信息安全：企業(yè)抵御風險之道

譯 者 序     譯 者 序
從很小的時候開始, 我們就接受過馬路左右看, 要走人行橫道線等交通安全的教育. 遺憾的是, 在計算機領域卻沒有這樣的傳統(tǒng). 馬路上開車的司機時刻注意著行人, 避免交通事故的發(fā)生, 而計算機黑客卻是費盡心思要破壞計算機系統(tǒng). 這使得計算機安全現(xiàn)狀遠比交通安全更為嚴峻.
安全書籍也在逐漸走向成熟, 從簡單地介紹攻防技巧轉而系統(tǒng)性地介紹防御措施. 任何一個學科都是如此, 就如同物理學從阿基米德的杠桿和浮力. 伽利略的兩個鐵球同時著地, 發(fā)展到牛頓的三大定律, 直至愛因斯坦為主奮斗的統(tǒng)一場論.
計算機安全問題是隨著計算機的應用而不斷發(fā)展的. 計算機從最初的單機系統(tǒng), 發(fā)展到今天的網(wǎng)絡時代, 各種聯(lián)網(wǎng)的應用承載了至關重要的商業(yè)活動, 隨著應用的復雜性與連通性的增長, 安全問題也日益嚴重.
安全之我見
安全首先需要意識上的轉變.
我們的網(wǎng)絡沒有連接到Internet, 所以沒有安全問題.
我們的網(wǎng)絡上沒有什么重要的數(shù)據(jù), 所以不用考慮安全問題.
我們有最好的防火墻, 所以安全不成問題.
上面這些想法都是對安全的錯誤認識. 要想維護計算機系統(tǒng)的安全, 首先要意識到風險就在面前, 只要使用計算機, 就有計算機安全問題.
我們既不能對安全風聲鶴唳. 草木皆兵, 也不能回避問題, 采取鴕鳥政策. 這兩種態(tài)度都無助于問題的解決.
安全來源于生于憂患. 死于安樂的意識, 與一貫的謹小慎微. 防微杜漸的態(tài)度. 一曝十寒和僥幸態(tài)度都無助于安全. 根據(jù)木桶原理, 系統(tǒng)的安全取決于防護措施的最薄弱環(huán)節(jié).
知道敵人是誰
知己知彼, 百戰(zhàn)不殆, 但如果根本不知道敵人是誰, 則這場戰(zhàn)爭沒有什么懸念.
閱讀本書的過程中, 要注意這兩個問題, 我們的系統(tǒng)面臨什么危險呢 我們的潛在敵人是誰
安全問題實際上是黑客與安全人員之間的不對稱戰(zhàn)爭. 大家都知道, 防御要比攻擊困難, 也復雜得多. 伊拉克戰(zhàn)爭中來福槍打下直升機就是一例, 雖然其真實性有待考證, 但最起碼大家沒有否認其可能性. 一個是集各種高科技于一身的. 價值數(shù)千萬的21世紀戰(zhàn)爭機器, 一個幾乎是古董級的武器, 二者形成了鮮明的對比. 所以, 對計算機安全萬不可等閑視之, 一兩個昂貴的產(chǎn)品或一兩項完美的措施并不能從根本上改善系統(tǒng)的安全狀況, 只有系統(tǒng)地防御. 有效地組織才能對抗日益增長的安全風險.
本書的大部分內(nèi)容都是介紹如何防御. 一個粗通電腦的人, 到Internet上下載一些工具, 看看說明就有可能侵入計算機系統(tǒng), 而防御則需要整套的理論. 嚴密的思考. 正確的意識與態(tài)度. 雙方在成本. 知識. 技能上都是一場不對稱戰(zhàn)爭.
要想打贏這場戰(zhàn)爭, 就必須聚合各方之力, 獲得管理層在資金與人力上的支持. 培訓計算機的使用者. 嚴密而完美的規(guī)章制度……
幾點說明
公司名與人名的譯法
在本書正文中, 我將人名和大部分公司的名稱都譯成了中文.
請看下面兩個句子：
1.
我和約翰一起去看曼聯(lián)隊的比賽.
2.
我和John一起去看Manchester United隊的比賽.
我覺得第一個句子好一些, 都是漢語, 讀起來流暢. 讀者可以十分流暢地從中得到所要表達的意思. 而第二句雖然意思相同, 但在閱讀時, 遇到John, 我們不得不臨時切換到英文發(fā)音, 并聯(lián)想這是一個男子的名稱, 而遇到Manchester United更是要費一番腦筋才能知道原來就是曼聯(lián).
但在本書的序. 致謝等內(nèi)容中, 我基本上采用原名, 如果在正文中出現(xiàn)過, 則后面加上括號, 注上在書中用的漢語名字. 如：Linda McCarthy 琳達·麥卡錫 .
用詞的考慮
Internet按照國家規(guī)范應譯為因特網(wǎng), 但更常應用的可能還是英文單詞Internet. 所以本書中一般使用Internet 某些特殊情況除外 .
procedure用在工業(yè)生產(chǎn)中應該譯作程序, 在計算機編程中用作過程, 但用在計算機書籍中, 程序容易與program 程序 混淆, 為了翻譯更為準確, 我將其譯作規(guī)程, 規(guī)程一詞能夠十分準確表達出規(guī)定的程序之義, 同時不會引起歧義. 所以本書中將policy and procedure, 譯為方針與規(guī)程.
incident, 既用作事件, 也用作事故. 便為了和event 確定無疑應譯為事件 區(qū)分, 我采用了事故的譯法. 這樣表達起來更為準確, 同時帶有些許貶義, 表達是人們不愿意發(fā)生的事情.
另外, 比如本書中用坐著的鴨子來比喻對即將發(fā)生的事情沒有準備的人, 可能有人會覺得趴著的鴨子或臥著的鴨子更為合適, 但我覺得用坐字會有更多一層意思, 即坐以待斃, 所以就采用了坐, 至于實際的效果, 只能見仁見智了.
上面這些細微的調(diào)整, 在閱讀過程中可能根本不會體察到, 但是, 希望讀者能夠在閱讀本書的過程中享受到流暢. 輕松的體驗.
譯者注
文中譯者注稍多, 這和作者的行文有關. 作者是一個長期從事審核的專業(yè)人士, 既不能像編寫科技論文一樣用詞艱澀嚴謹, 又要能夠清楚生動地將問題表述清楚. 在本書中, 她 Linda McCarthy 采用了比較明快與形象的表達方式. 書中較多出現(xiàn)的譯者注主要是為了使意思更為明確, 多說一點終究沒錯.
譬如去問路, 您希望聽到下面哪個回答：
1.
往前, 大概走50米, 約一分鐘不到的路, 有一個十字路口, 那有紅綠燈, 路邊正好有一家小商店, 賣一些水果. 飲料, 然后向右拐, 也就是向西, 再向前100米就到.
2.
向前, 右拐.
清華大學出版社所出版的圖書在讀者中擁有良好的口碑, 也是我最喜歡的出版社之一. 在合作過程中, 我認識到, 這和出版社擁有一批優(yōu)秀的編審人員是分不開的. 我深深為他們那種專業(yè). 敬業(yè)和認真的精神所感動與折服. 一本圖書就是在他們的精雕細琢下變得更趨完美, 換來讀者更為流暢的閱讀體驗.
感謝本書的策劃編輯尤曉東和文稿編輯潘旭燕, 他們對語言文字敏銳的把握, 以及開放的態(tài)度, 對本書的行文有莫大的幫助, 也使本書很好地展現(xiàn)出原書的風格. 另外還要感謝在我成長與工作過程中一直幫助我的家人. 同學和朋友.