“安全性的十個永恒定律”對您來說也許并不陌生。這篇關(guān)于安全性的文章大約在 8 年前發(fā)表，至今仍然廣受推崇與重視。盡管如此，過去 8 年來所發(fā)生的變化也不容小覷，因此我把這十個永恒定律重新審視了一番，看看它們是否仍然適用于今日。我在《安全觀察》專欄的前兩篇系列文章中已經(jīng)討論了前七條。

盡管近幾年來安全性和連接性飛速發(fā)展，但到目前為止，前七條定律仍然非常經(jīng)得起考驗。雖然有少數(shù)幾條定律現(xiàn)在的解釋有些差別，而且其中一兩條甚至不如以往絕對，但是它們?nèi)匀痪哂凶銐虻臋?quán)威。它們?nèi)匀环浅＿m用于制定信息安全性策略，而且在一般的定律系統(tǒng)中，我們希望定律與我們一起成長、與時俱進(jìn)。

本月我將討論最后三條定律，并針對環(huán)境將如何變化和創(chuàng)造這些定律都無法解釋的新領(lǐng)域而發(fā)表一下見解。如果您尚未看過原始文章，可以在 TechNet 找到。

定律 #8：病毒掃描程序過期，比完全沒有病毒掃描程序好不到哪里去。

在所有定律中，這是最能看出年代的一條。這并不意味著已經(jīng)沒有任何病毒了 — 其實恰恰相反?，F(xiàn)在的防病毒軟件供應(yīng)商宣稱它們每年都會添加成千上百個傳播媒介。Symantec 在 2008 年 4 月份發(fā)表的《Symantec Global Internet Security Threat Report》中，宣布它現(xiàn)在可以檢測到 100 多萬個不同的威脅。

第 8 條定律之所以會泄露它的年代，是因為它指定了病毒掃描程序。雖然 20 世紀(jì) 90 年代末期是聞毒色變的年代，但是，與 Microsoft Word 宏病毒做斗爭的時代已經(jīng)一去不復(fù)返了?，F(xiàn)在，我們擔(dān)心的是病毒、蠕蟲、間諜軟件、廣告軟件、擊鍵記錄器、Rootkit、仿冒網(wǎng)站、垃圾郵件以及機器人。如果這些仍不足以讓您保持警惕，那么還有假反惡意軟件。

與我們要應(yīng)付的所有其他邪惡事物相比，病毒是一種相當(dāng)古怪的技術(shù)。如果您的防病毒軟件已經(jīng)過期，或者您只剩下檢測病毒的軟件，是否會出問題？當(dāng)然會出問題。實際上，現(xiàn)在已經(jīng)沒有只能檢測病毒的反惡意軟件了，因此，這條針對病毒掃描程序的法律才會透露它的年代。反惡意軟件解決方案所能檢測到的不光是病毒，它的用處很大。

正如我在由三部分組成的系列文章的最后一部分《密碼和信用卡》中指出，這已經(jīng)演變成一個復(fù)選框體系了。在該系統(tǒng)中，各個安全性軟件供應(yīng)商爭相互競爭，看誰能夠填寫更多復(fù)選框。其中一種填寫復(fù)選框的方法就是防止各種不同類型的惡意軟件。

大多數(shù)反惡意軟件都以套件形式推出，其中這些套件不僅能執(zhí)行反惡意軟件的功能，還包含管理所有功能的控制臺。圖 1 展示了 Microsoft Windows Live OneCare 提供的控制臺，其中包括防病毒、防間諜軟件以及備份功能；可以跟蹤 Internet Explorer 中內(nèi)置的仿冒篩選器，另外還隨附一個不是以 Windows 內(nèi)置防火墻為基礎(chǔ)的防火墻（安全性套件中常見的備份）。目前，防病毒軟件通常都會附帶更多東西，是名符其實的反惡意軟件。

圖 1 Live OneCare 控制臺是當(dāng)前常見的安全性套件（單擊圖像以查看大圖）

這是因為惡意軟件比以前更多了，而且編寫惡意軟件的不法分子更加擅長將其偽裝成合法軟件，這些所謂的“合法軟件”簡直就是集木馬軟件和其他惡意軟件的大全。

一般用戶根本很難辨別合法軟件和惡意軟件，并且許多惡意軟件通常以廣告的形式通過合法網(wǎng)站或曾經(jīng)是合法網(wǎng)站提供。有的甚至無需訪問網(wǎng)站，也無需用戶交互，就能自動發(fā)動攻擊。

