最近談起資安相關的話題時，發現其他人有些觀念可能有待澄清。筆者因為過去的經歷，在這方面也算是有點心得；所以這裡就來探討幾點大家可能比較有興趣、但觀念上可能跟一般研發經驗不一樣的地方。

1. 資安真的是不能算「投資報酬率」的

之前聽過一個有趣的例子，但不知道是真是假：有些零售業的業主老闆會斤斤計較 「我裝了監視器可以抓到幾個小偷啊？」

我寧願相信這只是個都市傳說。有許多例子可以證明，某些資安措施甚至不一定能降低風險，而是針對 「末日情境」（worst-case scenarios）所設計的，例如「只要某個東西被偷，公司就垮了」狀態的最後一道防線。

所以，即使是願意出錢投資在資安上的老闆們，也必須要認清楚這個現實。

2. 要先弄清楚「保護的標的」和「優先順序」

資安措施無法包山包海，這一點不難瞭解；但是，很多人都忽略了「優先順序」的重要性。

在很多情況下，你保護了A之後，同時保護或使用B的複雜度可能就會大幅增加，你要決定划不划得來；到最後，很多防護預算的分配也都是折衷的結果，只是看大家是不是有共識而已。

3. 要想想壞人會怎麼進來

這個就是技術活了，也是最需要外部專家的地方。不過在砸下重金邀請駭客天才之前，可以基於保護標的系統型態，先來沙盤推演一番。

例如做網站的人，可以到網路上搜尋一下「十大網站弱點」之類的關鍵字，這樣對於概念的瞭解會比較有幫助。

但話說回來，除非你已經身經百戰，不然千萬別開口說「可以全部自己來」。

專家的價值，就是幫你找出你看不到的問題。

4. 別想要「滴水不漏」，要想著「早期發現早期治療」

我自己還真沒看過攻不破的系統，連不上網的都會出事。我們能做的，大部分只有「拖慢攻擊」，或是讓攻擊「容易被發現」。

5. 資安是一種沒有人歡迎的「稅」

講到資安防護，大概沒有人是不板著臉的。但就是因為它不受歡迎，所以才會發生「該做而沒做」的致命錯誤。

這真的沒甚麼好方法，不要期望人性會戰戰兢兢、自動自發；人性的問題，在這裡就只能靠系統跟流程來補救了。

我的心得是，資安成也因為人、敗也因為人，技術能做到的影響還是有限的。

• 「業餘大叔程式心得筆記」系列文章