面
![](/icons/42765de.gif)
内容就是我从约翰斯顿博士积累
![](/icons/42765de.gif)
安全格言中选择
![](/icons/42765de.gif)
:
· 永远存在未知
![](/icons/42765de.gif)
缺陷:对于给定
![](/icons/42765de.gif)
安全设备、系统或
![](/icons/42765chengxu.gif)
来说
![](/icons/42765dou.gif)
如果存在
![](/icons/42765yi.gif)
个安全漏洞
![](/icons/42765de.gif)
话
![](/icons/42765dou.gif)
在大多数情况下
![](/icons/42765dou.gif)
将永远不会被发现(不论是好人还是坏人)
![](/icons/42765dou2.gif)
约翰斯顿博士
![](/icons/42765de.gif)
评论:
“为什么想到这
![](/icons/42765yi.gif)
点
![](/icons/42765dou.gif)
是
![](/icons/42765yinwei.gif)
我们对同样
![](/icons/42765de.gif)
安全设备、系统或
![](/icons/42765chengxu.gif)
进行第 2次或第 3次检查
![](/icons/42765de.gif)
时间
![](/icons/42765dou.gif)
总能找到新
![](/icons/42765de.gif)
漏洞
![](/icons/42765dou2.gif)
![](/icons/42765yinwei.gif)
我们总能找到其它人遗忘
![](/icons/42765de.gif)
漏洞
![](/icons/42765dou.gif)
所以反的亦然
![](/icons/42765dou2.gif)
”
· 检查不出缺陷
![](/icons/42765de.gif)
评估毫无意义:
![](/icons/42765yi.gif)
份仅仅包含少数漏洞或者认为没有漏洞
![](/icons/42765de.gif)
评估报告是毫无价值和
![](/icons/42765cuowu.gif)
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
· 所谓牢不可破
![](/icons/42765de.gif)
防护其实不堪
![](/icons/42765yi.gif)
击:对于安全设备或者系统来说
![](/icons/42765dou.gif)
最大
![](/icons/42765de.gif)
破坏来自自信/傲慢
![](/icons/42765de.gif)
设计师、制造商或用户
![](/icons/42765dou.gif)
破坏程度有多大取决于他们使用“不可能”或“防干扰”的类词汇
![](/icons/42765de.gif)
次数
![](/icons/42765dou2.gif)
· 我们都同意等于出现问题:如果你对安全状况感到满意
![](/icons/42765de.gif)
话
![](/icons/42765dou.gif)
![](/icons/42765yi.gif)
定会出现问题
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
我很高兴地看到
![](/icons/42765dou.gif)
约翰斯顿博士非常有幽默感
![](/icons/42765dou2.gif)
· 无知者无畏:在安全方面人们
![](/icons/42765de.gif)
信任程度和他们实际了解
![](/icons/42765de.gif)
情况成反比
![](/icons/42765dou2.gif)
约翰斯顿博士
![](/icons/42765de.gif)
评论:
“如果你从来没有花时间仔细研究它
![](/icons/42765de.gif)
话
![](/icons/42765dou.gif)
就会发现安全看起来是非常容易
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
”
· 安全水平取决于最薄弱环节:安全
![](/icons/42765de.gif)
有效性取决于做错
![](/icons/42765de.gif)
比做对
![](/icons/42765de.gif)
更多
![](/icons/42765dou2.gif)
在所有情况下
![](/icons/42765dou.gif)
这条格言都是有效
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
约翰斯顿博士
![](/icons/42765de.gif)
评论:
“
![](/icons/42765yinwei.gif)
坏人通常是蓄意和机动而不是随意进行攻击
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
”
下面几条格言来自约翰斯顿博士对高层管理人员
![](/icons/42765de.gif)
看法:
· 领导
![](/icons/42765de.gif)
水平最关键:在安全方面
![](/icons/42765dou.gif)
任何公司(非安全方面)
![](/icons/42765de.gif)
高层管理人员知道
![](/icons/42765de.gif)
情况都和安全性成反比
![](/icons/42765dou.gif)
这取决于两个方面
![](/icons/42765dou.gif)
(1)他们认为安全有多简单
![](/icons/42765dou.gif)
(2)他们在微观管理安全方面知道多少以及是怎样任意调整规则
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
· 高管在安全方面往往自以为是:离中心越远
![](/icons/42765de.gif)
(非安全方面)经理越有可能发现
![](/icons/42765dou.gif)
他或她认为(1)自己了解安全及(2)安全性是容易
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
· 高管在公开场所谈论安全时往往无知:当
![](/icons/42765yi.gif)
名(非安全方面)
![](/icons/42765de.gif)
高级经理、官僚或政府官员谈论安全方面
![](/icons/42765de.gif)
事情时
![](/icons/42765dou.gif)
他或她通常会说
![](/icons/42765yi.gif)
些愚蠢
![](/icons/42765de.gif)
、不现实
![](/icons/42765de.gif)
、不准确和或天真
![](/icons/42765de.gif)
观点
![](/icons/42765dou2.gif)
我个人最喜欢
![](/icons/42765de.gif)
:
· 很多安全常识并不为常人所知:常识问题
![](/icons/42765de.gif)
关键在于它没有包含所有常识
![](/icons/42765dou2.gif)
下面
![](/icons/42765de.gif)
格言解释为什么安全问题解决起来非常慢:
· 不见棺材不落泪:在没有最明显
![](/icons/42765de.gif)
迹象出现严重
![](/icons/42765de.gif)
安全漏洞前
![](/icons/42765dou.gif)
大家都会得过且过而不去处理
![](/icons/42765dou2.gif)
直到出现了压倒性
![](/icons/42765de.gif)
证据
![](/icons/42765dou.gif)
并被普遍认识到
![](/icons/42765dou.gif)
而这时间灾难已经发生了
![](/icons/42765dou2.gif)
换句话说“重大
![](/icons/42765de.gif)
心理(或实际)损害需要在安全出现重大变化前才能予以防范
![](/icons/42765dou2.gif)
”
· 事不关己高高挂起:指出安全漏洞(包括包括理论上他们可能存在
![](/icons/42765de.gif)
可能性)通常会被认为是“不负责任”
![](/icons/42765dou.gif)
但是很少有人为忽视或掩盖这些漏洞而负责任
![](/icons/42765dou2.gif)
·
![](/icons/42765yi.gif)
切要求最低化:大部分人都认为
![](/icons/42765yi.gif)
切是安全
![](/icons/42765de.gif)
![](/icons/42765dou.gif)
直到出现有力
![](/icons/42765de.gif)
证据证明这种认识是
![](/icons/42765cuowu.gif)
![](/icons/42765de.gif)
![](/icons/42765dou2.gif)
大家都向最低标准看齐
Tags:
延伸阅读
最新评论