关于信息安全技术可悲的事实是，为了精通它你必须成为真正的技术偏执狂。

    当然，我在这里提到的偏执狂代表的并不是医学临床意义上的含义。作为一名安全专家，你绝对不应该被心理学家诊断为偏执。而在充满了各种各样威胁的IT世界中，你才需要采取象“偏执狂”一样的观念来帮助最终用户避免风险。如果用户认为你偏执，就应该告诉他们这样才能带来真正的安全。你应该让用户了解，每天的工作是为了防范各种威胁，只有偏执狂才能保证系统的正常运作。

    如果你想成为一名非常出色的安全专家，有一个很重要的因素是必须具备的。它并不是比别人记忆和强调更多的“行业最佳做法”，而是要：亲自或者通过统计数据选择值得信任的代理，对所有发生的事件都进行验证，这就是为什么安全专家们有时被称为“偏执狂”。简单的说法就是，“通过了验证的信任才是真正可靠的。”

    信任人还是信任媒体，这之间是存在差别的，因此，我们就需要对这样的差别信任进行验证。来自媒体的例子需要进行验证。在某些情况下，甚至你信任的人也需要包括在内：

    代码：尽管通常情况下，我们倾向于来自“信誉良好”的供应商的代码应该是安全的，但对此持怀疑态度也是有理由的。即使你不属于持怀疑态度的人，但人总是会犯错误的。对于安全问题来说，真正的实际安全比事后的道歉好的多。开放的源代码可以被直接验证和通过代理合理验证。正如我在《谷歌的Native Client项目可能改变游戏的规则？》和《通过开放带来安全》等文章中所指出的一样，开放源码不仅提供了直接验证的机会，还可以通过代理进行验证。我们必须知道，如果下载的文件仅仅是包含了二进制代码，而没有提供源代码，并不能保证它就是从宣称的源代码中编译出来的。

    通讯：随着网络技术的发展，现在你与可以信任的人就秘密信息进行在线沟通，但这并不意味着你应该通过这种方式分享这些秘密。如果出现了中间人类型的攻击，即使进行过加密也不能保证你的私人信息在传输过程中不被泄露。象OpenPGP以及OTR之类的加密协议，设计的时间就将验证的安全考虑在内了，但象SSL之类的就需要“受信任”的额外第三方，如何对第三方的可信度进行验证，在通常情况下是很难做到的事情。

    下载：正如我指出的那样利用加密哈希审定工具，就可以对下载的文件信息进行验证，以获得象受信任供应商一样的认可。如果没有某种形式的验证，你不能保证获得的是真实的情况。请注意，如果没有办法保证供应商的可靠，进行验证不仅可以确保供应商的可靠，而且也可以确保下载文件的真实可信。

    信息：处于满足休闲好奇等方面的需求，这种类型的信息可以在没有实际具体理由确定其不值得信任前，作为假定可以接受的正确资料。杂志和报纸上刊登的文章、百科全书以及各个领域经常说实话的专家都属于这样的情况。如果要用于较正式的场合，举例来说，一些和你的信誉度以及个人安全相关的信息，最好通过其它方面的无冲突来源进行验证。

    漏洞管理：不管什么时间，你依赖的软件本身就意味着在安全上这是一个漏洞。我们通常倾向于依赖软件供应商在出现新漏洞的时间通知我们，直接或通过补丁管理系统安装一个简单的安全补丁来保证系统安全。或许，一些经销商与其它竞争对手在这方面比起来可能更值得信赖，但是，通过美国系统网络安全协会、卡内基梅隆大学美国电脑紧急应变团队以及BugTraq黑客电子邮件组等其它来源跟踪和漏洞有关的新闻可能会是一个更好的选择。系统和安全补丁在安装到运行系统里之前，应该通过测试系统进行测试，以避免出现需要卸载安全补丁或者由于安全补丁的顺序问题导致补丁失效这样的重大安全事件。2003年的SQL Slammer worm蠕虫事件就是一个典型的例子。

    一个真正合格的安全专家应该始终着眼于怎样对出现的问题进行验证。对于安全来说，每一个假定的可信度都应该受到怀疑，问题的关键在于“我要这样才能验证出这一假设背后的真相？”