我们从中学到了什么？

　　好了，看过美国的笑话，我们中国人，特别是政府官员，应该从中学到什么呢？

　　首先，大家不要以为安全是很难很高深的事情。希拉里这次出的邮件安全事件，主要是以下三条没有认真做到。

　　1. 遵守所在单位的信息安全规范。

　　2. 相信专业安全人员，而不是为了方便而忽视安全。

　　3. 正确使用计算机通信工具，保证公私分开。

　　下面我们分别解说一下。

　　1. 遵守所在单位的信息安全规范。

　　在信息时代，无论是为美国政府工作，还是为中国政府工作，或者是为某家科技公司工作，所在单位都有对应的信息安全规范。这些规范或许比较繁琐，但是都是多年信息安全实战经验的总结。遵守企业的规范，是一个人最基本的职业守则。

　　你问我创业了做了老板是不是就不用遵守职业守则了？拜托，这些守则就是老板花钱制定的好不好？我跟你说， 我创业以后做恶梦都是网站被人入侵了。

　　2.相信专业安全人员，而不是为了方便而忽视安全。

　　不少人觉得信息安全人员故弄玄虚，经常造成工作上面的不便。

　　比如让大家每三个月换一次密码啦，比如在家上班必须登录VPN啦，比如进公司必须刷门禁卡啦。但是，相信我，那个在IT部门整天盯着屏幕，一脑袋乱头发，一身T恤好像从来没换过的小子，虽然他看起来挺土的，但是他在保护公司信息安全方面，是站在前人的肩膀上的。前人踩的坑，犯的错，他能告诉大家，避免重蹈覆辙。

　　3.正确使用计算机通信工具，保证公私分开。

　　要做到正确使用计算机通信工具，还是有不少细节的。我们按照希拉里犯的错，一个个来说。

　　首先希拉里没有使用符合公司/政府要求的终端，而是用了自己用惯了的黑莓手机，没有按照美国政府的要求，使用符合安全保密规范的终端。

　　一般科技公司都会给员工配备笔记本。如果员工要用自己的终端设备，英文叫BYOD (Bring Your Own Device，自带设备)，公司也会要求员工的设备符合公司的规范，比如需要定期扫描是否有病毒等恶意软件，需要安装公司的加密通信客户端，通常是VPN。最后，如果设备丢失或者员工离职，要允许公司远程的擦除设备信息。

　　按照规定使用符合安全保密规范的终端， 高官们受到保护的不只是加密这点，扫描白宫或者五角大楼的邮件服务器不是那么容易的。扫不到还好，万一扫到了，国家机器会来找麻烦的。私人邮件服务器基本上没有保护，从互联网上就能扫描，这个文章上面已经提过。

转载请注明出处。