覺得自己沒那么容易被黑？非也！黑客眼里，絕大多數(shù)人都是毫不設(shè)防的小綿羊。想維持安全狀態(tài)，以下幾個(gè)秘密不可不看。

被請(qǐng)去做計(jì)算機(jī)安全實(shí)踐評(píng)估的時(shí)候，會(huì)看到公司整體實(shí)踐中哪些有用而哪些根本就是擺設(shè)。一名從事信息安全咨詢20余年的顧問，每年都會(huì)分析20~50家大大小小的公司，他基于這么多年的評(píng)估經(jīng)驗(yàn)?zāi)艹鲆粋€(gè)結(jié)論：成功的安全策略不在于工具——在于團(tuán)隊(duì)。

只要在正確的地方配置對(duì)的人，有支持性管理和執(zhí)行良好的防護(hù)過程，無論你使用的是什么工具，你的公司都會(huì)非常安全。了解計(jì)算機(jī)安全的重要性，把安全作為業(yè)務(wù)關(guān)鍵部分，而不僅僅是罪惡之源來看待的公司，也是最不容易遭受災(zāi)難性數(shù)據(jù)泄露的公司。每家公司都覺得自己擁有這種公司文化；然而，極少有公司真正做到。

下面列出的，是幾家在安全方面有著非常高的防護(hù)水平公司所采用的通行實(shí)踐和策略，堪稱保證自身企業(yè)重要資產(chǎn)安全的秘籍。

一、關(guān)注真正的威脅

一大波威脅正向我們涌來，真真正正是前所未有的，歷史性的挑戰(zhàn)。惡意軟件、人類對(duì)手、企業(yè)黑客、黑客活動(dòng)分子、政府(國內(nèi)外政府均是)，乃至內(nèi)部人士，都是我們面臨的威脅。銅線、能量波、無線電波，甚至光線，都是黑客能用的手段。

因此，我們被灌輸了成千上萬條“安全須知”。我們每年都被要求往操作系統(tǒng)、應(yīng)用、硬件、固件、計(jì)算機(jī)、平板、移動(dòng)設(shè)備和手機(jī)里打上幾百個(gè)補(bǔ)丁，但我們還是會(huì)被黑，會(huì)被勒索軟件把最重要的數(shù)據(jù)鎖上。

聰明的公司意識(shí)到，大多數(shù)安全威脅都只是可以忽略的噪音。他們明白，任何時(shí)候，自身風(fēng)險(xiǎn)都只來自于一小撮基本威脅。因此，他們的關(guān)注力只放在這些基本威脅上。花點(diǎn)時(shí)間識(shí)別出自家公司的最主要威脅，排個(gè)優(yōu)先級(jí)，然后集中精力對(duì)付威脅列表上最頂級(jí)的那些。就是這么簡單。

然而，大多數(shù)公司都沒這么干。相反，他們?cè)趲资綆装賯€(gè)安全項(xiàng)目中來回折騰，最嚴(yán)重的缺口一直放著不管，或者只把最輕微的威脅滅殺掉。

好好想想。你曾被人利用SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)，或者沒打補(bǔ)丁的服務(wù)器管理界面卡黑過嗎？曾在現(xiàn)實(shí)世界中看到過此類報(bào)道嗎？那么，為什么要讓我把這倆當(dāng)成最高優(yōu)先級(jí)寫進(jìn)我的審計(jì)報(bào)告里呢(曾經(jīng)有個(gè)客戶這么要求過)？同時(shí)，你的環(huán)境已經(jīng)被人通過其他更常見的漏洞攻破了……

想要成功緩解風(fēng)險(xiǎn)，弄清哪種風(fēng)險(xiǎn)需要你及時(shí)關(guān)注，哪種可以稍后再看，是十分必要的。

二、知道你擁有的

有時(shí)候，最不起眼的東西才是決勝法寶。在計(jì)算機(jī)安全上，這意味著建立準(zhǔn)確的資產(chǎn)清單，公司的系統(tǒng)、軟件、數(shù)據(jù)和設(shè)備都要列出來。大多數(shù)公司根本不知道自己環(huán)境中都運(yùn)行著些什么。對(duì)根本不知道的東西，你怎么去保護(hù)它的安全？

