原則 1：保護(hù)最薄弱的環(huán)節(jié)

　　安全性社區(qū)中最常見的比喻之一是：安全性是根鏈條；系統(tǒng)的安全程度只與最脆弱的環(huán)節(jié)一樣。結(jié)論是系統(tǒng)最薄弱部分就是最易受攻擊影響的部分。

　　攻擊者往往設(shè)法攻擊最易攻擊的環(huán)節(jié)，這對于您來說可能并不奇怪。如果他們無論因?yàn)槭裁丛驅(qū)⒛南到y(tǒng)作為攻擊目標(biāo)，那么他們將沿阻力最小的路線采取行動(dòng)。這意味著他們將試圖攻擊系統(tǒng)中看起來最薄弱的部分，而不是看起來堅(jiān)固的部分。即便他們在您系統(tǒng)各部分上花費(fèi)相同的精力，他們也更可能在系統(tǒng)最需要改進(jìn)的部分中發(fā)現(xiàn)問題。

　　這一直覺是廣泛適用的。銀行里的錢通常比便利店里的錢多，但是它們哪一個(gè)更易遭到搶劫呢？當(dāng)然是便利店。為什么？因?yàn)殂y行往往有更強(qiáng)大的安全性防范措施；便利店則是一個(gè)容易得多的目標(biāo)。

　　讓我們假定您擁有一家普通的銀行和一家普通的便利店。是為保險(xiǎn)庫添加額外的門并將安全人員的數(shù)目翻倍，還是為便利店花費(fèi)同樣數(shù)目的錢雇傭安全官員更劃算呢？銀行可能已經(jīng)將出納員置于防彈玻璃之后，并安裝了攝像機(jī)、配備了安全保衛(wèi)、裝備了上鎖的保險(xiǎn)庫以及具有電子密碼的門。相比之下，便利店可能裝備了沒那么復(fù)雜的攝像機(jī)系統(tǒng)以及很少的其它設(shè)備。如果您將對您的金融帝國的任何一部分進(jìn)行安全性投資，那么便利店將是最佳選擇，因?yàn)樗娘L(fēng)險(xiǎn)要大得多。

　　這一原則顯然也適用于軟件世界，但大多數(shù)人并沒有給予任何重視。特別地，密碼術(shù)不太會(huì)是系統(tǒng)最薄弱的部分。即使使用具有 512 位 RSA 密鑰和 40 位 RC4 密鑰的 SSL-1，這種被認(rèn)為是難以置信的薄弱的密碼術(shù)，攻擊者仍有可能找到容易得多的方法進(jìn)入。的確，它是可攻破的，但是攻破它仍然需要大量的計(jì)算工作。

　　如果攻擊者想訪問通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)，那么他們可能將其中一個(gè)端點(diǎn)作為目標(biāo)，試圖找到諸如緩沖區(qū)溢出之類的缺陷，然后在數(shù)據(jù)加密之前或在數(shù)據(jù)解密之后查看數(shù)據(jù)。如果存在可利用的緩沖區(qū)溢出，那么世界上所有的密碼術(shù)都幫不了您 ― 而且緩沖區(qū)溢出大量出現(xiàn)在 C 代碼中。

　　因?yàn)檫@一原因，雖然加密密鑰長度的確對系統(tǒng)的安全性有影響，但在大多數(shù)系統(tǒng)中它們并不是如此的重要，在這些系統(tǒng)中更重要的事情都有錯(cuò)。同樣地，攻擊者通常并不攻擊防火墻本身，除非防火墻上有眾所周知的弱點(diǎn)。實(shí)際上，他們將試圖突破通過防火墻可見的應(yīng)用程序，因?yàn)檫@些應(yīng)用程序通常是更容易的目標(biāo)。

　　如果執(zhí)行一個(gè)好的風(fēng)險(xiǎn)分析，則標(biāo)識出您覺得是系統(tǒng)最薄弱的組件應(yīng)該非常容易。您應(yīng)該首先消除看起來好象是最嚴(yán)重的風(fēng)險(xiǎn)，而不是看起來最容易減輕的風(fēng)險(xiǎn)。一旦一些其它組件很明顯是更大的風(fēng)險(xiǎn)時(shí)，您就應(yīng)該將精力集中到別的地方。

　　當(dāng)然，可以永遠(yuǎn)使用這一策略，因?yàn)榘踩詮膩砭筒皇且粋€(gè)保證。您需要某些停止點(diǎn)。根據(jù)您在軟件工程過程中定義的任何量度，在所有組件都似乎在可接受的風(fēng)險(xiǎn)閾值以內(nèi)時(shí)，您應(yīng)該停下來。