反惡意軟件可以幫助檢測一些這樣的惡意軟件。將此類犯罪降低到最小程度的最好方法是使用反惡意軟件和謹(jǐn)慎操作計算機，二者雙管齊下。有些人可能認(rèn)為只需謹(jǐn)慎操作就足夠了，但是這得依靠明智的判斷和常識 — 而這兩種能力都不是一般人所能擁有的。

或者考慮一下另一種情況：孩子使用計算機。孩子沒有相關(guān)的經(jīng)驗可以參考；而且許多父母甚至對計算機安全性認(rèn)識不夠，因此無法告訴孩子們安全性的重要；此外，大人根本不可能時時刻刻都監(jiān)督孩子使用計算機。

這時候，反惡意軟件至少可以提供部分安全網(wǎng)，但同時也迫使不法份子更加精益求精。最后演變成惡性循環(huán)，當(dāng)惡意軟件變得更加厲害時，當(dāng)然對它也就更加退避三舍了。

反惡意軟件至少可以將最基本的惡意軟件驅(qū)離該體系，以便使安全性專業(yè)人員專心對付更復(fù)雜的攻擊。如果該系統(tǒng)沒有反惡意軟件，那很可能連不太復(fù)雜的惡意軟件都可以肆無忌憚的欺負(fù)我們。到時候問題可能比現(xiàn)在要嚴(yán)重好幾百倍。

然而，以上內(nèi)容都沒有回答“定律 8 是否仍然成立？”的問題。顯然，這取決于怎樣解釋。從最單純的角度來看，這條定律陳述的是，過期的防病毒軟件，似乎比完全沒有防病毒軟件好不到哪兒去。但是，以惡意軟件突變的速度來看，我們很容易發(fā)現(xiàn)過期的防病毒軟件完全沒有任何用處。這也許有點夸張，但并不是完全沒有根據(jù)。

對于定律 8 更實際的方法，就是針對如今的環(huán)境將它重新解讀。因此，我將把它重申為“必須使用且隨時更新反惡意軟件”。如果我們從更實用的角度來看待定律 8，那么這條定律肯定仍然成立。畢竟，就連反惡意軟件最堅決的反對者，都無法斷言應(yīng)該將它從安全體系中完全刪除。

我個人傾向于從公平的角度看待這幾條的定律，我認(rèn)為定律 8 仍然成立。但是我還要加上一點，就是從惡意軟件的突變速度來看，隨時更新反惡意軟件絕對至關(guān)重要。#p#

定律 #9：絕對匿名在現(xiàn)實生活和Web上都不切實際。

每當(dāng)思考這條定律時，我就忍不住想嘲諷一下我們的政府和大企業(yè)，他們是如何信誓旦旦地向我們保證根本沒有匿名。美國政府和 The TJX Companies 共同表示，美國約半數(shù)人口的個人信息已經(jīng)輸入地下犯罪組織的文檔中。我倒是很樂意想象真的有匿名這種東西存在，事實上，當(dāng)今世界根本不存在匿名（除非您愿意完全與社會脫節(jié)、放棄您的銀行帳戶、搬到無人的荒島上以及徹底從人間蒸發(fā)）。

關(guān)于我們所有人的信息這么多，以至于我們可以故意扔掉一些，或者從彼此之間的交流中收集一些。社交網(wǎng)站共同確認(rèn)使用 Internet 的大部分成人和許多兒童都會公開大量的個人信息。其中的許多信息可能并不一定是我們希望別人可以訪問的。有的信息會對我們或其他人帶來麻煩。（別忘了，您將來的雇主可能會看到您的指控照片）。

有的信息無疑是有害信息。電話號碼、地址、財務(wù)狀況以及任何個人信息都應(yīng)該被視為機密信息。例如，有位用戶想出一個好方法來跟蹤用于進(jìn)行銀行業(yè)務(wù)、管理信用卡等事務(wù)的所有 Internet 站點。他創(chuàng)建了一個自定義主頁，里面列了所有他需要的鏈接。為了方便記住所有所需的信息，他還掃描了自己所有的重要文檔，包括印有銀行帳號的支票、信用卡（正反兩面）、駕照、護照，甚至還包括社會保障卡。