捫心自問，你的團(tuán)隊(duì)對(duì)公司電腦開機(jī)運(yùn)行的所有程序和進(jìn)程了解多少？在一個(gè)任何額外程序都會(huì)為黑客提供另一個(gè)攻擊界面的世界里，所有這些程序和進(jìn)程都是員工工作必需的嗎？你的環(huán)境中各個(gè)程序的副本都有多少？都是哪幾個(gè)版本的？有多少業(yè)務(wù)關(guān)鍵程序構(gòu)建了公司的基礎(chǔ)？它們有什么依賴關(guān)系？

最好的公司對(duì)哪個(gè)程序運(yùn)行在哪里有著嚴(yán)格的控制。缺乏一張全面的準(zhǔn)確的當(dāng)前IT資產(chǎn)清單，安全就是空談。

三、去除，然后保護(hù)

不必要的程序就是不需要的風(fēng)險(xiǎn)。最安全的公司審視自己的IT資產(chǎn)清單，去除那些不必要的，然后減少所剩資產(chǎn)的風(fēng)險(xiǎn)。

最近我剛給一家公司做了咨詢，那家公司裝了超過80000份沒打補(bǔ)丁的Java，橫跨5個(gè)版本。他們的員工從不知道竟然有這么多Java。域控制器、服務(wù)器、工作站，簡直到處都是。大家都知道，僅僅只有1個(gè)業(yè)務(wù)關(guān)鍵程序需要用到Java，而這個(gè)程序僅僅只在幾十臺(tái)應(yīng)用服務(wù)器上跑。

他們?cè)儐柫巳w人員，立即將Java安裝范圍縮小到幾百臺(tái)計(jì)算機(jī)，版本也減少到3個(gè)，并且大多打上了補(bǔ)丁。剩下幾十臺(tái)打不上補(bǔ)丁的才是重頭戲。他們聯(lián)系了供應(yīng)商，找到為什么Java版本不能更新的原因，更換了一些供應(yīng)商，給打不上補(bǔ)丁的Java設(shè)置了風(fēng)險(xiǎn)緩解補(bǔ)償措施。

四、設(shè)想風(fēng)險(xiǎn)評(píng)估和整體工作量之間的差別

這不僅應(yīng)用在軟件的每一個(gè)比特和硬件上，對(duì)數(shù)據(jù)也適用。先清除掉不必要的數(shù)據(jù)，然后保護(hù)剩下數(shù)據(jù)的安全。有意的刪除，是最強(qiáng)大的數(shù)據(jù)安全策略。確保每個(gè)新數(shù)據(jù)收集者定義好自己的數(shù)據(jù)需要保存多長時(shí)間。給數(shù)據(jù)打上有效期時(shí)限。時(shí)候一到，與其主人核對(duì)能不能刪除。然后，保護(hù)剩下的數(shù)據(jù)。

五、保持最新版本

最安全的公司，其硬件和軟件都用的最新版本。是的，每家大公司都有舊硬件和老軟件，但其IT資產(chǎn)組成中絕大部分都是最新或次新版的。

不僅僅是硬件和操作系統(tǒng)，應(yīng)用程序和工具集也是如此。采購成本不僅僅包含購買價(jià)格和維護(hù)開銷，還包括了未來升級(jí)版本的資金。這些資產(chǎn)的主人有責(zé)任保持更新。

你也許會(huì)想，“為嘛要為了更新而更新呢？”但，這是一種過時(shí)的，不安全的想法。最新的軟件和硬件，內(nèi)置了最新的安全特性，通常還是默認(rèn)開啟的。上一個(gè)版本的最大威脅，在當(dāng)前版本中很有可能被修復(fù)了，也就讓舊版在想要利用已知漏洞的黑客面前更加可口了。

