也許，關(guān)于安全問題，最明智的一句話是大衛(wèi)•萊特曼(馬修•布羅德里克飾)在1983年的電影《戰(zhàn)爭游戲(WarGames)》中說的：“我認為沒有任何系統(tǒng)是絕對安全的。”這樣的想法無疑驅(qū)使著黑客，也應該成為企業(yè)的驅(qū)動力(當然是以不同的方式)。但不幸的是，簡單地依靠堆砌越來越復雜的措施以試圖阻止安全攻擊，可能反而會帶來更多的問題。

由簡單到復雜

最近，我發(fā)現(xiàn)自己的某個個人網(wǎng)站被黑，并被留下一個小而頑固的出售藥品的網(wǎng)站鏈接，由此，我學到了一些經(jīng)驗教訓。首先，即使擁有強大的密碼、沒有明顯的外部訪問模式，連接系統(tǒng)也是脆弱的。任何有一個鏈接到更廣泛網(wǎng)絡(luò)的站點都可能是黑客攻擊的潛在目標(甚至未連接設(shè)備也可能存在風險)。其次，我學到了復雜性可能是黑客們最好的朋友。消除違規(guī)鏈接需要在多個代碼頁文件中找到那一小段的代碼。不幸的是，黑客并沒有留下任何注釋信息之代碼中提示說“//醫(yī)藥廣告在此”。然而，慶幸的是，我很少更新我的個人的網(wǎng)站：因而我能夠縮小搜索范圍，將目標鎖定到最近更新的一個單個文件，并且其代碼包含了一些字符串，可能是一串編碼的URL或類似的東西。

但我的經(jīng)驗相對無痛，雖然這有點討厭，但我并沒有丟失什么重要的數(shù)據(jù)，也沒有造成真正的損害，除了花費一些時間來找到并刪除有問題的代碼。但對于許多公司來說，這就非常嚴重了，其可能涉及到諸如：客戶信息，研究資料和商業(yè)秘密，并有可能造成價值數(shù)百萬美元商業(yè)損失。此外，企業(yè)所采用的網(wǎng)絡(luò)和系統(tǒng)要遠比一個個人網(wǎng)站更復雜，這是問題之一。而黑客侵入主要企業(yè)網(wǎng)絡(luò)的動力會更大，而安全設(shè)備的復雜性會帶來獨特和無法預見的攻擊機會。

以可靠性為例

如果您仔細想想就會知道，一個極其復雜的安全系統(tǒng)所存在的問題是相當明顯的，但它可能對于考慮某點類似的情況是有幫助的，如：可靠性。例如，當建造一架飛機時，工程師將為各種系統(tǒng)增加冗余，以確保如果其中一個系統(tǒng)出現(xiàn)故障，備用系統(tǒng)能夠準備接管。有人可能會認為，在乍看之下，該工程師可以通過增加更多的冗余來簡單地實現(xiàn)他們想要的任何可靠性水平。但問題在于，除了前面提到的冗余系統(tǒng)，比如說，方向舵控制冗余系統(tǒng)，還必須有一個系統(tǒng)能夠管理在發(fā)生故障的情況下實施系統(tǒng)轉(zhuǎn)移。但是，即使該系統(tǒng)也可能會受到破壞，因此也可能需要冗余。這個問題的要點是，超過了某一程度，附加冗余實際上對于可靠性是由損害的。

同樣，對于安全問題而言，其對于有效的防范黑客的攻擊者有一定的價值。然而，隨著安全解決方案變得越來越復雜，一些相應的問題也可能隨之出現(xiàn)。安全公司RSA的Amit Yoran表示說：“不幸的是，復雜性常常是安全的大敵。如果是一個內(nèi)容豐富、交互式的Web站點，黑客只需要一個簡單動作就能夠讓網(wǎng)站被黑。”他在談論被保護站點的復雜性時提出該論點的，但同樣的道理也適用于安全本身。以下是一些隨著安全措施的復雜性增加而可能出現(xiàn)的潛在問題：

更多的人參與。隨著安全解決方案變得更加復雜，企業(yè)的這些安全解決方案會需要更多的人員來實現(xiàn)部署和維護。但企業(yè)要讓每位員工都清楚的了解企業(yè)的每一款I(lǐng)T系統(tǒng)幾乎是不可能的，所以一個專業(yè)團隊是非常必要的。更為復雜的問題是企業(yè)往往需要獲得外界的幫助，這在某些情況下可能是最好的選擇，但也增加了更多的外鏈鏈接。

更多的對策。防火墻，入侵檢測系統(tǒng)，惡意軟件探測器等等。所有這些元素如何共同保護企業(yè)網(wǎng)絡(luò)，而不損害其性能呢?這些元素能否都來自同一家供應商，或者假定沒有一個元素能夠執(zhí)行所有的任務更好呢?無論是哪種情況，都需要管理所有這些元素，更不用說圓滿完成這些特定的任務是一項艱巨的工作了。

