因為工作專業(yè)性強并且一貫保持低調(diào)，安全工作者往往被人們誤解。安全工作紕漏的越少人們的想象力越五花八門，因此，今天我們就來報一下安全工作的“料”，也借此為安全工作者們“正正名”，希望能讓人們因為了解而理解并支持他們的工作。

下面是對安全工作者的十種誤讀和正解：

誤解一：安全專業(yè)人士的晉升空間有限

事實：在過去，對于某些組織而言信息安全被視為高科技工作、專業(yè)化領(lǐng)域，而且通常屬于大型IT機構(gòu)的組成部分。不過隨著當(dāng)前業(yè)務(wù)開展與信息技術(shù)之間的聯(lián)系愈發(fā)緊密，企業(yè)已經(jīng)開始理解到信息安全在關(guān)鍵性業(yè)務(wù)流程中所扮演的重要角色。

安全專業(yè)人士正在越來越多地與企業(yè)高層管理者進行互動，并成為企業(yè)獲得成功的重要推動者之一。如今高層管理隊伍中已經(jīng)為安全工作保留了更多席位，相信安全專業(yè)人士能夠借此獲得更多晉升機遇，從而走的更遠(yuǎn)。

誤解二：每一位從事安全工作的人員都是安全專家

事實：安全事務(wù)其實是個區(qū)劃明確、專業(yè)性很強的門類。IDS人員不知道如何在Web應(yīng)用程序當(dāng)中尋找安全漏洞，而軟件安全人員也不知道如何進行數(shù)字化取證。

誤解三：安全專業(yè)人士都是偏執(zhí)狂，喜歡懷疑一切并且牢牢掌控著公共密鑰交換事務(wù)

事實：最近美國國家安全局曝出的監(jiān)控丑聞確實證明，十幾年前以科幻式眼光作出的攻擊理論預(yù)測得到了應(yīng)驗。盡管如此，統(tǒng)計數(shù)據(jù)與經(jīng)濟學(xué)解讀仍然告訴我們，縱然是最為老練的攻擊者也很難撼動大多數(shù)人移動設(shè)備或者家用計算機的安全屏障。

誤解四：安全專家認(rèn)為合規(guī)性意味著安全

事實：現(xiàn)實情況是，目前的合規(guī)性檢測還僅僅屬于一種驗證標(biāo)準(zhǔn);如果大家的安全態(tài)度僅僅足以保證員工不至于怨聲載道，那么這樣的水準(zhǔn)顯然還不能讓我們高枕無憂。這種誤區(qū)產(chǎn)生的原因之一在于，合規(guī)性往往成為CSO用來推進并獲取安全項目預(yù)算的主要手段。不過千萬別因此而誤會了安全管理者，他們只不過需要借著這個機會來完成工作、實際成效通常都會超越監(jiān)管要求以滿足企業(yè)對安全的實際需求。

誤解五：安全與基礎(chǔ)設(shè)施/運營永遠(yuǎn)無法和睦相處

事實：盡管在所謂的CIA(即保密性、完整性及可用性)當(dāng)中，可用性往往被人們視為基礎(chǔ)設(shè)施/運營的根本性前提與推動力。然而對于真正互相了解彼此角色定位的部門來說，這三大支柱的作用必須全部得到承認(rèn)與嚴(yán)格執(zhí)行。

誤解六：信息安全屬于技術(shù)性極高的學(xué)科

事實：在通常情況下，這種指向性太過廣泛的總結(jié)都會有所偏頗或者產(chǎn)生遺漏。當(dāng)然，在信息安全領(lǐng)域中確實存在對技術(shù)專長要求較高的特定角色。

不過隨著信息安全事務(wù)的角色逐步向風(fēng)險管理轉(zhuǎn)化，我們需要更多了解業(yè)務(wù)部門需求而且能夠以業(yè)務(wù)語言與非專業(yè)人士順暢溝通的從業(yè)者加入進來。技術(shù)細(xì)節(jié)并不是全部內(nèi)容，我們同樣需要解釋風(fēng)險內(nèi)容、并向管理者以及普通員工講解不同安全方案的對應(yīng)執(zhí)行流程及技術(shù)風(fēng)險。

誤解七：黑客活動就像影視作品中表現(xiàn)的那樣

事實：人們應(yīng)該會意識到影視作品中的一切內(nèi)容都經(jīng)過了夸張，但卻未必能體會到具體被夸張到了什么程度。讓我們先澄清幾點——首先，成功侵入目標(biāo)設(shè)備時、其指示燈不會狂閃;其次，我們不可能一個一個字母破解他人的密碼內(nèi)容。

當(dāng)我們成功完成入侵之后，屏幕上絕對不可能以3D方式顯示出數(shù)據(jù)庫結(jié)構(gòu)、或者讓我們像玩游戲那樣從一個模塊跳轉(zhuǎn)到另一個模塊。亂碼字符也絕不會在我們面前突然轉(zhuǎn)化為可直接閱讀的文本。雖然電影中偶爾也會出現(xiàn)一些真實存在的安全工具，但由于不夠花里胡哨而很難成為觀眾的關(guān)注焦點，因此往往登臺的時長也就一、兩秒鐘。

誤解八：安全專家認(rèn)為安全價值高于實用性

事實：盡管以“安全”為職稱頭銜，但大多數(shù)CSO都明白只有適合作出權(quán)衡與讓步企業(yè)業(yè)務(wù)才有可能蓬勃發(fā)展。我們不可能強行要求員工生活在戰(zhàn)壕里，不可能用那些剛剛出現(xiàn)甚至之前聞所未聞的狀況當(dāng)成實際威脅，更不可能僅僅以IT部門無法管理為由阻止某些方案的推廣。

這一誤區(qū)的出現(xiàn)主要是由于多年以來，CSO一直扮演著阻擋者角色甚至在很多人心目中成為一道不可逾越的鴻溝。不過這種情況在過去幾年中已經(jīng)出現(xiàn)了顯著變化。盡管CSO們?nèi)匀徊豢赡軐λ行滦蜋C制大開綠燈，但IT消費化以及云計算等新興趨勢已經(jīng)讓安全組織迎來了變化態(tài)勢，從而保持安全工作與業(yè)務(wù)之間的相關(guān)性。

誤解九：安全工作從來不忙也不煩

事實：沒有哪種工作能在八小時之內(nèi)帶給員工100%的興奮點。大部分安全工作所涉及的都是操作安全產(chǎn)品，匯總并分析異常日志內(nèi)容，編寫用于實現(xiàn)日常任務(wù)的自動化工具，而其中最糟糕的部分就是通過某些特定審計工作而不得不完成的任務(wù)或者項目。

誤解十：安全的全部內(nèi)容就是防范攻擊活動

事實：對于大多數(shù)企業(yè)來說，信息安全團隊的任務(wù)應(yīng)該是幫助整個企業(yè)管理風(fēng)險，從而保證IT資產(chǎn)的保密性、完整性以及可用性。

當(dāng)然，在信息安全團隊內(nèi)部確實有專門負(fù)責(zé)預(yù)防類安全控制工作的資源存在。不過根據(jù)目前的威脅環(huán)境來看，企業(yè)需要將注意力集中在檢測方面，旨在保證任何成功回避了預(yù)防控制機制的攻擊活動都能被快速檢測到并得到控制。威脅環(huán)境極為活躍而且在不斷發(fā)展，企業(yè)絕不能單純將命運托付給預(yù)防這一個方面。