摘要：也許，關于安全問題，最明智的一句話是大衛 萊特曼（馬修 布羅德里克飾）在1983年的電影《戰爭游戲（WarGames）》中說的：“我認為沒有任何系統是絕對安全的。”這樣的想法無疑驅使著黑客，也應該成為企業的驅動力（當然是以不同的方式）。但不幸的是，簡單地依靠堆砌越來越復雜的措施以試圖阻止安全攻擊，可能反而會帶來更多的問題。

由簡單到復雜

最近，我發現自己的某個個人網站被黑，并被留下一個小而頑固的出售藥品的網站鏈接，由此，我學到了一些經驗教訓。首先，即使擁有強大的密碼、沒有明顯的外部訪問模式，連接系統也是脆弱的。任何有一個鏈接到更廣泛網絡的站點都可能是黑客攻擊的潛在目標(甚至未連接設備也可能存在風險)。其次，我學到了復雜性可能是黑客們最好的朋友。消除違規鏈接需要在多個代碼頁文件中找到那一小段的代碼。不幸的是，黑客并沒有留下任何注釋信息之代碼中提示說“//醫藥廣告在此”。然而，慶幸的是，我很少更新我的個人的網站：因而我能夠縮小搜索范圍，將目標鎖定到最近更新的一個單個文件，并且其代碼包含了一些字符串，可能是一串編碼的URL或類似的東西。

但我的經驗相對無痛，雖然這有點討厭，但我并沒有丟失什么重要的數據，也沒有造成真正的損害，除了花費一些時間來找到并刪除有問題的代碼。但對于許多公司來說，這就非常嚴重了，其可能涉及到諸如：客戶信息，研究資料和商業秘密，并有可能造成價值數百萬美元商業損失。此外，企業所采用的網絡和系統要遠比一個個人網站更復雜，這是問題之一。而黑客侵入主要企業網絡的動力會更大，而安全設備的復雜性會帶來獨特和無法預見的攻擊機會。

以可靠性為例

如果您仔細想想就會知道，一個極其復雜的安全系統所存在的問題是相當明顯的，但它可能對于考慮某點類似的情況是有幫助的，如：可靠性。例如，當建造一架飛機時，工程師將為各種系統增加冗余，以確保如果其中一個系統出現故障，備用系統能夠準備接管。有人可能會認為，在乍看之下，該工程師可以通過增加更多的冗余來簡單地實現他們想要的任何可靠性水平。但問題在于，除了前面提到的冗余系統，比如說，方向舵控制冗余系統，還必須有一個系統能夠管理在發生故障的情況下實施系統轉移。但是，即使該系統也可能會受到破壞，因此也可能需要冗余。這個問題的要點是，超過了某一程度，附加冗余實際上對于可靠性是由損害的。

同樣，對于安全問題而言，其對于有效的防范黑客的攻擊者有一定的價值。然而，隨著安全解決方案變得越來越復雜，一些相應的問題也可能隨之出現。安全公司RSA的Amit Yoran表示說：“不幸的是，復雜性常常是安全的大敵。如果是一個內容豐富、交互式的Web站點，黑客只需要一個簡單動作就能夠讓網站被黑。”他在談論被保護站點的復雜性時提出該論點的，但同樣的道理也適用于安全本身。以下是一些隨著安全措施的復雜性增加而可能出現的潛在問題：

更多的人參與。隨著安全解決方案變得更加復雜，企業的這些安全解決方案會需要更多的人員來實現部署和維護。但企業要讓每位員工都清楚的了解企業的每一款IT系統幾乎是不可能的，所以一個專業團隊是非常必要的。更為復雜的問題是企業往往需要獲得外界的幫助，這在某些情況下可能是最好的選擇，但也增加了更多的外鏈鏈接。

更多的對策。防火墻，入侵檢測系統，惡意軟件探測器等等。所有這些元素如何共同保護企業網絡，而不損害其性能呢?這些元素能否都來自同一家供應商，或者假定沒有一個元素能夠執行所有的任務更好呢?無論是哪種情況，都需要管理所有這些元素，更不用說圓滿完成這些特定的任務是一項艱巨的工作了。

