“安全性的十個(gè)永恒定律”對(duì)您來(lái)說(shuō)也許并不陌生。這篇關(guān)于安全性的文章大約在 8 年前發(fā)表，至今仍然廣受推崇與重視。盡管如此，過(guò)去 8 年來(lái)所發(fā)生的變化也不容小覷，因此我把這十個(gè)永恒定律重新審視了一番，看看它們是否仍然適用于今日。我在《安全觀察》專欄的前兩篇系列文章中已經(jīng)討論了前七條。

盡管近幾年來(lái)安全性和連接性飛速發(fā)展，但到目前為止，前七條定律仍然非常經(jīng)得起考驗(yàn)。雖然有少數(shù)幾條定律現(xiàn)在的解釋有些差別，而且其中一兩條甚至不如以往絕對(duì)，但是它們?nèi)匀痪哂凶銐虻臋?quán)威。它們?nèi)匀环浅＿m用于制定信息安全性策略，而且在一般的定律系統(tǒng)中，我們希望定律與我們一起成長(zhǎng)、與時(shí)俱進(jìn)。

本月我將討論最后三條定律，并針對(duì)環(huán)境將如何變化和創(chuàng)造這些定律都無(wú)法解釋的新領(lǐng)域而發(fā)表一下見(jiàn)解。如果您尚未看過(guò)原始文章，可以在 TechNet 找到。

定律 #8：病毒掃描程序過(guò)期，比完全沒(méi)有病毒掃描程序好不到哪里去。

在所有定律中，這是最能看出年代的一條。這并不意味著已經(jīng)沒(méi)有任何病毒了 — 其實(shí)恰恰相反?，F(xiàn)在的防病毒軟件供應(yīng)商宣稱它們每年都會(huì)添加成千上百個(gè)傳播媒介。Symantec 在 2008 年 4 月份發(fā)表的《Symantec Global Internet Security Threat Report》中，宣布它現(xiàn)在可以檢測(cè)到 100 多萬(wàn)個(gè)不同的威脅。

第 8 條定律之所以會(huì)泄露它的年代，是因?yàn)樗付瞬《緬呙璩绦颉ｋm然 20 世紀(jì) 90 年代末期是聞毒色變的年代，但是，與 Microsoft Word 宏病毒做斗爭(zhēng)的時(shí)代已經(jīng)一去不復(fù)返了?，F(xiàn)在，我們擔(dān)心的是病毒、蠕蟲(chóng)、間諜軟件、廣告軟件、擊鍵記錄器、Rootkit、仿冒網(wǎng)站、垃圾郵件以及機(jī)器人。如果這些仍不足以讓您保持警惕，那么還有假反惡意軟件。

與我們要應(yīng)付的所有其他邪惡事物相比，病毒是一種相當(dāng)古怪的技術(shù)。如果您的防病毒軟件已經(jīng)過(guò)期，或者您只剩下檢測(cè)病毒的軟件，是否會(huì)出問(wèn)題？當(dāng)然會(huì)出問(wèn)題。實(shí)際上，現(xiàn)在已經(jīng)沒(méi)有只能檢測(cè)病毒的反惡意軟件了，因此，這條針對(duì)病毒掃描程序的法律才會(huì)透露它的年代。反惡意軟件解決方案所能檢測(cè)到的不光是病毒，它的用處很大。

正如我在由三部分組成的系列文章的最后一部分《密碼和信用卡》中指出，這已經(jīng)演變成一個(gè)復(fù)選框體系了。在該系統(tǒng)中，各個(gè)安全性軟件供應(yīng)商爭(zhēng)相互競(jìng)爭(zhēng)，看誰(shuí)能夠填寫更多復(fù)選框。其中一種填寫復(fù)選框的方法就是防止各種不同類型的惡意軟件。

