声明:任何形式的摘抄必须保留上述作者和http地址
以下是SANS(SysAdmin Audit Network Security http://www.sans.org)在1999年评出的top 7的由于管理方面的原因导致的计算机安全事件的,评选的结果是根据安全专业的人士的sans99大会和美国联邦计算机安全会议的结果汇总的。
虽然这是99年的东西,比较老了,但是近来遇到的一些事情很好的印证了这些理论,愈发感觉这些东西很有意义,因此大概的翻译了一下请各位参考。
第七:相信视而不见会避开安全问题
第六:仅仅满足于暂时解决安全问题(从而导致问题很快再度出现)
第五:不能正确评估自身拥有的名誉和信息的价值
第四:将安全的赌注全押在防火墙上
第三:不能正确的对待安全运行情况,仅仅做了部分修补工作而缺乏后续和连贯的安全措施来彻底解决安全运行问题。
第二:不能够理解信息安全和(可能由此带来的)商务问题的关系-他们可以懂得物理安全但是无法看到贫乏的信息安全可能带来的恶果。
第一:将安全维护工作交给没有受过专业训练的人,同时既无法提供专业训练也不能确保专用的(学习)时间使相应的人胜任。
下面为原文
The 7 Top Management Errors that Lead to Computer Security Vulnerabilities
Number Seven: Pretend the problem will go away if they ignore it.
Number Six: Authorize reactive, short-term fixes so problems re-emerge rapidly
Number Five: Fail to realize how much money their information and organizational reputations are worth.
Number Four: Rely primarily on a firewall.
Number Three: Fail to deal with the operational aspects of security: make a few fixes and then not allow the follow through necessary to ensure the problems stay fixed
Number Two: Fail to understand the relationship of information security to the business problem -- they understand physical security but do not see the consequences of poor information security.
Number One: Assign untrained people to maintain security and provide neither the training nor the time to make it possible to do the job.