如果他把網(wǎng)頁放在安全的地方，那當(dāng)然很方便。遺憾的是，托管在他的 ISP 上的個人主頁并不隱密。在從他的頁面點進(jìn)去的每頁上，訪客字符串都會顯示 URL。只要沿著那個 URL 找回去，就會找到在犯罪市場值好幾千美元的個人信息。這個例子雖然有點極端，不過它提出的重點相當(dāng)有用，即一定要小心管理您允許發(fā)布上網(wǎng)的個人信息。

雖然社交網(wǎng)站通常提供詳盡的隱私選項，但默認(rèn)情況下并不啟用這些選項。圖 2 顯示了 Facebook 的隱私控件，但這并不是其默認(rèn)設(shè)置。重點在于，雖然您無法預(yù)測會絕對匿名，但只要小心行事，仍然可以保留一定程度的匿名。

圖 2 更改默認(rèn)值就可以限制 Facebook 上的隱私設(shè)置（單擊圖像以查看大圖）

與現(xiàn)實生活一樣，Internet 上的隱私多半取決于您的管理方式。即使政府機構(gòu)或企業(yè)對您的個人信息管理不善，您也無能為力，但是您可以減輕這個漏洞所造成的影響。您可以盡量避免透露太多不是絕對必要的信息。

控制個人信息一個非常有用的辦法是，向主要的信用報告機構(gòu)申請詐騙警告。遺憾的是，經(jīng)過信用報告機構(gòu)持續(xù)鍥而不舍的游說，才終于批準(zhǔn)他們獲得這些詐騙警告，但非常麻煩。代價是每家機構(gòu) 6 美元到 12 美元不等，每三個月一期，而且通常必須手動更新。另外還有一個更好的選擇，就是采用第三方服務(wù)，例如 Debix (debix.com)，請他們?yōu)槟⒃p騙警告。

如果不需要取得信用貸款，您可以建立信貸凍結(jié)，防止任何人取得您的信貸報告。但是信用報告機構(gòu)已經(jīng)確認(rèn)信貸凍結(jié)在大部分的情況下都屬于非法，而且很多時候只限于個人信息已被竊取的人才能使用。另外，信貸凍結(jié)的費用較高，而且常常必須通過認(rèn)證的郵件才能安裝。（奇怪的是，通常只需一通電話就能撤銷。）

另一個控制個人信息的方法就是限制獲取信息的對象。不要將信息交給不需要這些信息的組織，盡量與您信任的組織合作，并且不要光顧那些過去對您的保護漠不關(guān)心的組織。獲得基本數(shù)據(jù)不必建立帳戶和提供證書。如果必須在網(wǎng)站注冊才能訪問產(chǎn)品手冊，請不要使用此產(chǎn)品，或者使用假信息注冊。如果需要填寫電子郵件地址，請使用免費的 Web 郵件服務(wù)來設(shè)置臨時的假帳戶。

這些做法就是定律 9 仍然成立的明證。在網(wǎng)絡(luò)和現(xiàn)實生活保有隱私，就算在近幾年不會獲得什么好處，至少也不會有什么壞處。事實上，自從原始定律發(fā)布以來，所有數(shù)據(jù)已經(jīng)全部聯(lián)機，現(xiàn)在 Internet 已被用作使用個人信息的大量業(yè)務(wù)的運輸通道了。

因此，現(xiàn)在跟蹤您的個人信息比以往更加重要。如果一定要修改定律 9，那就是將其重寫為“Web 上不可能有絕對匿名存在，但是您可以控制自己的匿名程度”。#p#

定律 #10：科技不是萬靈丹。

定律 10 其實就是萬法歸宗。它的意思是，世界上根本沒有什么“快來救我”藍(lán)色大按鈕，就算有也沒有用。只靠科技根本無法減輕我們的安全性顧慮。這是一個很嚴(yán)重的問題，因為太多安全性產(chǎn)業(yè)一直努力說服大家科技實際就是靈丹妙藥。重復(fù)的消息是您只需擁有最新版、最適合的安全性套件，就不必?fù)?dān)心其他任何事了。

