by 云舒
2008-04-07
http://www.ph4nt0m.org

这是扯淡企业安全的第二篇，希望还有下一篇。因为这次要扯的意识和策略是个很麻烦的事情，可能写完这个就写不下去了。是策略，还是意识？这个问题经常被人争论，我的思路很直接，策略优先，意识第二。理由很简单，下面随便扯扯看。

首先，不是有较高的安全意识，就不会出问题。安全意识是很主观的一个东西，这就像在战场上，不是不想死的人就不会死。因为有那个意识，不一定有足够的手段能够维持这个意识的目的一定能够达到。简单的说，有一个普通员工，很有安全意识，不认识的人发的邮件不去看，附件不去点，网上乱七八糟的网站也从不浏览，只看CCTV这样和谐的页面。但是某天用工作笔记本在家上网，被人利用防火墙本身的漏洞，或者杀毒软件的漏洞，或者是foxmail的漏洞，或者arp插入到cctv页面的利用某些IEl漏洞给攻击了，一些资料马上被人拿走了。

其次，安全意识有人的情绪在里面，情绪是会波动的，因此安全意识是不稳定的。可能一个一向很有安全意识的人，一天被女朋友甩了情绪低落，去看点XXX网站消遣下，中招了。甚至可能是现在这样春天的中午，吃完午饭回来昏昏欲睡，看到个有意思的URL就去点了一下。

最后，安全意识的培养，相比策略的部署而言，是个更加困难的问题。不是朝夕之间，就可以让一个不懂安全的人，接受告诉他需要注意的条条框框。而在传统企业中，比如我接触过的机械行业，这个问题更困难。即使是在IT行业，给高管讲安全意识也不是一件容易的事情。

鉴于这些，我的思路是策略优于意识的。因为策略弥补了上面的两个问题，策略是稳定而且客观的，只要跟着时间的变化更改策略即可。当然，并不是策略先行就表示可以放弃意识，意识也是非常重要的一环，因为最终用电脑的还是人。再厉害的策略都不可能绝对的安全，再厉害的杀毒软件，也难以对付员工自己点击运行的精心制作的有针对性的木马攻击。

做安全方面的规划，我会从我可以做哪些技术手段开始。安全的目标是在用户不具备极高的安全意识的时候，仍然能够尽可能的维护信息的安全。做一个项目之前，请先想想策略方面哪里有没有周到的地方，而不是马上就说需要提高用户的意识。提高意识，是在策略已经很完善了，普通的攻击无效的情况下才需要考虑的问题。这个时候也就说明，安全已经做到一定程度了。