如何應對一場不對稱的戰爭

　　——讀《信息安全：企業抵御風險之道》

　　王彧

　　“讀這本書時，你會感到毛骨悚然�！泵绹�Ａｍａｚｏｎ．ｃｏｍ頂級書評員ＣｈａｒｌｅｓＡｓｈｂａｃｈｅｒ在他的書評《令人驚慌失措的安全問題日志》一文中這樣開頭 。

　　這是一本講述信息安全管理的書，由一系列企業的安全記事構成。書評員之所以用“毛骨悚然”來形容，是因為該書的作者ＬｉｎｄａＭｃＣａｒｔｈｙ女士以自己在職業生涯中遇到的案例，用故事的形式講給讀者，情節懸念疊出，教訓觸目驚心。

　　該書的作者ＬｉｎｄａＭｃＣａｒｔｈｙ女士，現任賽門鐵克ＣＴＯ辦公室執行安全顧問，ＬｉｎｄａＭｃＣａｒｔｈｙ經常為各種雜志報章撰寫文章。由于她在信息安全領域的諸多貢獻，不久前剛被ＣＳＯ雜志評為“2004年信息安全領域專用解決方案供應商最有影響力女性”。

　　該書是清華大學出版社與培生教育出版集團合作引進的“系統與安全”叢書之一，ＭｃＣａｒｔｈｙ女士用一種輕松明快的方式寫就，每一章都提出一個特定的、常見的安全問題，比如網絡訪問和安全培訓、電子郵件安全、黑客對網絡的造訪等，然后給出真正的案例和解決方案。ＭｃＣａｒｔｈｙ女士是一位真正了解信息安全全貌的專家，她用自己豐富的工作經歷分析了各種規模的企業可能面臨的風險，標識并說明了驅動安全計劃與執行計劃的基礎結構。

　　這本書的序是由ＥｕｇｅｎｅＨ．Ｓｐａｆｆｏｒｄ撰寫，他認為，本書的突出特點在于“能夠根本性地改變人們對信息安全的思考方式”。在他的學生和同事們在尋找深度介紹信息安全的書籍時，他總是將這本書推薦給他們。

　　我們可以看幾個片段，這是作者在每個案例故事后給出的結論的一部分：

　　凡是進行新系統的加入、系統平臺的更換或采取任何重大的組織性修改，您都需要重新進行風險評估�！鞍踩�并不是一個只發生一次的事件——它是一項實踐。一項由工具、培訓、規格和方法組成的實踐�！�

　　防火墻的全部目的就是將“黑客”擋在外面。但是，防火墻在一個計劃良好的安全結構中僅僅是一塊磚而已。如果將他孤立起來，沒有清晰的角色和職責、有效的方針與規程和良好維護的支持，他就不能持續有效地工作下去。

　　當然，病毒和被過度信任的服務器是兩種截然不同的“動物”。但我的觀點是，您需要為您的網絡上所發生的一切負責，不管這件事是一個代碼生產商的演示磁盤，或是來自貨運外包公司的快速訪問。數據的完整性就依賴于一貫的警惕性。

　　……

　　這本書的譯者趙學良對信息安全的理解頗為精準：安全問題實際上是黑客與安全員之間的“不對稱”的戰爭。

　　之所以這么說，譯者給出了一個解釋：一個粗通電腦的人，到Ｉｎｔｅｒｎｅｔ上下載工具，看看說明就有可能侵入計算機系統，而防御則需要整套的理論、嚴密的思考、正確的意識與態度。雙方在成本、知識、技能上都是一場“不對稱”的戰爭。

　�。蹋椋睿洌幔停悖茫幔颍簦瑁�并不只是提出一些局部解決方案或臨時的補丁，她憑借自己的工作經歷——作為安全審核員、顧問、經理、開發人員、教育專家和執行人員——標識并說明了驅動安全計劃與執行的下層結構和態度。她了解計算機安全并不是主要依賴于計算機，而是取決于購買、部署和操作這些計算機的人。這需要對經濟學、心理學、法律和圍繞計算應用的商業實踐（正是這些應用決定了總體的安全狀況）都有相當的了解。

　　該書讓人們明白，單單靠人員或技術對于解決人們所面臨的安全問題是遠遠不夠的，否則，信息安全也就不是什么大不了的問題了，當然技術很重要，但它不是惟一或最重要的因素。