我最近顺道拜访了位于西雅图的安全咨询公司@stake（世界著名的Mudge目前所在的雇主）的办公室，与我的朋友Frank Heidt共进午餐，他是一位安全架构师。 不出所料，我不得不等了几分钟，因为Frank要参加一个电话会议。 当他出来时，他抱怨着即将到来的周末工作，并告诉我我们的午餐将不得不改为十分钟的咖啡时间。

电话会议来自一家客户公司，他们难以在@stake提供的一系列糟糕的选择中做出选择。 他们是自己安全部门失控的受害者。 此时，在他们自己员工的摆布下，他们的选择很少而且代价高昂。 Frank告诉我，根据他的经验，绝大多数的安全漏洞和威胁都是内部的，这让我想起，大多数的谋杀和强奸也是由受害者认识的罪犯犯下的。 与其安装防护栏、辣椒喷雾和防火墙，不如花时间选择让谁进入物理门，这可能是一项更好的投资。 正如Bob Toxen在真实世界的Linux安全中写道，“防火墙的存在……不应该成为允许不安全系统位于其后的借口。”

鉴于完全安全是无法实现的，而松懈是愚蠢的，我问Frank他的安全理念是什么。 他回答说，他实际上没有一个具体的理念，但是客户的需求应该决定所采取的安全策略。 他不认为安全是防火墙、工具和日常任务的魔法清单（尽管他认为Snort是最好的IDS），而更多的是需要满足的一组要求和需要考虑的限制。 对于那些正在寻找安全圣杯的人来说，这似乎是一个没有答案的答案，但它确实是唯一有意义的答案。 很抱歉又回到了人身安全的比喻，但这与我一位自卫教练朋友过去常告诉我的非常相似。 他无法为给定的攻击提供具体的行动，例如“当他抓住你的手臂时踢他的腹股沟”（顺便说一句，这是一种相当无效的阻止决心坚定的攻击者的方式），因为攻击不是预先设定的。 防御需要基于原则，例如“面对更强大的攻击者，你最安全的位置是在近距离”，而不是给定的技术。

在这两种情况下，最重要的工作都取决于寻求安全和防御的公司或个人。 安全系统是对个人安全需求和限制有深入了解的结果。 顾问对于提供技术知识和指出可能性很有价值，但是你的网络安全最终必须由你自己来完成。

Rob Beck（另一位@staker）在本月专题文章中的文章就是一个很好的例子。 他提供了一个很棒的小应用程序用于指纹规避，但是匿名级别（甚至匿名是否在一个人的安全优先级列表中处于较高位置）取决于用户，正如Rob指出的那样。

除了通常的偏执企鹅和安全专题文章外，本期的内核角，软件焦点和掌控命令也都是以安全为中心的。 实际上，我们最终得到了太多的HOWTO安全文章，以至于其中一些无法挤进印刷杂志，而被降级到我们网站的无限空间中——请参阅目录页的严格在线部分以获取标题。