对于安全来说丰富的想象力比最佳实践效果还好　

　　ZDNET至顶网安全频道 5月12日 编译：对于个人来说，是否了解如何保护自身和隐私的安全取决于能否认识到危险并且找出解决导致威胁出现问题的解决方案。能否知道怎样保护自己免于遭受来自病毒的攻击，取决于是否了解病毒之所以危险的原因，以及对于其工作原理至少有简单的认识。是否认识到怎样才能保护自身免于遭受来自身份盗窃者的威胁，取决于能否知道他们希望从你这里获得的信息是什么，以及将会采用何种方式来达到预定目的。

　　有些人依靠其它人来提供保护，他们希望其他人可以做到：

　　1. 了解他们不知道的，以及不想知道的关于自身保护的情况;并且，从来不花时间来考虑该问题，就是保卫者是否真正拥有他们所宣称的能力。

　　2. 对于他们的安全保持足够重视，并进行勤奋工作以保证安全——实际上，要求比他们自己更重视，原因就在于他们自己不愿意从事该工作——而不是只关心他们是否可以就出现的问题提起诉讼

　　对于该问题来说，答案是显而易见的，人们应该认识到不应该将涉及自身的安全策略留给其它人来解决，只有亲自负责才能获得真正的安全。如果成为堕落的恶意安全黑客布下骗局的受害者，并不意味着这是你的责任，但它确实意味着你需要采取必要的措施来保护自身，毕竟，没有其它人比你自己能做的事情更多。

　　当然，实际情况可能是你真的不知道个人身份信息是怎么被盗用的，以及如何防止这种情况的发生，因此，就需要针对潜在安全威胁的范例进行学习。这些知识不是可以写下来，并传播开来的，原因很简单，它不是一成不变的。它是处于动态环境中，不断变化的;在现实环境的工作中不断被运用，并且会定时被新的方法所取代。回到上世纪80年代早期，数据加密标准(DES)被普遍认为属于不可破解的，被当作保护数据免于遭受未经授权访问的“答案”，而以今天的加密标准来看，它已经脆弱到可笑的地步。

　　我们要认识到安全不是学习和记忆方面的问题这一事实。它关注的不是知识，而是思维方式，可以帮助你考虑安全系统被搅乱、破坏或规避的方式;并且，在此基础上，找到可以消除不足之处，或者通过小心使用减轻威胁，或者利用其它附加工具消除存在漏洞的方式。

　　根据《量子密钥交换中存在的缺陷》一文的发现可以证明，在新型量子密钥交换系统中存在的最大缺陷不是无法保证密钥在传输过程中不会被截获;而是部署用来创建量子密钥交换工作的最初硬件。正如在《象家庭安全一样对待网络安全的10(+1)条原因》一文中所解释的，由安装在门框上的锁所提供的安全性是有限的，尽管可以利用功能强大的组合锁来保证门和门框的安全，但是只要向左走几步就可以来到窗户边上了。

　　过分关注安全功能的实现会让思维陷入定式之中。对于安全来说，灵活性和想象力在防御恶意安全黑客和其它“敌人”方面比盲目相信“最佳实践”带来的效果往往更好。是的，你可以选择在笔记本计算机中安装防病毒软件和防火墙工具，但不论采用的设置是多么完善，都不能防止有人从汽车后备箱中盗走它。为了防止笔记本计算机被盗导致的数据泄露，你可以选择对数据进行加密，但如果备份信息不是保存在单独计算机中的话，这对于完成硕士论文不会提供帮助，所有笔记本计算机被盗的受害者最终都会发现这一点。

　　你最后一次认为自己的系统可能被感染是什么时间发生的事情?你是否这么想过，“嗯，我就离开办公桌一会，所以，不锁定系统也不会带来什么大问题。”

　　你是否想成为替护照设计无线射频识别系统以保护国家免于遭受恐怖袭击的人，但你是不是没考虑到会出现攻击者利用无线电接收器来从护照中监测特定信号，在持有本国护照的公民经过时引爆炸弹制造恐怖袭击的行为?

　　“打破常规”来思考，采取灵活和充满想象力的思考方式，来认识到可以利用非常规的措施和设备来完成目标，这样的话，就可以利用有趣的方式来保护自身，并在安全可能受到影响的时间获得警告。举例来说，我们就发现《枪支就可以用来保证行李包中计算机安全》这一现实。而事实上上，行李中枪支的处理方式和计算机的完全不同，在获得容许或者必要的情况下，携带它们可以为计算机提供更高的安全性。这也正好指出了美国运输安全管理局安全须知的一项重要事实;除非采取了特殊或者专门的措施，否则的话，你就不能确保自己的行李不会出现被盗用或者遭到破坏的情况。

　　所有这一切，都证明了一件事情，就是阿尔伯特·爱因斯坦所说的：“想象力比知识更重要” 是完全正确的。对于安全来说，本质不是知道了什么，而是应该怎么考虑这一问题。