六、速度打補(bǔ)丁

這是一條老生常談的建議：所有關(guān)鍵漏洞要在廠商補(bǔ)丁發(fā)布一周之內(nèi)補(bǔ)上。但是，大多數(shù)公司依然留有成千上萬個(gè)沒補(bǔ)上的關(guān)鍵漏洞。而且，他們還會(huì)告訴你說“我們的補(bǔ)丁修復(fù)是受控的喲”。

如果你的公司要用超過一周的時(shí)間才打上補(bǔ)丁，那被攻破的風(fēng)險(xiǎn)就上升了——不僅僅是因?yàn)槟慵议T戶大開，還因?yàn)槟隳切┌踩母偁帉?duì)手已經(jīng)把自家門戶鎖上了。

按理說，你應(yīng)該在打補(bǔ)丁前先對(duì)補(bǔ)丁包做個(gè)測試，但測試不僅難，還浪費(fèi)時(shí)間。想要真正安全，還是盡快打上為妙。如果需要的話，等幾天看有沒有什么小問題被報(bào)道。但，短暫的等待之后，打吧，打吧，打吧。

持反對(duì)意見者可能會(huì)說，補(bǔ)丁打“太快”會(huì)帶來運(yùn)營上的問題。但是，安全上最成功的公司告訴我，他們并沒有看到太多因?yàn)榇蜓a(bǔ)丁而出現(xiàn)的問題。很多最安全的公司都說，公司史上就沒有出現(xiàn)過因?yàn)檠a(bǔ)丁導(dǎo)致的宕機(jī)事件。

七、培訓(xùn)，培訓(xùn)，培訓(xùn)，重要的事情說三遍

培訓(xùn)是極其重要的。但不幸的是，大多數(shù)公司都視用戶培訓(xùn)為削減開支好去處，或者，即使做培訓(xùn)，內(nèi)容也是過時(shí)的，充斥著不再應(yīng)用的場景或拘泥于極少見的攻擊。

好的用戶培訓(xùn)，著眼公司當(dāng)前面臨，或很有可能面臨的威脅。培訓(xùn)應(yīng)由專業(yè)人士指導(dǎo)，甚或更好，有公司同事參加。我看過的一段最有效的防社會(huì)工程攻擊的視頻，就是通過凸顯出幾位公司風(fēng)云員工是怎么被騙來達(dá)到教育目的的。通過分享自身易騙性的真實(shí)故事，這些同事可以教授其他員工怎樣防止成為受害者。這樣的范例，能讓其他員工更愿意報(bào)告他們自己潛在的過失。

安全團(tuán)隊(duì)同樣需要最新的安全培訓(xùn)。每個(gè)成員，每年必訓(xùn)。無論是請(qǐng)人來公司培訓(xùn)，還是把人派去參加外部培訓(xùn)或會(huì)議。這意味著，培訓(xùn)的內(nèi)容不僅僅圍繞你購置的東西，還圍繞當(dāng)前最新的威脅和技術(shù)。

八、保持配置的一致性

最安全的公司，在同樣功用的計(jì)算機(jī)上保持幾乎相同的配置。絕大多數(shù)黑客都是耐心超過聰明的。他們不過是不停地探測探測再探測，直到找到成千上萬臺(tái)服務(wù)器中你忘了修復(fù)的那一個(gè)漏洞。

這種情況下，一致性就稱了你的好朋友。每一次，按同樣的方式，做同樣的事。確保安裝的是同樣的軟件。不要留10種連接服務(wù)器的方式。如果裝了某個(gè)App或程序，確保其他同類服務(wù)器上都裝的是同一個(gè)版本和配置。讓對(duì)你的計(jì)算機(jī)進(jìn)行對(duì)比檢查的人感到厭煩是個(gè)不錯(cuò)的做法。

想要配置一致，缺了配置基準(zhǔn)和嚴(yán)格的修改及配置控制可不行。管理員和用戶都要清楚，未經(jīng)許可的情況下，任何的新增或重配置都是不可以的。但是，要注意別讓一個(gè)月才碰面一次的完全改變委員會(huì)把你的同事搞疲了。這樣會(huì)引起企業(yè)中風(fēng)停頓的。要找到控制和靈活性的正確契合點(diǎn)，但又確保任何改變，一旦被批準(zhǔn)，就要在所有同類機(jī)器上保持一致。不遵從一致性的應(yīng)有懲罰。