　　原則 2：縱深防御

　　縱深防御背后的思想是：使用多重防御策略來管理風(fēng)險(xiǎn)，以便在一層防御不夠時(shí)，在理想情況下，另一層防御將會(huì)阻止完全的破壞。即便是在安全性社區(qū)以外，這一原則也是眾所周知的；例如，這是編程語言設(shè)計(jì)的著名原則：

　　縱深防御：采取一系列防御，以便在一層防御不能抓住錯(cuò)誤時(shí)，另一層防御將可能抓住它。

　　讓我們回到為銀行提供安全性的示例。為什么典型的銀行比典型的便利店更安全？因?yàn)橛性S多冗余的安全性措施保護(hù)銀行 ― 措施越多，它就越安全。單單安全攝像機(jī)通常就足以成為一種威懾。但如果攻擊者并不在乎這些攝像機(jī)，那么安全保衛(wèi)就將在那兒實(shí)際保護(hù)銀行。兩名安全保衛(wèi)甚至將提供更多的保護(hù)。但如果兩名保衛(wèi)都被蒙面匪徒槍殺，那么至少還有一層防彈玻璃以及電子門鎖來保護(hù)銀行出納員。如果強(qiáng)盜碰巧砸開了這些門或者猜出了 PIN，起碼強(qiáng)盜將只能容易搶劫現(xiàn)金出納機(jī)，因?yàn)槲覀冇斜ｋU(xiǎn)庫來保護(hù)余下部分。理想情況下，保險(xiǎn)庫由幾個(gè)鎖保護(hù)，沒有兩個(gè)很少同時(shí)在銀行的人在場是不能被打開的。至于現(xiàn)金出納機(jī)，可以為其裝備使鈔票留下印記的噴色裝置。

　　當(dāng)然，配備所有這些安全性措施并不能確保銀行永遠(yuǎn)不會(huì)遭到成功的搶劫。即便在具備這么多安全性的銀行，也確實(shí)會(huì)發(fā)生銀行搶劫。然而，很清楚，所有這些防御措施加起來會(huì)形成一個(gè)比任何單一防御措施有效得多的安全性系統(tǒng)。

　　這好象同先前的原則有些矛盾，因?yàn)槲覀儗?shí)質(zhì)上是在說：多重防御比最堅(jiān)固的環(huán)節(jié)還要堅(jiān)固。然而，這并不矛盾；“保護(hù)最薄弱環(huán)節(jié)”的原則適用于組件具有不重疊的安全性功能的時(shí)候。但當(dāng)涉及到冗余的安全性措施時(shí)，所提供的整體保護(hù)比任意單個(gè)組件提供的保護(hù)要強(qiáng)得多，確實(shí)是可能的。

　　一個(gè)好的現(xiàn)實(shí)示例是保護(hù)在企業(yè)系統(tǒng)不同服務(wù)器組件間傳遞的數(shù)據(jù)，其中縱深防御會(huì)非常有用，但卻很少應(yīng)用。大部分公司建立企業(yè)級的防火墻來阻止入侵者侵入。然后這些公司假定防火墻已經(jīng)足夠，并且讓其應(yīng)用程序服務(wù)器不受阻礙地同數(shù)據(jù)庫“交談”。如果數(shù)據(jù)非常重要，那么如果攻擊者設(shè)法穿透了防火墻會(huì)發(fā)生什么呢？如果對數(shù)據(jù)也進(jìn)行了加密，那么攻擊者在不破解加密，或者（更可能是）侵入存儲未加密形式的數(shù)據(jù)的服務(wù)器之一的情況下，將不能獲取數(shù)據(jù)。如果我們正好在應(yīng)用程序周圍建立另一道防火墻，我們就能夠保護(hù)我們免遭穿透了企業(yè)防火墻的人攻擊。那么他們就不得不在應(yīng)用程序網(wǎng)絡(luò)顯式輸出的一些服務(wù)中尋找缺陷；我們要緊緊掌握那些信息。

　　原則 3：保護(hù)故障

　　任何十分復(fù)雜的系統(tǒng)都會(huì)有故障方式。這是很難避免的?？梢员苊獾氖峭收嫌嘘P(guān)的安全性問題。問題是：許多系統(tǒng)以各種形式出現(xiàn)故障時(shí)，它們都?xì)w結(jié)為不安全行為。在這樣的系統(tǒng)中，攻擊者只需造成恰當(dāng)類型的故障，或者等待恰當(dāng)類型的故障發(fā)生。

