信息安全：企業(yè)抵御風(fēng)險(xiǎn)之道

譯 者 序     譯 者 序
從很小的時候開始, 我們就接受過馬路左右看, 要走人行橫道線等交通安全的教育. 遺憾的是, 在計(jì)算機(jī)領(lǐng)域卻沒有這樣的傳統(tǒng). 馬路上開車的司機(jī)時刻注意著行人, 避免交通事故的發(fā)生, 而計(jì)算機(jī)黑客卻是費(fèi)盡心思要破壞計(jì)算機(jī)系統(tǒng). 這使得計(jì)算機(jī)安全現(xiàn)狀遠(yuǎn)比交通安全更為嚴(yán)峻.
安全書籍也在逐漸走向成熟, 從簡單地介紹攻防技巧轉(zhuǎn)而系統(tǒng)性地介紹防御措施. 任何一個學(xué)科都是如此, 就如同物理學(xué)從阿基米德的杠桿和浮力. 伽利略的兩個鐵球同時著地, 發(fā)展到牛頓的三大定律, 直至愛因斯坦為主奮斗的統(tǒng)一場論.
計(jì)算機(jī)安全問題是隨著計(jì)算機(jī)的應(yīng)用而不斷發(fā)展的. 計(jì)算機(jī)從最初的單機(jī)系統(tǒng), 發(fā)展到今天的網(wǎng)絡(luò)時代, 各種聯(lián)網(wǎng)的應(yīng)用承載了至關(guān)重要的商業(yè)活動, 隨著應(yīng)用的復(fù)雜性與連通性的增長, 安全問題也日益嚴(yán)重.
安全之我見
安全首先需要意識上的轉(zhuǎn)變.
我們的網(wǎng)絡(luò)沒有連接到Internet, 所以沒有安全問題.
我們的網(wǎng)絡(luò)上沒有什么重要的數(shù)據(jù), 所以不用考慮安全問題.
我們有最好的防火墻, 所以安全不成問題.
上面這些想法都是對安全的錯誤認(rèn)識. 要想維護(hù)計(jì)算機(jī)系統(tǒng)的安全, 首先要意識到風(fēng)險(xiǎn)就在面前, 只要使用計(jì)算機(jī), 就有計(jì)算機(jī)安全問題.
我們既不能對安全風(fēng)聲鶴唳. 草木皆兵, 也不能回避問題, 采取鴕鳥政策. 這兩種態(tài)度都無助于問題的解決.
安全來源于生于憂患. 死于安樂的意識, 與一貫的謹(jǐn)小慎微. 防微杜漸的態(tài)度. 一曝十寒和僥幸態(tài)度都無助于安全. 根據(jù)木桶原理, 系統(tǒng)的安全取決于防護(hù)措施的最薄弱環(huán)節(jié).
知道敵人是誰
知己知彼, 百戰(zhàn)不殆, 但如果根本不知道敵人是誰, 則這場戰(zhàn)爭沒有什么懸念.
閱讀本書的過程中, 要注意這兩個問題, 我們的系統(tǒng)面臨什么危險(xiǎn)呢 我們的潛在敵人是誰
安全問題實(shí)際上是黑客與安全人員之間的不對稱戰(zhàn)爭. 大家都知道, 防御要比攻擊困難, 也復(fù)雜得多. 伊拉克戰(zhàn)爭中來福槍打下直升機(jī)就是一例, 雖然其真實(shí)性有待考證, 但最起碼大家沒有否認(rèn)其可能性. 一個是集各種高科技于一身的. 價(jià)值數(shù)千萬的21世紀(jì)戰(zhàn)爭機(jī)器, 一個幾乎是古董級的武器, 二者形成了鮮明的對比. 所以, 對計(jì)算機(jī)安全萬不可等閑視之, 一兩個昂貴的產(chǎn)品或一兩項(xiàng)完美的措施并不能從根本上改善系統(tǒng)的安全狀況, 只有系統(tǒng)地防御. 有效地組織才能對抗日益增長的安全風(fēng)險(xiǎn).
本書的大部分內(nèi)容都是介紹如何防御. 一個粗通電腦的人, 到Internet上下載一些工具, 看看說明就有可能侵入計(jì)算機(jī)系統(tǒng), 而防御則需要整套的理論. 嚴(yán)密的思考. 正確的意識與態(tài)度. 雙方在成本. 知識. 技能上都是一場不對稱戰(zhàn)爭.