記住，我們討論的是基準(zhǔn)，是底線，不是泛泛的配置。事實(shí)上，或許從一兩打建議中你就能得出99%的價(jià)值了。找出真正需要的配置，放下其他的，但要保持一致。

九、嚴(yán)格實(shí)踐最小權(quán)限訪問控制

“最小權(quán)限”就是最大安全。然而，你很難找到全面實(shí)現(xiàn)這一點(diǎn)的公司。

最小權(quán)限涉及到將僅夠用于完成基本任務(wù)的最低權(quán)限分配給需要的員工。大多數(shù)安全域和訪問控制列表都充斥著太過開放的權(quán)限，且缺乏審計(jì)。訪問控制列表會(huì)長大到毫無意義的程度，而且沒人愿意談?wù)撨@個(gè)，因?yàn)槎家呀?jīng)成為企業(yè)文化的一部分了。

拿活動(dòng)目錄林信任做個(gè)例子。大多數(shù)公司都有這個(gè)玩意兒，可被設(shè)置成選擇身份驗(yàn)證或完全身份驗(yàn)證信任。過去10年里我審計(jì)過的(成千上萬)信任幾乎都是完全身份驗(yàn)證式的。而當(dāng)我建議所有信任都用選擇身份驗(yàn)證時(shí)，我聽到的全都是實(shí)現(xiàn)起來有多難的抱怨：“要接觸每一個(gè)對(duì)象，還要明確地告訴系統(tǒng)哪一個(gè)能訪問誒！”沒錯(cuò)，說到點(diǎn)子上了。這就是最小權(quán)限。

訪問控制、防火墻、信任——最安全的公司總是在任何地方都部署最小權(quán)限。他們有自動(dòng)化過程要求資源擁有者定期重驗(yàn)證權(quán)限。資源擁有者會(huì)收到一封郵件，標(biāo)明資源名稱和誰有著何種訪問權(quán)限，然后擁有者會(huì)被要求確認(rèn)當(dāng)前設(shè)置。如果擁有者沒能回復(fù)后續(xù)郵件，該資源就會(huì)隨著之前的權(quán)限和訪問控制列表被清除而被刪除或挪到別的地方。

環(huán)境中的每個(gè)對(duì)象——網(wǎng)絡(luò)、虛擬局域網(wǎng)(VLAN)、虛擬機(jī)(VM)、計(jì)算機(jī)、文件、文件夾等，都應(yīng)該比照處理：積極審計(jì)下的最小權(quán)限。

十、盡量逼近“零管理員”

為做盡壞事，壞人總在尋求控制高權(quán)限的管理員賬戶。一旦被他們掌握了root、域，或者企業(yè)管理員賬戶，就回天乏力了。大多數(shù)公司在防止高權(quán)限憑證失控上表現(xiàn)不佳。作為反擊手段，高安全性公司通過取消這些賬戶來達(dá)到一種“零管理員”的狀態(tài)。畢竟，如果你自己的管理員團(tuán)隊(duì)都不用超級(jí)賬戶或不怎么用這些賬戶，那么這些賬戶就不容易被盜，也更容易檢測并阻止偶發(fā)的泄露狀況。

在這里，憑證衛(wèi)生的藝術(shù)是關(guān)鍵。這意味著盡可能少地使用永久超級(jí)管理員賬戶，一個(gè)都不用，或者盡量趨近于零管理員。永久超級(jí)管理員賬戶應(yīng)被緊密跟蹤，嚴(yán)格審計(jì)，并限制在少量預(yù)定義的區(qū)域。而且不應(yīng)啟用廣泛普及的超級(jí)賬戶，尤其是服務(wù)賬戶。