大多數(shù)反惡意軟件都以套件形式推出，其中這些套件不僅能執(zhí)行反惡意軟件的功能，還包含管理所有功能的控制臺(tái)。圖 1 展示了 Microsoft Windows Live OneCare 提供的控制臺(tái)，其中包括防病毒、防間諜軟件以及備份功能；可以跟蹤 Internet Explorer 中內(nèi)置的仿冒篩選器，另外還隨附一個(gè)不是以 Windows 內(nèi)置防火墻為基礎(chǔ)的防火墻（安全性套件中常見(jiàn)的備份）。目前，防病毒軟件通常都會(huì)附帶更多東西，是名符其實(shí)的反惡意軟件。

圖 1 Live OneCare 控制臺(tái)是當(dāng)前常見(jiàn)的安全性套件（單擊圖像以查看大圖）

這是因?yàn)閻阂廛浖纫郧案嗔?，而且編寫惡意軟件的不法分子更加擅長(zhǎng)將其偽裝成合法軟件，這些所謂的“合法軟件”簡(jiǎn)直就是集木馬軟件和其他惡意軟件的大全。

一般用戶根本很難辨別合法軟件和惡意軟件，并且許多惡意軟件通常以廣告的形式通過(guò)合法網(wǎng)站或曾經(jīng)是合法網(wǎng)站提供。有的甚至無(wú)需訪問(wèn)網(wǎng)站，也無(wú)需用戶交互，就能自動(dòng)發(fā)動(dòng)攻擊。

反惡意軟件可以幫助檢測(cè)一些這樣的惡意軟件。將此類犯罪降低到最小程度的最好方法是使用反惡意軟件和謹(jǐn)慎操作計(jì)算機(jī)，二者雙管齊下。有些人可能認(rèn)為只需謹(jǐn)慎操作就足夠了，但是這得依靠明智的判斷和常識(shí) — 而這兩種能力都不是一般人所能擁有的。

或者考慮一下另一種情況：孩子使用計(jì)算機(jī)。孩子沒(méi)有相關(guān)的經(jīng)驗(yàn)可以參考；而且許多父母甚至對(duì)計(jì)算機(jī)安全性認(rèn)識(shí)不夠，因此無(wú)法告訴孩子們安全性的重要；此外，大人根本不可能時(shí)時(shí)刻刻都監(jiān)督孩子使用計(jì)算機(jī)。

這時(shí)候，反惡意軟件至少可以提供部分安全網(wǎng)，但同時(shí)也迫使不法份子更加精益求精。最后演變成惡性循環(huán)，當(dāng)惡意軟件變得更加厲害時(shí)，當(dāng)然對(duì)它也就更加退避三舍了。

反惡意軟件至少可以將最基本的惡意軟件驅(qū)離該體系，以便使安全性專業(yè)人員專心對(duì)付更復(fù)雜的攻擊。如果該系統(tǒng)沒(méi)有反惡意軟件，那很可能連不太復(fù)雜的惡意軟件都可以肆無(wú)忌憚的欺負(fù)我們。到時(shí)候問(wèn)題可能比現(xiàn)在要嚴(yán)重好幾百倍。

然而，以上內(nèi)容都沒(méi)有回答“定律 8 是否仍然成立？”的問(wèn)題。顯然，這取決于怎樣解釋。從最單純的角度來(lái)看，這條定律陳述的是，過(guò)期的防病毒軟件，似乎比完全沒(méi)有防病毒軟件好不到哪兒去。但是，以惡意軟件突變的速度來(lái)看，我們很容易發(fā)現(xiàn)過(guò)期的防病毒軟件完全沒(méi)有任何用處。這也許有點(diǎn)夸張，但并不是完全沒(méi)有根據(jù)。

對(duì)于定律 8 更實(shí)際的方法，就是針對(duì)如今的環(huán)境將它重新解讀。因此，我將把它重申為“必須使用且隨時(shí)更新反惡意軟件”。如果我們從更實(shí)用的角度來(lái)看待定律 8，那么這條定律肯定仍然成立。畢竟，就連反惡意軟件最堅(jiān)決的反對(duì)者，都無(wú)法斷言應(yīng)該將它從安全體系中完全刪除。

