前几天,在一个关于加密技术的邮件列表里我发现了一封和维斯特-沙米尔-阿德勒曼加密算法(RSA)有关的电子邮件。这让我想起了在以前曾经工作过公司的情况,在那里就使用“RSA”,以期让员工更安全地获得计算能力。
当年我在公司的职务是网络管理员和IT管理经理,在这里我不会提到公司的具体名称。当时,副总裁要求我参与一个会议,和软件开发部主管就如何实施下一步安全措施进行讨论。经过大约二十多分钟的讨论,话题已经进展到大量开发者使用了运行两种不同Linux操作系统发行版本的高配置ThinkPad笔记本计算机等移动计算平台,它们被主要当作工作站来使用,怎样才能确保这些系统的安全。副总裁转过来对我说: “你觉得RSA的效果怎么样?”
这个问题并不复杂,所以我(我想是可以理解的)有点意外和困惑。我用反问的方法回答了这个问题:“这取决于你想用它来做什么。”
这下子,他开始朝我眨眼,显示出一副困惑的表情。软件开发部主管回到自己的位置上,等待我们俩进行进一步的沟通看看是否会互相理解对方的话语,因为他不知道我会怎么做。
我尽最大的努力从一个门外汉可以理解的角度向他解释关于维斯特-沙米尔-阿德勒曼加密算法的基本常识。我知道这看上去很奇怪,帮助一位非技术经理了解一种加密算法的用途和优点,尽管他管理的仅仅是整个网络中的十台八台运行微软Windows操作系统的计算机。但是只要他提出问题,我就尽力给予答复。为了确保就讨论重点取得一致,他尽力尝试提出一些有帮助的问题,举例来说,他提到“...应该这样利用维斯特-沙米尔-阿德勒曼加密算法实现笔记本计算机的安全访问?”当然,这也正如我在前面已经提到的,看起来就这个问题我们之间根本无法进行沟通。
经过几分钟的交谈我才突然发现,实际上副总裁并不是让我介绍对维斯特-沙米尔-阿德勒曼加密算法的认识。实际上,转折出现在软件开发部主管那里,也就是那位坐在旁边看我们讨论的老兄,他问了副总裁一个清楚但似乎没有什么关联的问题,让我的头脑在瞬间清醒了,彻底领悟了关键所在。
“你的意思是RSA安全这家公司?”
我都有种要用Palm手机拍自己前额的欲望,但这样只会激怒副总裁。相反的,我是这样说:“噢, RSA安全公司!我还以为你问的RSA加密算法。”
接着,我就加密算法和加密产品之间的区别进行了解释。在这段时间里,副总裁询问了RSA安全公司SecurID硬件令牌(可以提供一次性密码、多因素验证等功能)产品线的情况。他是在一本杂志的广告上看到的这种产品。对于非技术经理来说,同名的公司而不是加密算法才是符合自身定位的真正问题。
我告诉他,在判断这种产品是否符合公司的需求之前,我必须对产品进行一些分析和研究。关于这样的研究,我告诉他,必须包括与需要使用的员工(对于安全来说,防止出现漏洞是非常重要的,部署前的评估就是处于这样的目的)进行讨论,并且还要确定它们是否会和我们系统的配置产生冲突。
这个故事告诉我们,以技术为导向的IT专业人士,特别是象安全专业人员之类的项目专家,必须确保自己已经认识到和非技术人员之间存在交流的鸿沟。这种误区最少也会导致在讨论问题时浪费时间,最坏的情况则可能导致事故出现。在许多方面,管理人员和技术人员都生活在不同的世界中。在就技术问题进行讨论的时间,我们需要加倍小心,以确保表达的意思是一致的。