但是，萬一有人需要用到超級(jí)憑證呢？嘗試使用委托授權(quán)吧。這種方式可只賦予請(qǐng)求者訪問特定對(duì)象所需的必要權(quán)限。真實(shí)世界中，極少有管理員需要對(duì)全部對(duì)象的完全訪問權(quán)。這種事簡直不可理喻，但卻是大多數(shù)公司目前的做法。相反，我們應(yīng)只對(duì)修改單一對(duì)象、單一屬性，或者最多對(duì)修改某個(gè)對(duì)象子集進(jìn)行授權(quán)。

這種“剛剛夠”的做法應(yīng)與“適時(shí)”訪問相結(jié)合，只在預(yù)定時(shí)段對(duì)執(zhí)行單一任務(wù)進(jìn)行臨時(shí)權(quán)限提升。還要加上地點(diǎn)限制(例如：域管理員只能出現(xiàn)在域控制器上)。這樣你就能有非常強(qiáng)的控制了。

注意：超級(jí)管理員賬戶并不總是需要全部的權(quán)限。舉個(gè)例子，在Windows系統(tǒng)中，用一個(gè)單一權(quán)限——比如作為操作系統(tǒng)一部分的調(diào)試權(quán)限(Debug)或備份權(quán)限(Backup)，有經(jīng)驗(yàn)的攻擊者就足以做一系列危險(xiǎn)操作了。要將被提升的權(quán)限當(dāng)做被升級(jí)的賬戶一樣嚴(yán)密控制。

委托授權(quán)——在正確的區(qū)域適時(shí)賦予剛剛夠的權(quán)限，能夠幫助你查出壞蛋，因?yàn)樗麄兾幢刂肋@一策略。如果你看到有超級(jí)賬戶在網(wǎng)絡(luò)中游弋，或者在錯(cuò)誤的地方使用了超級(jí)權(quán)限，你的安全團(tuán)隊(duì)會(huì)去圍追堵截的。

十一、制定基于角色的配置

最小權(quán)限對(duì)人對(duì)計(jì)算機(jī)都適用，環(huán)境中所有對(duì)象都應(yīng)該依據(jù)其扮演的角色進(jìn)行配置。在理想世界中，應(yīng)該只在執(zhí)行時(shí)被賦予對(duì)特定任務(wù)的訪問權(quán)。

首先，應(yīng)調(diào)查清楚每個(gè)應(yīng)用必需的各種任務(wù)，將通用任務(wù)聚集到盡可能少的工作角色中，然后將這些角色分配給需要的用戶賬戶。這樣一來，每個(gè)用戶賬戶和個(gè)人就會(huì)分配到僅用于執(zhí)行任務(wù)所需的必要權(quán)限了。

基于角色的訪問控制(RBAC)應(yīng)被應(yīng)用到每一臺(tái)計(jì)算機(jī)上，每一臺(tái)計(jì)算機(jī)的同一角色都具有相同的安全配置。實(shí)踐應(yīng)用綁定的RBAC，如若沒有專門的軟件是很難的。利用現(xiàn)有操作系統(tǒng)工具，可以很方便地實(shí)現(xiàn)操作系統(tǒng)和網(wǎng)絡(luò)RBAC化，不過用第三方RBAC管理工具會(huì)更方便。

將來，所有訪問控制都會(huì)是RBAC，因?yàn)镽BAC體現(xiàn)了最小特權(quán)和零管理員。最安全的公司已經(jīng)在可能的地方進(jìn)行了此項(xiàng)實(shí)踐。

十二、隔離，隔離，隔離

良好的安全域衛(wèi)生是另一個(gè)重點(diǎn)。安全域，就是一個(gè)或多個(gè)安全憑證能在其中訪問對(duì)象的(邏輯上)隔離的域。理論上，在未經(jīng)事前協(xié)定或訪問控制修改的情況下，同一個(gè)安全憑證不能被用于訪問兩個(gè)安全域。防火墻就是最簡單的安全域的例子。同一側(cè)的用戶不能輕易過到另一邊，除非通過預(yù)定義規(guī)則規(guī)定的協(xié)議、端口之類的。大多數(shù)網(wǎng)站都是安全域，大多數(shù)公司網(wǎng)絡(luò)也是，雖然它們可能，也應(yīng)該，包含有多個(gè)安全域。

