点评信息安全十大定律
本文标签: 10 Immutable Laws of Security 

    2000年Scott Culp撰写的信息安全的十大定律一文（http://technet.microsoft.com/zh-cn/library/cc722487(en-us).aspx），影响颇大，时间已经过去了近10年，该文今天过时了吗？

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore

定律 1：如果攻击者能够设法使您在自己计算机上运行他的程序，那么这台计算机就不再属于您了。

    评：这就是为什么病毒和**生成器被**产业链青睐的原因，只要能让你的电脑运行**指定的程序，既可以偷取你的账号和密码，还能用你的电脑、占用你的带宽去点击能给**带来收益的网站，你说计算机还是你的吗？

Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore

定律 2：如果攻击者能够更改你计算机上的操作系统设置，那么这台计算机就不再属于您了。

    评：还记得吗，看到一个很吸引人的软件，下载安装后，你的主页就被更改了？这还是客气的。很多汉化软件中捆绑各种插件，经常不通知你就安装到了你的电脑中，其目的就是要更改计算机中的某些设置，所以安装电脑后，我一定会进入“设置”—“控制面板”—“系统”，关闭远程协助、远程桌面。另外，在“控制面板”--“管理工具”--“服务”中，会禁用RemoteRegistry，目的是不让远程用户修改本地注册表。

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore

定律 3：如果攻击者对您的计算机具有无限制物理访问权限，那么这台计算机就不再属于您了。

    评：除了关好办公室的门外，还有一招是：离开电脑时，锁定电脑的桌面。物理安全是非常重要，越简单的事情越要注意。

Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more

定律 4：如果您允许攻击者将程序上传到您的网站，网站也就不是您的网站了。

    评：2009年流行的众多“网站**”事件正是这条定律的最好解释。

Law #5: Weak passwords trump strong security

定律 5：弱密码胜过强大的安全性。

    评：这条定律的意思我理解为再强大的安全技术手段也抵不过弱密码造成的漏洞。很多CIO都有这样的体会，越是领导的级别高、年纪大，其电脑的安全风险越大，其中的一个重要原因是这些领导往往喜欢采用简单好记的密码。当然，正常人都会对各种繁复并要求定期修改的密码深感头痛，期待一站式登陆、生物特征识别验证等技术能减少我们的困扰，虽然指纹识别产品并不那么好用。

Law #6: A computer is only as secure as the administrator is trustworthy

定律 6：计算机是否安全取决于管理员是否值得信任。

    评：这个定律实际上在目前的很多系统中已经得到了部分解决，通过将计算机管理员、安全管理员、IT审计员、业务部门IT管理人员等的职责分开，能部分避免出现管理员一人独大的局面；这条定律同时提醒企业用户，要将普通计算机管理员的权限从员工手中收回来，相对于增加的不便以及投入的培训和设置费用，有效提高整个体系的安全性以及随之带来的可管理性会让老板觉得物有所值。

Law #7: Encrypted data is only as secure as the decryption key

定律 7：加密数据是否安全取决于解密密钥。

    评：从技术上来看，这个说法是真理，但和前文谈到的密码问题一样，

Law #8: An out of date virus scanner is only marginally better than no virus scanner at all

定律 #8：病毒扫描程序过期，比完全没有病毒扫描程序好不到哪里去。

    评：完全同意，不过现在有一个不太好的趋势，各种安全产品的升级程序运行日益频繁还能够理解，比如：360安全卫士、赛门铁克杀毒软件等，但如搜狗输入法、迅雷这样的功能软件也动不动就要连网升级，暴风影音甚至还因为升级造成20省断网，还有各种所谓的“云”，现在的软件产业是不是有点矫枉过正？

Law #9: Absolute anonymity isn't practical, in real life or on the Web

定律 #9：绝对匿名在现实生活和 Web 上都不切实际。

    评：除非做到了某些**“万网身边过，片data不沾身”或者如e-works上某博客说的“只是冷眼看着，我绝不说话”，面对“人肉搜索”横行，想到今天上网可能被商家跟踪和分析消费爱好，看看精准营销带来无往而不在的“垃圾邮件”和“第五媒体”的垃圾短信，想如在猫扑上那样说个“俺匿了”恐怕并不容易。

Law #10: Technology is not a panacea

定律 #10：技术不是万灵丹。

    评：在e-works信息安全沙龙上，以为CIO说得很好：某些信息安全要求，用安全产品和技术做不好的，只要和管理结合，认真执行到位，都没有问题。技术是加速度和催化剂，但它替代不了企业的业务、管理。良好的信息安全不能唯技术，一定要将技术的硬件和管理的软件结合起来才能最大效率的发挥作用。

    从2000年十大安全定律发布到现在已近10年，IT业界发生了翻天覆地的变化，但看来这十大定律还在继续发挥作用，信息技术目前正从最初的高高再上变得日益与人们的生活紧密相关，我想这十大定律对普通用户也同样有意义。