——读《信息安全:企业抵御风险之道》
王彧
“读这本书时,你会感到毛骨悚然。”美国Amazon.com顶级书评员CharlesAshbacher在他的书评《令人惊慌失措的安全问题日志》一文中这样开头
。
这是一本讲述信息安全管理的书,由一系列企业的安全记事构成。书评员之所以用“毛骨悚然”来形容,是因为该书的作者LindaMcCarthy女士以自己在职业生涯中遇到的案例,用故事的形式讲给读者,情节悬念叠出,教训触目惊心。
该书的作者LindaMcCarthy女士,现任赛门铁克CTO办公室执行安全顾问,LindaMcCarthy经常为各种杂志报章撰写文章。由于她在信息安全领域的诸多贡献,不久前刚被CSO杂志评为“2004年信息安全领域专用解决方案供应商最有影响力女性”。
该书是清华大学出版社与培生教育出版集团合作引进的“系统与安全”丛书之一,McCarthy女士用一种轻松明快的方式写就,每一章都提出一个特定的、常见的安全问题,比如网络访问和安全培训、电子邮件安全、黑客对网络的造访等,然后给出真正的案例和解决方案。McCarthy女士是一位真正了解信息安全全貌的专家,她用自己丰富的工作经历分析了各种规模的企业可能面临的风险,标识并说明了驱动安全计划与执行计划的基础结构。
这本书的序是由EugeneH.Spafford撰写,他认为,本书的突出特点在于“能够根本性地改变人们对信息安全的思考方式”。在他的学生和同事们在寻找深度介绍信息安全的书籍时,他总是将这本书推荐给他们。
我们可以看几个片段,这是作者在每个案例故事后给出的结论的一部分:
凡是进行新系统的加入、系统平台的更换或采取任何重大的组织性修改,您都需要重新进行风险评估。“安全并不是一个只发生一次的事件——它是一项实践。一项由工具、培训、规格和方法组成的实践。”
防火墙的全部目的就是将“黑客”挡在外面。但是,防火墙在一个计划良好的安全结构中仅仅是一块砖而已。如果将他孤立起来,没有清晰的角色和职责、有效的方针与规程和良好维护的支持,他就不能持续有效地工作下去。
当然,病毒和被过度信任的服务器是两种截然不同的“动物”。但我的观点是,您需要为您的网络上所发生的一切负责,不管这件事是一个代码生产商的演示磁盘,或是来自货运外包公司的快速访问。数据的完整性就依赖于一贯的警惕性。
……
这本书的译者赵学良对信息安全的理解颇为精准:安全问题实际上是黑客与安全员之间的“不对称”的战争。
之所以这么说,译者给出了一个解释:一个粗通电脑的人,到Internet上下载工具,看看说明就有可能侵入计算机系统,而防御则需要整套的理论、严密的思考、正确的意识与态度。双方在成本、知识、技能上都是一场“不对称”的战争。
LindaMcCarthy并不只是提出一些局部解决方案或临时的补丁,她凭借自己的工作经历——作为安全审核员、顾问、经理、开发人员、教育专家和执行人员——标识并说明了驱动安全计划与执行的下层结构和态度。她了解计算机安全并不是主要依赖于计算机,而是取决于购买、部署和操作这些计算机的人。这需要对经济学、心理学、法律和围绕计算应用的商业实践(正是这些应用决定了总体的安全状况)都有相当的了解。
该书让人们明白,单单靠人员或技术对于解决人们所面临的安全问题是远远不够的,否则,信息安全也就不是什么大不了的问题了,当然技术很重要,但它不是惟一或最重要的因素。
|