　　我們聽說過的最好的現(xiàn)實(shí)示例是將現(xiàn)實(shí)世界同電子世界連接起來的示例 ― 信用卡認(rèn)證。諸如 Visa 和 MasterCard 這樣的大型信用卡公司在認(rèn)證技術(shù)上花費(fèi)巨資以防止信用卡欺詐。最明顯地，無論您什么時(shí)候去商店購物，供應(yīng)商都會(huì)在連接到信用卡公司的設(shè)備上刷您的卡。信用卡公司檢查以確定該卡是否屬被盜。更令人驚訝的是，信用卡公司在您最近購物的環(huán)境下分析您的購物請求，并將該模式同您消費(fèi)習(xí)慣的總體趨勢進(jìn)行比較。如果其引擎察覺到任何十分值得懷疑的情況，它就會(huì)拒絕這筆交易。

　　從安全性觀點(diǎn)來看，這一方案給人的印象十分深刻 ― 直到您注意到某些事情出錯(cuò)時(shí)所發(fā)生的情況。如果信用卡的磁條被去磁會(huì)怎樣呢？供應(yīng)商會(huì)不得不說：“抱歉，因?yàn)榇艞l破了，您的卡無效。”嗎？不。信用卡公司還向供應(yīng)商提供了創(chuàng)建您卡的標(biāo)記的手工機(jī)器，供應(yīng)商可以將其送給信用卡公司以便結(jié)帳。如果您有一張偷來的卡，那么可能根本不會(huì)進(jìn)行認(rèn)證。店主甚至可能不會(huì)向您要您的 ID。

　　在手工系統(tǒng)中一直有某些安全性所示，但現(xiàn)在沒了。在計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)以前，可能會(huì)要您的 ID 以確保該卡同您的駕駛證相匹配。另外需要注意的是，如果您的號碼出現(xiàn)在當(dāng)?shù)囟ㄆ诟碌膲目斜碇畠?nèi)，那么該卡將被沒收。而且供應(yīng)商還將可能核查您的簽名。電子系統(tǒng)一投入使用，這些技術(shù)實(shí)際上就再也不是必需的了。如果電子系統(tǒng)出現(xiàn)故障，那么在極少見的情況下，會(huì)重新使用這些技術(shù)。然而，實(shí)際不會(huì)使用這些技術(shù)。信用卡公司覺得：故障是信用卡系統(tǒng)中十分少見的情形，以致于不要求供應(yīng)商在發(fā)生故障時(shí)記住復(fù)雜的過程。

　　系統(tǒng)出現(xiàn)故障時(shí)，系統(tǒng)的行為沒有通常的行為安全。遺憾的是，系統(tǒng)故障很容易引起。例如，很容易通過將偷來的信用卡在一塊大的磁鐵上掃一下來毀壞其磁條。這么做，只要小偷將卡用于小額購買（大額購買經(jīng)常要求更好的驗(yàn)證），他們就或多或少地生出了任意數(shù)目的金錢。從小偷的角度看，這一方案的優(yōu)點(diǎn)是：故障很少會(huì)導(dǎo)致他們被抓獲。有人可以長期用這種方法使用同一張卡，幾乎沒有什么風(fēng)險(xiǎn)。

　　為什么信用卡公司使用這種愚蠢落后的方案呢？答案是：這些公司善于風(fēng)險(xiǎn)管理。只要他們能夠不停地大把賺錢，他們就可以承受相當(dāng)大數(shù)量的欺詐。他們也知道阻止這種欺詐的成本是不值得的，因?yàn)閷?shí)際發(fā)生的欺詐的數(shù)目相對較低。（包括成本和公關(guān)問題在內(nèi)的許多因素影響這一決定。）

　　大量的其它例子出現(xiàn)在數(shù)字世界。經(jīng)常因?yàn)樾枰С植话踩呐f版軟件而出現(xiàn)問題。例如，比方說，您軟件的原始版本十分“天真”，完全沒有使用加密?，F(xiàn)在您想修正這一問題，但您已建立了廣大的用戶基礎(chǔ)。此外，您已部署了許多或許在長時(shí)間內(nèi)都不會(huì)升級的服務(wù)器。更新更聰明的客戶機(jī)和服務(wù)器需要同未使用新協(xié)議更新的較舊的客戶機(jī)進(jìn)行互操作。您希望強(qiáng)迫老用戶升級，但您尚未為此做準(zhǔn)備。沒有指望老用戶會(huì)占用戶基礎(chǔ)中如此大的一部分，以致于無論如何這將真的很麻煩。怎么辦呢？讓客戶機(jī)和服務(wù)器檢查它從對方收到的第一條消息，然后從中確定發(fā)生了什么事情。如果我們在同一段舊的軟件“交談”，那么我們就不執(zhí)行加密。