我個(gè)人傾向于從公平的角度看待這幾條的定律，我認(rèn)為定律 8 仍然成立。但是我還要加上一點(diǎn)，就是從惡意軟件的突變速度來(lái)看，隨時(shí)更新反惡意軟件絕對(duì)至關(guān)重要。#p#

定律 #9：絕對(duì)匿名在現(xiàn)實(shí)生活和Web上都不切實(shí)際。

每當(dāng)思考這條定律時(shí)，我就忍不住想嘲諷一下我們的政府和大企業(yè)，他們是如何信誓旦旦地向我們保證根本沒(méi)有匿名。美國(guó)政府和 The TJX Companies 共同表示，美國(guó)約半數(shù)人口的個(gè)人信息已經(jīng)輸入地下犯罪組織的文檔中。我倒是很樂(lè)意想象真的有匿名這種東西存在，事實(shí)上，當(dāng)今世界根本不存在匿名（除非您愿意完全與社會(huì)脫節(jié)、放棄您的銀行帳戶、搬到無(wú)人的荒島上以及徹底從人間蒸發(fā)）。

關(guān)于我們所有人的信息這么多，以至于我們可以故意扔掉一些，或者從彼此之間的交流中收集一些。社交網(wǎng)站共同確認(rèn)使用 Internet 的大部分成人和許多兒童都會(huì)公開(kāi)大量的個(gè)人信息。其中的許多信息可能并不一定是我們希望別人可以訪問(wèn)的。有的信息會(huì)對(duì)我們或其他人帶來(lái)麻煩。（別忘了，您將來(lái)的雇主可能會(huì)看到您的指控照片）。

有的信息無(wú)疑是有害信息。電話號(hào)碼、地址、財(cái)務(wù)狀況以及任何個(gè)人信息都應(yīng)該被視為機(jī)密信息。例如，有位用戶想出一個(gè)好方法來(lái)跟蹤用于進(jìn)行銀行業(yè)務(wù)、管理信用卡等事務(wù)的所有 Internet 站點(diǎn)。他創(chuàng)建了一個(gè)自定義主頁(yè)，里面列了所有他需要的鏈接。為了方便記住所有所需的信息，他還掃描了自己所有的重要文檔，包括印有銀行帳號(hào)的支票、信用卡（正反兩面）、駕照、護(hù)照，甚至還包括社會(huì)保障卡。

如果他把網(wǎng)頁(yè)放在安全的地方，那當(dāng)然很方便。遺憾的是，托管在他的 ISP 上的個(gè)人主頁(yè)并不隱密。在從他的頁(yè)面點(diǎn)進(jìn)去的每頁(yè)上，訪客字符串都會(huì)顯示 URL。只要沿著那個(gè) URL 找回去，就會(huì)找到在犯罪市場(chǎng)值好幾千美元的個(gè)人信息。這個(gè)例子雖然有點(diǎn)極端，不過(guò)它提出的重點(diǎn)相當(dāng)有用，即一定要小心管理您允許發(fā)布上網(wǎng)的個(gè)人信息。

雖然社交網(wǎng)站通常提供詳盡的隱私選項(xiàng)，但默認(rèn)情況下并不啟用這些選項(xiàng)。圖 2 顯示了 Facebook 的隱私控件，但這并不是其默認(rèn)設(shè)置。重點(diǎn)在于，雖然您無(wú)法預(yù)測(cè)會(huì)絕對(duì)匿名，但只要小心行事，仍然可以保留一定程度的匿名。

圖 2 更改默認(rèn)值就可以限制 Facebook 上的隱私設(shè)置（單擊圖像以查看大圖）

與現(xiàn)實(shí)生活一樣，Internet 上的隱私多半取決于您的管理方式。即使政府機(jī)構(gòu)或企業(yè)對(duì)您的個(gè)人信息管理不善，您也無(wú)能為力，但是您可以減輕這個(gè)漏洞所造成的影響。您可以盡量避免透露太多不是絕對(duì)必要的信息。

