gal-sec (![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small} gal_sec) wrote,@ 2005-08-05 11:27:00 |
|
How to "meet the minds"
Сегодня хочу поделиться своим печальным опытом общения с консультантами. Все это навеяно (но не связано) статьей: http://securityfocus.com/columnists/3
- Какие порты надо открыть?
- Надо открыть порты [a], [b] и [c].
- А куда?
- На сервера [D], [E] и [F].
- Эти сервера выполняют разные функции, неужели один набор портов на все?
- Да.
- А порт [a] не слушается на сервере [E], зачем его открывать?
- Мы рекомендуем вообще тут трафик не фильтровать.
- ???
Возможно это мое субъективное ощущение. Возможно уровень информационной безопасности по стране таков, что люди чуть ли не впервые сталкиваются с ситуацией, когда им вообще предъявляют требования по безопасности? Маловероятно что это так. Не хочу, чтобы сложилось впечатление, что я ругаю всех подряд, но общее впечатление именно такое. Может мы пока не научились технике «Meeting of the minds»? :)
Today’s post is about my experience of dealing with external consultants (thoughts flowed from, but not directly related to http://securityfocus.com/columnists/3
- What network ports should we open?
- You should open ports [a], [b] and [c].
- And for what hosts?
- For hosts [D], [E] and [F].
- But these hosts serve different functions, are port numbers the same?
- Yes.
- But there is no service on port [a] on host [E], why should we open it?
- We would recommend no filtering at all.
- ???
Maybe it’s my subjective feeling. Or information security level in Russia is so low, that it is uncommon to have security requirements along with functional requirements. I don’t think this is the case. I’m not talking about all and every consulting agency, but overall level seems to be low. Did we come across the problem of “Meeting of the minds”? :)
Сегодня хочу поделиться своим печальным опытом общения с консультантами. Все это навеяно (но не связано) статьей: http://securityfocus.com/columnists/3
- Какие порты надо открыть?
- Надо открыть порты [a], [b] и [c].
- А куда?
- На сервера [D], [E] и [F].
- Эти сервера выполняют разные функции, неужели один набор портов на все?
- Да.
- А порт [a] не слушается на сервере [E], зачем его открывать?
- Мы рекомендуем вообще тут трафик не фильтровать.
- ???
Возможно это мое субъективное ощущение. Возможно уровень информационной безопасности по стране таков, что люди чуть ли не впервые сталкиваются с ситуацией, когда им вообще предъявляют требования по безопасности? Маловероятно что это так. Не хочу, чтобы сложилось впечатление, что я ругаю всех подряд, но общее впечатление именно такое. Может мы пока не научились технике «Meeting of the minds»? :)
Today’s post is about my experience of dealing with external consultants (thoughts flowed from, but not directly related to http://securityfocus.com/columnists/3
- What network ports should we open?
- You should open ports [a], [b] and [c].
- And for what hosts?
- For hosts [D], [E] and [F].
- But these hosts serve different functions, are port numbers the same?
- Yes.
- But there is no service on port [a] on host [E], why should we open it?
- We would recommend no filtering at all.
- ???
Maybe it’s my subjective feeling. Or information security level in Russia is so low, that it is uncommon to have security requirements along with functional requirements. I don’t think this is the case. I’m not talking about all and every consulting agency, but overall level seems to be low. Did we come across the problem of “Meeting of the minds”? :)