每一個(gè)安全域都應(yīng)有自己的命名空間、訪問控制、權(quán)限、角色等等，而且全部都應(yīng)只能在該命名空間中有效。確定到底應(yīng)該設(shè)置多少個(gè)安全域是件棘手的事。最小特權(quán)法應(yīng)成為確定安全域的指南，但讓每臺(tái)計(jì)算機(jī)都單獨(dú)成為安全域就是管理噩夢(mèng)了。關(guān)鍵在于，問問你自己能夠承受多大的損失——如果訪問控制失敗，讓入侵者獲得了某區(qū)域完全訪問權(quán)的話。如果你不想淪為其他人過失的受害者，可以考慮創(chuàng)建自己的安全域。

如果安全域間通信是必需的(就像林信任環(huán)境)，盡量給域間設(shè)最小訪問權(quán)限。“外來”賬戶應(yīng)對(duì)除極少量應(yīng)用以外的對(duì)象幾乎沒有訪問權(quán)，除了這些應(yīng)用中必要的基于角色的任務(wù)，對(duì)其他任務(wù)也不應(yīng)具有訪問權(quán)。安全域中的所有其他事務(wù)，都應(yīng)該是不可訪問的。

十三、重視智能監(jiān)測實(shí)踐和及時(shí)響應(yīng)

大部分黑客活動(dòng)實(shí)際上都是通過事件日志捕獲的，但確只有在事件發(fā)生后才會(huì)有人去查看這些日志。最安全的公司則會(huì)普遍而積極地監(jiān)測特定異常，設(shè)置警報(bào)，并進(jìn)行響應(yīng)。

最后一部分很重要。良好監(jiān)測環(huán)境不會(huì)產(chǎn)生太多警報(bào)。在大多數(shù)環(huán)境中，事件日志啟用的情況下，每天會(huì)產(chǎn)生成千上萬乃至數(shù)十億條記錄。不是每個(gè)事件都是警報(bào)，但不當(dāng)定義的環(huán)境就會(huì)產(chǎn)生成千上萬的潛在警報(bào)——多到成為類似噪音的存在而最終落到無人理會(huì)的境地。過去幾年里一些大型黑客事件就涉及到被忽略了的警報(bào)。這就是設(shè)計(jì)很差的監(jiān)測環(huán)境的特征。

最安全的公司會(huì)對(duì)所有日志源和警報(bào)對(duì)象創(chuàng)建比較判斷矩陣。將此矩陣與威脅列表進(jìn)行對(duì)比，匹配能被當(dāng)前日志或配置檢測到的每一個(gè)威脅任務(wù)。然后，對(duì)事件日志進(jìn)行調(diào)整，盡可能彌補(bǔ)空白。

更重要的是，只要警報(bào)產(chǎn)生，他們會(huì)立即響應(yīng)。如果我被告知某個(gè)團(tuán)隊(duì)監(jiān)測某個(gè)特定威脅(比如口令猜解)，我會(huì)在之后嘗試觸發(fā)警報(bào)以查看警報(bào)產(chǎn)生后是否有人進(jìn)行響應(yīng)。大多數(shù)情況下都沒人響應(yīng)。安全的公司則一有警報(bào)觸發(fā)，就會(huì)有人從座位上跳起來，詢問別人出了什么事。

十四、從頭開始實(shí)踐所有權(quán)和問責(zé)制

每個(gè)對(duì)象和應(yīng)用都應(yīng)該有個(gè)所有者(或所有者組)，控制著使用情況并對(duì)其存在負(fù)責(zé)。

典型的公司里，大多數(shù)對(duì)象都沒有所有者，IT團(tuán)隊(duì)也不清楚到底是誰最先請(qǐng)求的某個(gè)資源，更不用說知曉該資源是否仍被需要了。事實(shí)上，大多數(shù)公司里，創(chuàng)建的群組個(gè)數(shù)是比活躍用戶數(shù)多的。換句話說，IT團(tuán)隊(duì)可以為每個(gè)個(gè)體分配他/她自己的自定義組，公司也可以創(chuàng)建比當(dāng)前數(shù)量更少的群組以便管理。