控制個(gè)人信息一個(gè)非常有用的辦法是，向主要的信用報(bào)告機(jī)構(gòu)申請(qǐng)?jiān)p騙警告。遺憾的是，經(jīng)過(guò)信用報(bào)告機(jī)構(gòu)持續(xù)鍥而不舍的游說(shuō)，才終于批準(zhǔn)他們獲得這些詐騙警告，但非常麻煩。代價(jià)是每家機(jī)構(gòu) 6 美元到 12 美元不等，每三個(gè)月一期，而且通常必須手動(dòng)更新。另外還有一個(gè)更好的選擇，就是采用第三方服務(wù)，例如 Debix (debix.com)，請(qǐng)他們?yōu)槟⒃p騙警告。

如果不需要取得信用貸款，您可以建立信貸凍結(jié)，防止任何人取得您的信貸報(bào)告。但是信用報(bào)告機(jī)構(gòu)已經(jīng)確認(rèn)信貸凍結(jié)在大部分的情況下都屬于非法，而且很多時(shí)候只限于個(gè)人信息已被竊取的人才能使用。另外，信貸凍結(jié)的費(fèi)用較高，而且常常必須通過(guò)認(rèn)證的郵件才能安裝。（奇怪的是，通常只需一通電話就能撤銷。）

另一個(gè)控制個(gè)人信息的方法就是限制獲取信息的對(duì)象。不要將信息交給不需要這些信息的組織，盡量與您信任的組織合作，并且不要光顧那些過(guò)去對(duì)您的保護(hù)漠不關(guān)心的組織。獲得基本數(shù)據(jù)不必建立帳戶和提供證書(shū)。如果必須在網(wǎng)站注冊(cè)才能訪問(wèn)產(chǎn)品手冊(cè)，請(qǐng)不要使用此產(chǎn)品，或者使用假信息注冊(cè)。如果需要填寫電子郵件地址，請(qǐng)使用免費(fèi)的 Web 郵件服務(wù)來(lái)設(shè)置臨時(shí)的假帳戶。

這些做法就是定律 9 仍然成立的明證。在網(wǎng)絡(luò)和現(xiàn)實(shí)生活保有隱私，就算在近幾年不會(huì)獲得什么好處，至少也不會(huì)有什么壞處。事實(shí)上，自從原始定律發(fā)布以來(lái)，所有數(shù)據(jù)已經(jīng)全部聯(lián)機(jī)，現(xiàn)在 Internet 已被用作使用個(gè)人信息的大量業(yè)務(wù)的運(yùn)輸通道了。

因此，現(xiàn)在跟蹤您的個(gè)人信息比以往更加重要。如果一定要修改定律 9，那就是將其重寫為“Web 上不可能有絕對(duì)匿名存在，但是您可以控制自己的匿名程度”。#p#

定律 #10：科技不是萬(wàn)靈丹。

定律 10 其實(shí)就是萬(wàn)法歸宗。它的意思是，世界上根本沒(méi)有什么“快來(lái)救我”藍(lán)色大按鈕，就算有也沒(méi)有用。只靠科技根本無(wú)法減輕我們的安全性顧慮。這是一個(gè)很嚴(yán)重的問(wèn)題，因?yàn)樘喟踩援a(chǎn)業(yè)一直努力說(shuō)服大家科技實(shí)際就是靈丹妙藥。重復(fù)的消息是您只需擁有最新版、最適合的安全性套件，就不必?fù)?dān)心其他任何事了。

其實(shí)這并不是 Scott Culp 當(dāng)初撰寫定律 10 的初衷，他的本意是定律 10 應(yīng)該與所有偉大的定律一樣，不斷與時(shí)俱進(jìn)。他的原始意圖指出科技本身并非牢不可破，即使真的牢不可破，攻擊者也會(huì)繞道而行。當(dāng)初撰寫十大定律時(shí)，科技安全性記錄還不是主流。當(dāng) Microsoft 遭到圍攻時(shí)，定律 10 在某些方面是幫助 Microsoft 解釋其安全性記錄的方式。

不過(guò)，從很多方面來(lái)看，定律 10 也頗有先見(jiàn)之明。它其實(shí)也暗示如果提高攻擊安全性技術(shù)的成本和難度，不法份子就會(huì)把注意力從科技轉(zhuǎn)向用戶。