其實這并不是 Scott Culp 當(dāng)初撰寫定律 10 的初衷，他的本意是定律 10 應(yīng)該與所有偉大的定律一樣，不斷與時俱進(jìn)。他的原始意圖指出科技本身并非牢不可破，即使真的牢不可破，攻擊者也會繞道而行。當(dāng)初撰寫十大定律時，科技安全性記錄還不是主流。當(dāng) Microsoft 遭到圍攻時，定律 10 在某些方面是幫助 Microsoft 解釋其安全性記錄的方式。

不過，從很多方面來看，定律 10 也頗有先見之明。它其實也暗示如果提高攻擊安全性技術(shù)的成本和難度，不法份子就會把注意力從科技轉(zhuǎn)向用戶。

事實也是如此。雖然科技很難攻破，但是人心卻恰恰相反。所以，不法份子才會使用各種社交工程和仿冒技術(shù)來攻擊人類。在不安全性也能貨幣化的世界里，這就是萬物自然的發(fā)展。

定律 10 不僅成立，而且在當(dāng)時還非常先進(jìn) — 先進(jìn)到雖然法則在今天仍然適用，但是解釋卻似乎有些過時了。也許是因為該定律在當(dāng)初撰寫時的內(nèi)涵不同于今日吧。現(xiàn)在它仍然成立，只是意義已經(jīng)改變，所以解讀的方式也必須隨之發(fā)展。我們必須超越科技，從人類的利益出發(fā)，側(cè)重于安全性的進(jìn)程部分。若要成功，必須思考如何保護此體系的這些部分。

接下來討論什么？

十大定律具有驚人的生命力已是不容置疑的事實。它們在經(jīng)過八年之后依然屹立不倒，其中有些（尤其是定律 10）甚至已經(jīng)隨著時代成長，就如同昨天才撰寫的一樣。作為萬法歸宗的最后一條定律其實相當(dāng)具有遠(yuǎn)見（至少結(jié)果是這樣）。它似乎預(yù)見到未來會出現(xiàn)一條新的軟性安全道路，而這正是成就健康體系的關(guān)鍵所在。

科技不是萬靈丹。只有先了解真相，才能制定這些定律。只有相信科技并不完美，才能真正領(lǐng)會所有其他定律。事實上，如果您從定律 1 條仔細(xì)讀到定律 9，就會了解它們所講的都是軟性安全和程序。內(nèi)容主要包括配置錯誤、遺漏修補程序、人類造成的漏洞，或是不恰當(dāng)?shù)厥褂盟Ｗo的系統(tǒng)或數(shù)據(jù)等等。

我在著手撰寫這個包括三部分的系列報導(dǎo)時，原本想要加上幾條自己構(gòu)想的定律，但是在分析這些定律的過程中，逐漸發(fā)現(xiàn)其實沒有這個必要，因為定律 10 已經(jīng)涵蓋了所有其他的定律（包括我原本要說的在內(nèi)）。事實上，與其加入新定律，不如將定律 10 改寫為“科技并非萬靈丹，只有超越這種誤解才能確保安全性”。

別忘了當(dāng)初撰寫這些定律時，正是 IT 環(huán)境從 Y2K 轉(zhuǎn)移到審核專業(yè)人員世界的過渡時期，而現(xiàn)在安全性已經(jīng)攻占所有的認(rèn)同感了。

為什么會這樣？主要是由于犯罪集團駭人的成長率。許多不法之徒都選擇在法律保護薄弱的國家公開橫行，因為他們知道松散的計算機安全性可以貨幣化。其范圍擴及毒品交易、前東歐集團 (Eastern Bloc) 的黑手黨以及恐怖份子集團等等。

目前驅(qū)使計算機犯罪的因素全部出于下列三種：貪婪、意識形態(tài)以及民族優(yōu)越感。.要對抗這三種新的攻擊，必須在永恒定律的架構(gòu)內(nèi)進(jìn)行。同時也必須做出難以決定的取舍，不過這個部分我將在以后的專欄中討論。

原文地址

本文來源：微軟TechNet中文站