更多的安全攻擊。即使您能夠確保您企業(yè)的系統(tǒng)對目前所有已知安全攻擊的途徑都是了如指掌的，但黑客明天一定會找到一個新的攻擊途徑。您企業(yè)的安全管理實施，是否能夠隨著時間的推移，針對這些新的安全攻擊途徑進行快速和容易的更新，同時不會打亂您企業(yè)系統(tǒng)性能穩(wěn)定性與受安全保護之間的平衡呢?而您企業(yè)的員工是否會圍繞著這些安全監(jiān)管措施，尋求解決方案呢，畢竟，這些安全監(jiān)管解決方案是如此的臃腫和龐大，已然嚴重影響到了他們正常的工作了。

更多的自動化。采用自動化，減少一些人為操作可以解決某些問題，但就像在可靠性環(huán)節(jié)的冗余管理系統(tǒng)一樣，這樣做又增加了復雜性，并甚至可能埋下了新的安全攻擊的途徑。

據(jù)AlgoSec針對127 名IT安全專業(yè)人士進行的調(diào)查顯示，超過半數(shù)的受訪人士認為“復雜的或相互矛盾的安全策略，如防火墻規(guī)則集，路由器ACL，IPS的配置等”是導致其所在企業(yè)發(fā)生安全事件或運行中斷的頭號原因。這些都是安全的一個方面。

安全保障投入產(chǎn)出的權(quán)衡

這一問題固然是相當困難的，您那么有什么解決辦法呢?走極端的過分的復雜性不僅從成功的角度來看存在問題，同時其成本也很昂貴。ZDNet的馬克·塞繆爾斯說，“這就是網(wǎng)絡(luò)安全威脅。在理論上，企業(yè)CIO們將其大部分IT預算用于建立堅不可摧的安全防御是可能的。”但是，這就像買保險一樣，安全攻擊威脅似乎是浪費錢的，至少一直要到相關(guān)的安全威脅事件發(fā)生之后，其價值才能體驗出來(當然我們希望這不會常有)。而確定企業(yè)需要“投保”到什么程度，并說服企業(yè)其他對于安全攻擊威脅一無所知的CXO級別的領(lǐng)導對于安全“投保”的支持和審批也是一個相當棘手的問題。投入安全保障資金的確會有回報，但只體現(xiàn)在防止造成企業(yè)虧損方面，而不是類似于投入研發(fā)那樣的能夠直接產(chǎn)生營收的積極的回報。

此外，一款透明的、企業(yè)內(nèi)部的IT員工能夠理解甚至進行修改的安全解決方案似乎要比一款內(nèi)部運作神秘的黑盒解決方案要好很多。然而，對于現(xiàn)代的計算機及其所有的單片集成電路而言(其中根本就沒有什么是您企業(yè)IT員工能夠修復或修改的!)簡單往往是以犧牲性能為代價的。因此，復雜性并不是一定要避免的，但確實是在許多工程問題中必須平衡的東西。

然而，最終，像可靠性問題一樣，IT服務的復雜性及其對于安全性的需求可能會達到一個收益遞減點。黑客的不斷攻擊威脅可能會使一些服務由于風險的存在而不可用，這在理論上是可行的。隨著高調(diào)的黑客攻擊案件，以及對于政府機構(gòu)的偷窺威脅越來越多，這種收益遞減點可能不會太遠。

結(jié)論

在互聯(lián)網(wǎng)發(fā)展的早期，彼時的網(wǎng)站僅僅只有相當簡單的幾個HTML頁面，黑客攻擊頂多只是一件比較煩心的事，當然也就不會給他們帶去什么潛在的回報了，除了少數(shù)比較罕見的情況之外。而今復雜的網(wǎng)絡(luò)為黑客攻擊創(chuàng)造了更大的挑戰(zhàn)，但往往也為他們留下了更大的漏洞，一旦攻擊成功，可能為他們帶來更大的回報。從某種意義上說，復雜的安全措施需要擊退復雜的攻擊，但企業(yè)安全措施的復雜程度也可能是其自身的敵人。因此，我們第一步是要認識到這一問題。有時候，可能越簡單越優(yōu)越：也許，比如利用一些小的烹飪智慧和一口很好的舊鑄鐵鍋，您就可以煎炸煮炒的烹制各種美食，同時仍期待其能夠繼續(xù)用上十年，而對于某項互聯(lián)網(wǎng)小發(fā)明，可能稍微不注意其某些部分就開始脫落，您就必須扔掉了。IT是許多行業(yè)的中心，而消費者現(xiàn)在需要越來越多的服務。在企業(yè)安全方面最正確的是要找到與業(yè)務執(zhí)行的一個平衡，因此安全問題很可能只是會不斷進化，而不會被最終解決。