IT网络安全管理中妙语佳言安全格言

罗杰·G·约翰斯顿博士是阿贡国家实验室核工程事业部漏洞评估小队(VAT)的管理者。该小队的工作是对安全设备、系统和程序进行分析和研究:

“漏洞评估小队开展了广泛的研究,内容涉及反假冒、篡改和入侵检测、货物安全、核保障以及利用工业与组织心理学因素的工具保障人身的安全等诸多领域。”

频繁重复出现的问题

通过在洛斯阿拉莫斯和阿贡国家实验室的多年工作,在发现和解决安全问题方面约翰斯顿博士已累积相当多的经验。因此,他领悟到一些事情:

“作为一名安全漏洞评估师,在进行实体安全保障工作时,必须作到认为人都是自私的。或者需要专注于针对具体的安全问题。甚至,必须同时做到这两点。不管怎么说,看到同样的安全问题总是重复发生会让你充满了挫折感。”

约翰斯顿博士的追求

因此,约翰斯顿博士创建了他的安全格言列表。在之前,我没有听说过“安全格言”这个词,因此,首先要确保大家对它的含义有统一认识:

· 格言:对一个普遍事实或原则的表述。一条原则或行为规则。

约翰斯顿博士进一步限定自己安全格言的定义,认为它们不属于定理或绝对真理:

“依据我们的经验,安全格言是在80-90%的时间里都可以有效保证人身安全和核安全的保障措施。”

起初,我没有认识到约翰斯顿博士的重点是针对人身安全。只是因为他的格言非常符合IT科技领域的特点。这是我的观点,不知道你是否同意。

最喜爱的安全格言

下面的内容就是我从约翰斯顿博士积累的安全格言中选择的:

· 永远存在未知的缺陷:对于给定的安全设备、系统或程序来说,如果存在一个安全漏洞的话,在大多数情况下,将永远不会被发现(不论是好人还是坏人)。

约翰斯顿博士的评论:

“为什么想到这一点,是因为我们对同样的安全设备、系统或程序进行第二次或第三次检查的时间,总能找到新的漏洞。因为我们总能找到其它人遗忘的漏洞,所以反之亦然。”

· 检查不出缺陷的评估毫无意义:一份仅仅包含少数漏洞或者认为没有漏洞的评估报告是毫无价值和错误的。

· 所谓牢不可破的防护其实不堪一击:对于安全设备或者系统来说,最大的破坏来自自信/傲慢的设计师、制造商或用户,破坏程度有多大取决于他们使用“不可能”或“防干扰”之类词汇的次数。

· 我们都同意等于出现问题:如果你对安全状况感到满意的话,一定会出现问题的。

我很高兴地看到,约翰斯顿博士非常有幽默感。

· 无知者无畏:在安全方面人们的信任程度和他们实际了解的情况成反比。

约翰斯顿博士的评论:

“如果你从来没有花时间仔细思考它的话,就会发现安全看起来是非常容易的。”

· 安全水平取决于最薄弱环节:安全的有效性取决于做错的比做对的更多。

在所有情况下,这条格言都是有效的。约翰斯顿博士的评论:

“因为坏人通常是蓄意和机动而不是随意进行攻击的。”

下面几条格言来自约翰斯顿博士对高层管理人员的看法:

· 领导的水平最关键:在安全方面,任何公司(非安全方面)的高层管理人员知道的情况都和安全性成反比,这取决于两个方面,(1)他们认为安全有多简单,(2)他们在微观管理安全方面知道多少以及是怎样任意调整规则的。

· 高管在安全方面往往自以为是:离中心越远的(非安全方面)经理越有可能发现,他或她认为(1)自己了解安全及(2)安全性是容易的。

· 高管在公开场所谈论安全时往往无知:当一名(非安全方面)的高级经理、官僚或政府官员谈论安全方面的事情时,他或她通常会说一些愚蠢的、不现实的、不准确和或天真的观点。

我个人最喜欢的:

· 很多安全常识并不为常人所知:常识问题的关键在于它没有包含所有常识。

下面的格言解释为什么安全问题解决起来非常慢:

· 不见棺材不落泪:在没有最明显的迹象出现严重的安全漏洞前,大家都会得过且过而不去处理。直到出现了压倒性的证据,并被普遍认识到,而这时间灾难已经发生了。换句话说“重大的心理(或实际)损害需要在安全出现重大变化前才能予以防范。”

· 事不关己高高挂起:指出安全漏洞(包括包括理论上他们可能存在的可能性)通常会被认为是“不负责任”,但是很少有人为忽视或掩盖这些漏洞而负责任。

· 一切要求最低化:大部分人都认为一切是安全的,直到出现有力的证据证明这种认识是错误的。大家都向最低标准看齐。

【编辑推荐】

  1. 网络安全与保护:在差异中寻求共识
  2. 利用安全科学远程访问 确保企业内部网络安全
  3. 美网络安全不足 官僚机构权责不明

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/121346.html<

(0)
管理的头像管理
上一篇2025-02-21 20:17
下一篇 2025-02-21 20:19

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注