管理者
该小队工作是对安全设备、系统和
进行分析和研究:“漏洞评估小队开展了广泛
研究
内容涉及反假冒、篡改和入侵检测、货物安全、核保障以及利用工业和组织心理学原因工具保障人身安全等诸多领域”频繁重复出现
问题通过在洛斯阿拉莫斯和阿贡国家实验室
多年工作在发现和解决安全问题方面约翰斯顿博士已累积相当多经验因此他领悟到
些事情:“作为
名安全漏洞评估师在进行实体安全保障工作时必须作到认为人都是自私或者需要专注于针对具体安全问题甚至必须同时做到这两点不管如何说看到同样安全问题总是重复发生会让你充满了挫折感”约翰斯顿博士
追求因此
约翰斯顿博士创建了他安全格言列表在的前我没有听说过“安全格言”这个词因此首先要确保大家对它含义有统认识:· 格言:对
个普遍事实或原则表述条原则或行为规则约翰斯顿博士进
步限定自己安全格言定义认为它们不属于定理或绝对真理:“依据我们
经验安全格言是在80-90%时间里都可以有效保证人身安全和核安全保障措施”起初
我没有认识到约翰斯顿博士重点是针对人身安全只是
他格言非常符合IT科技领域特点这是我观点不知道你是否同意最喜爱
安全格言下面
内容就是我从约翰斯顿博士积累安全格言中选择:· 永远存在未知
缺陷:对于给定安全设备、系统或来说如果存在个安全漏洞话在大多数情况下将永远不会被发现(不论是好人还是坏人)约翰斯顿博士
评论:“为什么想到这
点是我们对同样安全设备、系统或进行第 2次或第 3次检查时间总能找到新漏洞我们总能找到其它人遗忘漏洞所以反的亦然”· 检查不出缺陷
评估毫无意义:份仅仅包含少数漏洞或者认为没有漏洞评估报告是毫无价值和
· 所谓牢不可破
防护其实不堪击:对于安全设备或者系统来说最大破坏来自自信/傲慢设计师、制造商或用户破坏程度有多大取决于他们使用“不可能”或“防干扰”的类词汇次数· 我们都同意等于出现问题:如果你对安全状况感到满意
话定会出现问题我很高兴地看到
约翰斯顿博士非常有幽默感· 无知者无畏:在安全方面人们
信任程度和他们实际了解情况成反比约翰斯顿博士
评论:“如果你从来没有花时间仔细研究它
话就会发现安全看起来是非常容易”· 安全水平取决于最薄弱环节:安全
有效性取决于做错比做对更多在所有情况下
这条格言都是有效约翰斯顿博士评论:“
坏人通常是蓄意和机动而不是随意进行攻击”下面几条格言来自约翰斯顿博士对高层管理人员
看法:· 领导
水平最关键:在安全方面任何公司(非安全方面)高层管理人员知道情况都和安全性成反比这取决于两个方面(1)他们认为安全有多简单(2)他们在微观管理安全方面知道多少以及是怎样任意调整规则· 高管在安全方面往往自以为是:离中心越远
(非安全方面)经理越有可能发现他或她认为(1)自己了解安全及(2)安全性是容易· 高管在公开场所谈论安全时往往无知:当
名(非安全方面)高级经理、官僚或政府官员谈论安全方面事情时他或她通常会说些愚蠢、不现实、不准确和或天真观点我个人最喜欢
:· 很多安全常识并不为常人所知:常识问题
关键在于它没有包含所有常识下面
格言解释为什么安全问题解决起来非常慢:· 不见棺材不落泪:在没有最明显
迹象出现严重安全漏洞前大家都会得过且过而不去处理直到出现了压倒性证据并被普遍认识到而这时间灾难已经发生了换句话说“重大心理(或实际)损害需要在安全出现重大变化前才能予以防范”· 事不关己高高挂起:指出安全漏洞(包括包括理论上他们可能存在
可能性)通常会被认为是“不负责任”但是很少有人为忽视或掩盖这些漏洞而负责任·
切要求最低化:大部分人都认为切是安全直到出现有力证据证明这种认识是大家都向最低标准看齐
最新评论