更多的安全攻擊。即使您能夠確保您企業的系統對目前所有已知安全攻擊的途徑都是了如指掌的，但黑客明天一定會找到一個新的攻擊途徑。您企業的安全管理實施，是否能夠隨著時間的推移，針對這些新的安全攻擊途徑進行快速和容易的更新，同時不會打亂您企業系統性能穩定性與受安全保護之間的平衡呢?而您企業的員工是否會圍繞著這些安全監管措施，尋求解決方案呢，畢竟，這些安全監管解決方案是如此的臃腫和龐大，已然嚴重影響到了他們正常的工作了。

更多的自動化。采用自動化，減少一些人為操作可以解決某些問題，但就像在可靠性環節的冗余管理系統一樣，這樣做又增加了復雜性，并甚至可能埋下了新的安全攻擊的途徑。

據AlgoSec針對127 名IT安全專業人士進行的調查顯示，超過半數的受訪人士認為“復雜的或相互矛盾的安全策略，如防火墻規則集，路由器ACL，IPS的配置等”是導致其所在企業發生安全事件或運行中斷的頭號原因。這些都是安全的一個方面。

安全保障投入產出的權衡

這一問題固然是相當困難的，您那么有什么解決辦法呢?走極端的過分的復雜性不僅從成功的角度來看存在問題，同時其成本也很昂貴。ZDNet的馬克·塞繆爾斯說，“這就是網絡安全威脅。在理論上，企業CIO們將其大部分IT預算用于建立堅不可摧的安全防御是可能的。”但是，這就像買保險一樣，安全攻擊威脅似乎是浪費錢的，至少一直要到相關的安全威脅事件發生之后，其價值才能體驗出來(當然我們希望這不會常有)。而確定企業需要“投保”到什么程度，并說服企業其他對于安全攻擊威脅一無所知的CXO級別的領導對于安全“投保”的支持和審批也是一個相當棘手的問題。投入安全保障資金的確會有回報，但只體現在防止造成企業虧損方面，而不是類似于投入研發那樣的能夠直接產生營收的積極的回報。

此外，一款透明的、企業內部的IT員工能夠理解甚至進行修改的安全解決方案似乎要比一款內部運作神秘的黑盒解決方案要好很多。然而，對于現代的計算機及其所有的單片集成電路而言(其中根本就沒有什么是您企業IT員工能夠修復或修改的!)簡單往往是以犧牲性能為代價的。因此，復雜性并不是一定要避免的，但確實是在許多工程問題中必須平衡的東西。

然而，最終，像可靠性問題一樣，IT服務的復雜性及其對于安全性的需求可能會達到一個收益遞減點。黑客的不斷攻擊威脅可能會使一些服務由于風險的存在而不可用，這在理論上是可行的。隨著高調的黑客攻擊案件，以及對于政府機構的偷窺威脅越來越多，這種收益遞減點可能不會太遠。

結論

在互聯網發展的早期，彼時的網站僅僅只有相當簡單的幾個HTML頁面，黑客攻擊頂多只是一件比較煩心的事，當然也就不會給他們帶去什么潛在的回報了，除了少數比較罕見的情況之外。而今復雜的網絡為黑客攻擊創造了更大的挑戰，但往往也為他們留下了更大的漏洞，一旦攻擊成功，可能為他們帶來更大的回報。從某種意義上說，復雜的安全措施需要擊退復雜的攻擊，但企業安全措施的復雜程度也可能是其自身的敵人。因此，我們第一步是要認識到這一問題。有時候，可能越簡單越優越：也許，比如利用一些小的烹飪智慧和一口很好的舊鑄鐵鍋，您就可以煎炸煮炒的烹制各種美食，同時仍期待其能夠繼續用上十年，而對于某項互聯網小發明，可能稍微不注意其某些部分就開始脫落，您就必須扔掉了。IT是許多行業的中心，而消費者現在需要越來越多的服務。在企業安全方面最正確的是要找到與業務執行的一個平衡，因此安全問題很可能只是會不斷進化，而不會被最終解決。