要想打贏這場戰(zhàn)爭, 就必須聚合各方之力, 獲得管理層在資金與人力上的支持. 培訓(xùn)計(jì)算機(jī)的使用者. 嚴(yán)密而完美的規(guī)章制度……
幾點(diǎn)說明
公司名與人名的譯法
在本書正文中, 我將人名和大部分公司的名稱都譯成了中文.
請看下面兩個句子：
1.
我和約翰一起去看曼聯(lián)隊(duì)的比賽.
2.
我和John一起去看Manchester United隊(duì)的比賽.
我覺得第一個句子好一些, 都是漢語, 讀起來流暢. 讀者可以十分流暢地從中得到所要表達(dá)的意思. 而第二句雖然意思相同, 但在閱讀時, 遇到John, 我們不得不臨時切換到英文發(fā)音, 并聯(lián)想這是一個男子的名稱, 而遇到Manchester United更是要費(fèi)一番腦筋才能知道原來就是曼聯(lián).
但在本書的序. 致謝等內(nèi)容中, 我基本上采用原名, 如果在正文中出現(xiàn)過, 則后面加上括號, 注上在書中用的漢語名字. 如：Linda McCarthy 琳達(dá)·麥卡錫 .
用詞的考慮
Internet按照國家規(guī)范應(yīng)譯為因特網(wǎng), 但更常應(yīng)用的可能還是英文單詞Internet. 所以本書中一般使用Internet 某些特殊情況除外 .
procedure用在工業(yè)生產(chǎn)中應(yīng)該譯作程序, 在計(jì)算機(jī)編程中用作過程, 但用在計(jì)算機(jī)書籍中, 程序容易與program 程序 混淆, 為了翻譯更為準(zhǔn)確, 我將其譯作規(guī)程, 規(guī)程一詞能夠十分準(zhǔn)確表達(dá)出規(guī)定的程序之義, 同時不會引起歧義. 所以本書中將policy and procedure, 譯為方針與規(guī)程.
incident, 既用作事件, 也用作事故. 便為了和event 確定無疑應(yīng)譯為事件 區(qū)分, 我采用了事故的譯法. 這樣表達(dá)起來更為準(zhǔn)確, 同時帶有些許貶義, 表達(dá)是人們不愿意發(fā)生的事情.
另外, 比如本書中用坐著的鴨子來比喻對即將發(fā)生的事情沒有準(zhǔn)備的人, 可能有人會覺得趴著的鴨子或臥著的鴨子更為合適, 但我覺得用坐字會有更多一層意思, 即坐以待斃, 所以就采用了坐, 至于實(shí)際的效果, 只能見仁見智了.
上面這些細(xì)微的調(diào)整, 在閱讀過程中可能根本不會體察到, 但是, 希望讀者能夠在閱讀本書的過程中享受到流暢. 輕松的體驗(yàn).
譯者注
文中譯者注稍多, 這和作者的行文有關(guān). 作者是一個長期從事審核的專業(yè)人士, 既不能像編寫科技論文一樣用詞艱澀嚴(yán)謹(jǐn), 又要能夠清楚生動地將問題表述清楚. 在本書中, 她 Linda McCarthy 采用了比較明快與形象的表達(dá)方式. 書中較多出現(xiàn)的譯者注主要是為了使意思更為明確, 多說一點(diǎn)終究沒錯.
譬如去問路, 您希望聽到下面哪個回答：
1.
往前, 大概走50米, 約一分鐘不到的路, 有一個十字路口, 那有紅綠燈, 路邊正好有一家小商店, 賣一些水果. 飲料, 然后向右拐, 也就是向西, 再向前100米就到.
2.
向前, 右拐.
清華大學(xué)出版社所出版的圖書在讀者中擁有良好的口碑, 也是我最喜歡的出版社之一. 在合作過程中, 我認(rèn)識到, 這和出版社擁有一批優(yōu)秀的編審人員是分不開的. 我深深為他們那種專業(yè). 敬業(yè)和認(rèn)真的精神所感動與折服. 一本圖書就是在他們的精雕細(xì)琢下變得更趨完美, 換來讀者更為流暢的閱讀體驗(yàn).
感謝本書的策劃編輯尤曉東和文稿編輯潘旭燕, 他們對語言文字敏銳的把握, 以及開放的態(tài)度, 對本書的行文有莫大的幫助, 也使本書很好地展現(xiàn)出原書的風(fēng)格. 另外還要感謝在我成長與工作過程中一直幫助我的家人. 同學(xué)和朋友.