當(dāng)我第一次讀到 RFC 1925(1996年4月1日發(fā)布)中關(guān)于網(wǎng)絡(luò)真理的介紹時，我覺得這簡直就是愚人節(jié)的笑話，隨后就將之拋諸腦后了。而最近我忽然意識到，通過深入解讀這12條真理，可以從中吸取到很有價值的經(jīng)驗。由于RFC表示各種安全協(xié)議都服從于這些真理，因此我決定將信息安全的概念通過這些真理來解讀一下。

真理1: 必須有效

不管你決定使用哪種信息安全工具，無論它是技術(shù)產(chǎn)品、協(xié)議或者其他什么，都要確保這種工具有效。但是“有效”是什么概念呢?我認(rèn)為，如果能夠成功減少企業(yè)所面臨的風(fēng)險，那么這種安全工具就算“有效”。如果這種安全工具只是通過復(fù)雜的操作讓人產(chǎn)生了錯誤的安全感，那就不叫“有效”。

真理2: 不管你如何增加推力，你也不可能超越光速。

2a (推論). 不論你怎么努力，也不可能讓胎兒在9個月之前正常出生。拔苗助長只會適得其反。

某一種特定的安全控制和解決方案只適用于某一種特定的環(huán)境。比如，在公司大眾文化還無法接納時就強制推行嚴(yán)格的安全控制制度，必然會導(dǎo)致企業(yè)員工的不滿和抵制。又比如，如果企業(yè)自身都沒有什么重要數(shù)據(jù)需要保護，或者自己都不知道重要數(shù)據(jù)存儲在何處的情況下，就提前實施數(shù)據(jù)丟失預(yù)防(DLP)解決方案。而要想成功必須按照正確的步驟逐步實施，否則結(jié)果不是無法達到預(yù)期，就是項目開支超出預(yù)期。

真理3: 只要推力足夠，豬也能在天上飛。不過這并不是個好主意，因為著陸可能會是個問題。還有，當(dāng)豬在天上飛的時候，你在下面會很危險。

我承認(rèn)，這些年來，我給了很多豬足夠的動力，他們也真的飛起來了。但是，在不考慮某個特定產(chǎn)品能否真正滿足企業(yè)需求解決企業(yè)本質(zhì)問題，或者企業(yè)文化還沒有準(zhǔn)備好的情況下強制實施安全控制方案，所帶來的結(jié)果往往是出乎意料的。比如，不滿的員工會想方設(shè)法找到變通的途徑，繞過你極力實施的安全控制措施。

真理4: 有些事情如果不是親自動手，這輩子都不會理解或體會到。如果某人沒有真正搭建過商業(yè)網(wǎng)絡(luò)設(shè)備或沒有運營過網(wǎng)絡(luò)，是無法完全理解網(wǎng)絡(luò)的。

不能因為你理解某種行為的安全風(fēng)險或者你有某種安全解決方案的搭建經(jīng)驗，就認(rèn)為企業(yè)的所有員工都理解這種安全風(fēng)險或者都需要進行安全風(fēng)險控制。安全意識的培養(yǎng)是一個長期過程，同時也是能夠幫助你達成安全項目目標(biāo)的因素之一。同樣，換位思考，如果你沒有做過企業(yè)員工的日常工作，你可能也不會真正了解他們到底為什么那么排斥你的安全項目。

真理5: 很多人都希望通過一個解決方案同時解決多個分立的問題。在大多數(shù)情況下，這都是個壞主意。

從長期運行的角度看，復(fù)雜的安全問題解決方案不利于維護，并且更容易出現(xiàn)意外狀況(比如員工會想辦法繞過安全控制)，這會讓所有人都有失敗感。因此再設(shè)計安全控制方案時，要時刻遵循KISS原則，即Keep it simple,stupid(保持簡單傻瓜狀態(tài))。

真理6:把問題轉(zhuǎn)移到別的地方(比如將問題轉(zhuǎn)移到網(wǎng)絡(luò)架構(gòu)的另一個區(qū)域)要比解決問題簡單的多。

6a (推論). 總是可以添加另一層間接方案。

你能實施一個技術(shù)方案，并不意味著你能解決那些本質(zhì)上是由文化或安全意識造成的問題。因此你可能很容易誤解問題的根本原因所在。

真理7: 總是有原因的

7a (推論): 好用，快速，廉價：三者只能選其二(不可能三者都占著)

對與絕大多數(shù)IT項目來說，這一條都適用。當(dāng)計劃實施任何安全項目時，最好把這一條牢記在心。一個快速而廉價的項目，一般要么是功能較少，要么是性能無法達到你的要求。

真理8:事情總是比你想的復(fù)雜.

不論新的安全技術(shù)、策略或控制方案實施起來多么簡單，都有可能由于實施工藝、企業(yè)文化或政治因素等導(dǎo)致失敗。上層管理層的支持、安全意識的培訓(xùn)以及完整周密的計劃和測試，可以讓潛在的失敗風(fēng)險降低。

真理9: 不管什么資源，多多益善

9a (推論) 所有網(wǎng)絡(luò)問題的解決時間總要比看上去長

真正解決或最小化一個網(wǎng)絡(luò)安全風(fēng)險是一個復(fù)雜的任務(wù)，花費的時間也短不了，同時可能所需成本也會比你最初預(yù)料的高。但是長期來看，解決問題所帶來的回報是最高的。

真理10: 不同情況分別對待

這就是為什么安全項目計劃和設(shè)計過程如此重要的原因。企業(yè)的文化、所面臨的安全風(fēng)險，甚至企業(yè)內(nèi)部的政治斗爭，都會影響到企業(yè)的安全特征以及項目實施的方法。

真理11: 所有的老方案都會換個名字或者換個陳述方法重新被提出來，不論以前這種方案是否成功過。

11a (推論). 參考6a。

安全產(chǎn)品廠商總是會在新產(chǎn)品中增加所謂的“革新”技術(shù)，就好像黑客總會在他們的攻擊活動中添加“創(chuàng)新”方法一樣。但是大多數(shù)時候，不論是安全廠商還是黑客，所謂的創(chuàng)新都是新瓶裝老酒。保持頭腦冷靜，你就能分辨出老方案和真正的新方案之間的差異，以及是否值得花錢購買新產(chǎn)品。

真理12: 在協(xié)議設(shè)計上，完美并不是指該添加的都添加了，而是指該去掉的都去掉了。

在信息安全方面，完美的安全控制是指通過透明的不會引起用戶反感的方法實現(xiàn)的方案，并且企業(yè)可以通過這種方案實現(xiàn)安全控制以及降低安全風(fēng)險。