安全無界限 愛因斯坦對安全程序的啟示

“亂中求簡;求同存異;困難中潛藏機遇。”

這通常被稱為愛因斯坦的上司法則，它描述了在各種企業部署進行安全部署時面臨的挑戰。顯然部署過程中會出現雜亂，紛争和困難，但是真正的安全專家知道如何從紛繁中找出模式化的東西，化繁為簡。

“技術發展就像是病态罪犯手中的斧子。”

有一種錯誤的觀念認為投入較多的硬體，軟體，小部件和人力就可以解決所有問題。在大多數情況下，最基本的做法應該是先理清順序，但這其實也是大多數 安全部署存在的問題。以索尼被黑事件為例，如果在開發上多投入些，就可以通過簡單的Input-Sanitation Function來捕獲SQL注入。

“任何自作聰明的傻子都可能把小麻煩變得更大更複雜更棘手。智者的點撥和大膽一些才能扭轉局面。”

有時候，少即是多。複雜性和擴充就是導緻不安全的原因之一。是以，簡化流程反而可以避免很多嚴重的安全問題。但是這需要娴熟的技巧才行，而這也帶我們進入下一個思考：

“盡可能進行簡化不是單純以簡單為目标。”

另一層意思可以了解為，複雜與否也是按照需要來，不能單純以複雜為目的。應該有可用于政策評估的一套高标準和一套低标準。這樣是否太簡單而不能解決你的問題?安全程序真的需要20個步驟嗎?又或者這些程序隻是為了敷衍客戶讓他們覺得沒有白花錢?

“我們不能用建立時的思路來解決問題。”

筆者認為這是愛因斯坦上述想法中最有價值的一條。“當你隻有錘子的時候，所有的問題看起來都像釘子。”這句話是對其智慧的更好诠釋。極少有人會意識 到自己陷入這個境地，更不用說去承認自己處于這個境地并放手把任務交由其他人完成或是采取一種不同的，新穎的或有風險的方法。人們趨向于回避自己不了解的 問題或是自以為是。

“創新的秘訣在于了解如何隐藏自己的資源。”

不要重蹈覆轍。很多專家花時間寫指導和最佳執行個體。你大可以好好利用。

“不能通過武力實作和平。和平隻能通過了解來實作。”

讓使用者合作比強制他們順從要簡單有效得多。應該對可能導緻資料洩露或惹上官司的惡意行為進行監控。生産監控不是一項安全任務，對裝置健康狀況的監控不應在SOC中完成。你可能會因為堅持而給安全姿态帶來威脅。

“唯一影響我學習的因素是我所受的教育。”

大企業強調安全教育訓練，喜歡用PPT或是線上視訊的方式來進行教育訓練。傳統的安全教育訓練可以很好地滿足服從性和安全規則，然而使用者并不了解安全，是以有些 東西不會如想象的那樣脫穎而出。使用者在受到智力挑戰時才記得牢。這意味着，互動式對話，例如，将工作之外與使用者相關的部分結合起來比讓使用者看無聊的幻燈片 會有效果得多。

“有兩件事情是無窮盡的：宇宙與人類的愚蠢;我對宇宙并不完全了解。”

不要低估愚蠢的力量。嘗試讓你的政策直覺易懂，在把政策部署到産品之前對各類使用者進行大量測試。這樣就可以在産品出現問題前發覺可能存在的誤解。

“自诩為真理和真知評判者的人會被上帝嘲笑。”

傾聽使用者的聲音——他們或許對黑客技術并不了解，但是通過他們你會知道哪些是較難通過的屏障，哪些是容易被攻擊的薄弱環節。另外，你也難保不漏掉一個安全問題，是以也可以選擇接受第三方的正常審查。

“不是所有重要的事情都會被考慮進來，也不是所有考慮到的事情就是重要的。”

有趨勢表明對于标準的倚重有些過頭。标準的作用其實有限，特别是在有着緊急屬性和不可預料的第三方介入時。隻能依靠并使用那些可提供較好防禦的标準，要避免那些華而不實的管理報告。而若想對一些理所當然的現象提出質疑，最好的方法就是展現它出故障的時候會出現什麼情況。

希望這些可以給大家帶來一些啟發。更重要的是想傳遞給大家一種想法，即安全專家不單單是技術師而已，其涉獵要遠遠超出IT範疇。

本文轉自    geekwolf   51CTO部落格，原文連結:http://blog.51cto.com/linuxgeek/999009