事實(shí)也是如此。雖然科技很難攻破，但是人心卻恰恰相反。所以，不法份子才會(huì)使用各種社交工程和仿冒技術(shù)來(lái)攻擊人類。在不安全性也能貨幣化的世界里，這就是萬(wàn)物自然的發(fā)展。

定律 10 不僅成立，而且在當(dāng)時(shí)還非常先進(jìn) — 先進(jìn)到雖然法則在今天仍然適用，但是解釋卻似乎有些過(guò)時(shí)了。也許是因?yàn)樵摱稍诋?dāng)初撰寫時(shí)的內(nèi)涵不同于今日吧?，F(xiàn)在它仍然成立，只是意義已經(jīng)改變，所以解讀的方式也必須隨之發(fā)展。我們必須超越科技，從人類的利益出發(fā)，側(cè)重于安全性的進(jìn)程部分。若要成功，必須思考如何保護(hù)此體系的這些部分。

接下來(lái)討論什么？

十大定律具有驚人的生命力已是不容置疑的事實(shí)。它們?cè)诮?jīng)過(guò)八年之后依然屹立不倒，其中有些（尤其是定律 10）甚至已經(jīng)隨著時(shí)代成長(zhǎng)，就如同昨天才撰寫的一樣。作為萬(wàn)法歸宗的最后一條定律其實(shí)相當(dāng)具有遠(yuǎn)見(jiàn)（至少結(jié)果是這樣）。它似乎預(yù)見(jiàn)到未來(lái)會(huì)出現(xiàn)一條新的軟性安全道路，而這正是成就健康體系的關(guān)鍵所在。

科技不是萬(wàn)靈丹。只有先了解真相，才能制定這些定律。只有相信科技并不完美，才能真正領(lǐng)會(huì)所有其他定律。事實(shí)上，如果您從定律 1 條仔細(xì)讀到定律 9，就會(huì)了解它們所講的都是軟性安全和程序。內(nèi)容主要包括配置錯(cuò)誤、遺漏修補(bǔ)程序、人類造成的漏洞，或是不恰當(dāng)?shù)厥褂盟Ｗo(hù)的系統(tǒng)或數(shù)據(jù)等等。

我在著手撰寫這個(gè)包括三部分的系列報(bào)導(dǎo)時(shí)，原本想要加上幾條自己構(gòu)想的定律，但是在分析這些定律的過(guò)程中，逐漸發(fā)現(xiàn)其實(shí)沒(méi)有這個(gè)必要，因?yàn)槎?10 已經(jīng)涵蓋了所有其他的定律（包括我原本要說(shuō)的在內(nèi)）。事實(shí)上，與其加入新定律，不如將定律 10 改寫為“科技并非萬(wàn)靈丹，只有超越這種誤解才能確保安全性”。

別忘了當(dāng)初撰寫這些定律時(shí)，正是 IT 環(huán)境從 Y2K 轉(zhuǎn)移到審核專業(yè)人員世界的過(guò)渡時(shí)期，而現(xiàn)在安全性已經(jīng)攻占所有的認(rèn)同感了。

為什么會(huì)這樣？主要是由于犯罪集團(tuán)駭人的成長(zhǎng)率。許多不法之徒都選擇在法律保護(hù)薄弱的國(guó)家公開(kāi)橫行，因?yàn)樗麄冎浪缮⒌挠?jì)算機(jī)安全性可以貨幣化。其范圍擴(kuò)及毒品交易、前東歐集團(tuán) (Eastern Bloc) 的黑手黨以及恐怖份子集團(tuán)等等。

目前驅(qū)使計(jì)算機(jī)犯罪的因素全部出于下列三種：貪婪、意識(shí)形態(tài)以及民族優(yōu)越感。.要對(duì)抗這三種新的攻擊，必須在永恒定律的架構(gòu)內(nèi)進(jìn)行。同時(shí)也必須做出難以決定的取舍，不過(guò)這個(gè)部分我將在以后的專欄中討論。

原文地址

本文來(lái)源：微軟TechNet中文站