然而，沒人知道某個(gè)群組是否應(yīng)被移除。他們害怕刪除任何一個(gè)組。畢竟，萬一那個(gè)組是某個(gè)關(guān)鍵活動(dòng)需要的，無意刪除了會(huì)導(dǎo)致某個(gè)任務(wù)依賴的功能失效呢？

另一個(gè)普遍的例子是，被攻破后公司需要重置環(huán)境內(nèi)所有口令的時(shí)候。但是你卻不能隨意這么做，因?yàn)槠渲杏行┦顷P(guān)聯(lián)到應(yīng)用的服務(wù)賬戶，口令要改就得應(yīng)用內(nèi)和服務(wù)賬戶本身同時(shí)改。

然后問題來了，沒人知道給定的應(yīng)用是否在使用中，是否需要一個(gè)服務(wù)賬戶，或者口令是否可修改——因?yàn)闆]有在一開始就指定所有者和相關(guān)責(zé)任，也沒有人可以詢問。最終，問題應(yīng)用還是被留下了，因?yàn)閷?dǎo)致關(guān)鍵操作中斷遠(yuǎn)比你讓某個(gè)黑客在公司網(wǎng)絡(luò)里暢游，更有可能讓你被解雇。

十五、快速?zèng)Q策優(yōu)先

大多數(shù)公司都受困于分析無能。一致性、問責(zé)制和所有權(quán)的缺乏，讓每個(gè)人都懼怕改變。而當(dāng)問題涉及到IT安全，快速行動(dòng)的能力卻是關(guān)鍵。

最安全的公司會(huì)在控制和快速?zèng)Q策之間建立很強(qiáng)的平衡，使之形成公司文化的一部分。我甚至見過將精挑細(xì)選的項(xiàng)目經(jīng)理投入到長期項(xiàng)目中，僅僅是為了完善項(xiàng)目本身。這些特別的項(xiàng)目經(jīng)理被賦予了一定的預(yù)算控制權(quán)，可以在事后記錄所做改變，且有一直犯錯(cuò)的空間。

對(duì)快速行動(dòng)而言，留有犯錯(cuò)空間是關(guān)鍵。在安全上，我特別贊同“無論如何，先做決策；如有必要，過后再道歉”的態(tài)度。

對(duì)比典型公司，大多數(shù)問題都不敢觸碰，安全顧問建議修復(fù)的問題到第二年依然還是問題。

十六、玩得開心

同志情誼不能忽視。認(rèn)為做正確的事就意味著要犧牲掉自由和樂趣的公司，其數(shù)量之巨，可能令人震驚。對(duì)他們而言，來自同事的怨恨必須是安全專家正在履職盡責(zé)的象征。簡直錯(cuò)到離譜！當(dāng)你擁有了高效安全團(tuán)隊(duì)，你就不會(huì)被不得不經(jīng)常性重構(gòu)計(jì)算機(jī)和服務(wù)器的壓力搞得不堪重負(fù)，也不會(huì)成天憂慮不知道什么時(shí)候就又被黑了。因?yàn)槟闱宄謩菰谧约嚎刂浦拢砸荒樀ā?/p>

這并不是說，在最安全的公司上班就輕松愜意。但總的來說，比在其他公司更有趣，同事間也更友愛。

十七、著手去做

高安全性公司的共有特性或許看起來很容易理解，甚至在某些方面是老生常談，比如說快速打補(bǔ)丁和保護(hù)配置安全。但先別忙著為自己的安全實(shí)踐知識(shí)自滿。成功護(hù)住自家重要資產(chǎn)的公司，和遭受數(shù)據(jù)泄露的公司，僅僅是在兩個(gè)主要特征上有差異：專注于正確的元素，以及根植做正確的事的文化，而不是僅僅口頭上這么說。秘訣已經(jīng)列出，要不要卷起袖子開工實(shí)踐，就是你自己的事了。