IT领域的技术安全专家们通常不认为安全意识教育是信息安全管理体系的重点,教育员工似乎只是很简单的安全事务,并不需要多少安全方面的“硬”能力,信息安全高手的价值似乎应该在发现信息系统或流程中的安全漏洞。
另一方面,中国顶级黑客们却认为国内缺乏系统安全漏洞的专业挖掘者,实际上值得尊重的会独立挖掘漏洞并能能力进行设计和编写攻击程序的技术高手不超过5个。大多数都是在行业里混,简单讲都是只会简单编译利用代码的“脚本小孩儿”。
那规模庞大的地下黑产呢?无疑白帽子黑客并不屑于这些不讲道德的丑恶行径,技术高手们也不至于下流到骗广大小老百姓的血汗钱财。聪明的安全高手们一方面天赋异常,出生高贵;另一方面能洒脱到不受环境影响,十足的理想主义者。
中国在信息技术方面仍然在奋起直追,但创新环境仍然很落后,成功的准则是快速复制。信息安全领域方面,也是注重表面应用忽视基础研究,整个行业整个大环境如此,混迹于其中的安全从业者能有多大能耐有所突破有所建树有所不同呢?
我们不是打击国内计算机网络信息安全从业者的自信,我们缺乏的是基础理论研究和普世安全理念,核心的安全基础技术研究需要大量的投入,走出国门的大型跨国公司已经不再服于国际大玩家们在知识产权特别是专利权的压力而加大了研发力度,国内也在逐渐强化对知识产权的保护力度,相信在信息安全基础技术研究上中国会引来明媚的春天。
大环境的改善需要时间,从业人员不懂安全理论只知“按图索骥”、“照葫芦画瓢”地在安全应用层面瞎折腾的做法已经害人不浅,需要认真反省。倘若偏爱某家产品的防火墙管理员不懂访问控制理论,您能指望出入站安全规则得到正确的配置吗?再说了,五百家公司研发出五百个防火墙有本质的操作区别吗?昆明亭长朗然科技有限公司信息安全顾问James Dong接触了不少有识之士,大家都表达了几乎同样的观点和担忧,能改变这种现状的有效方法是普及信息安全基础理论知识。
普及信息安全基础理论知识说到底是在一定范围内进行信息安全意识教育培训以及各类宣传活动,这不仅利于个人和部门,更利于整个业务群体以及整个国家层面的产业升级大计。
简言之,掌握核心创新科技,占领丰富利润领域,需从安全意识教育抓起。让各个层面的使用者不仅了解到信息安全需要“如何”做,更要知道“为什么”要这样做。