对于安全行业的人来说炒作并不陌生。在“最佳实践”的宣传上，尤其如此。这个说法似乎本身就自相矛盾：要定义一个最佳实践，必须先调查足够多的组织，看他们在做些什么，如果足够多的人都在这么做的话，它就被称为最佳实践。但如果大家都这么做的话，那么它不就只是一般实践了吗？

　　事实上，最佳实践是每个企业应该要做的， 但实际上，几乎没有能真正做到的。就算侥幸有哪家公司在实行最佳实践的做法，他们也大多数只做到了嘴上说的一部分。这不是图谋不轨或是无能为力的问题，而是一个纯粹的商业现实问题。换句话来说：采取最佳安全实践得到的好处对企业来说并不值得。

　　案例分析：最佳实践（和各种应遵循的法规）说，员工应该每30-90天更改自己的密码，公司应该推行强密码规则——每个密码应该包括大小写字母，数字，符号/特殊字符而且最少要8个字符。由于上述规定，这是一个越来越多的公司都已经采取了的最佳实践。然而，相比之下只有很少的公司能完全按照这一最佳实践做。用LDAP或Active Directory架构实现这个可能并不难，但如果要在通过NIS进行验证的UNIX服务器上实现这个就需要第三方软件了。许多主机环境中也都有类似问题。

　　再让我们看看端到端加密。理论上来说这是个很了不起的想法。如果所有数据在网络中传输时都是加密过的，那想要窃取就难多了。但是，加密并不是万灵丹。有些人总能够随时攻击应用程序或者存储设施来窃取数据，所以检查这些数据的载体也是很重要的。即便如此，如果端到端加密是个好办法的话，为什么很少有公司这么做呢？为什么尽管域名仅限于存有组织最关键数据的Web应用，还是有一些组织采取这种最佳实践呢？这涉及到商业现实，那就是部署端到端加密所需的费用与数据加密提供给组织的感知价值有一种不合适的紧密关系。结果就是，虽然部署从浏览器到Web浏览器或负载均衡器的SSL/TLS比较便宜，但是加密会延伸到应用程序栈，每一个层次（应用程序服务器、认证服务器、数据库）都要增加一层新的复杂性和花费。

　　应用服务器和数据库连接尤其如此。再结合它给被动审计造成的不便，部署端到端加密所需的软件、硬件总花费突然就变得有点难以估算了。因此，这种技术可能只是在需要极高安全性的公司才会部署，或者还有那些吃过教训的公司，因为这些公司知道这种加密在防止数据泄露时是多么有价值。

　　最佳实践往往都是些好的想法，只不过它们往往与周围的商业现实联系不大。因此，无论我们这里安全专家怎么在房顶上大声疾呼这些安全措施是必要的，它们也得不到实施，除非这些最佳实践与商业实践有能够更加一致。

　　由于有了相关法规来强制实施安全控制，实施某些技术已经变得容易多了。我保证，如果支付卡行业数据安全标准（PCI DSS）要求端到端加密的话，那么马上将有几千家公司会想办法去实现它，而且厂商还会在这上面进行更多投资研发，以满足他们的这种需要。同时这也要求信息安全专业人员必须认识到，对许多企业来说，并不是每个行业的最佳实践都是正确的（有些甚至是不现实的）。下次再看到有人提供了一系列最佳实践的话，一定要取其精华，去其糟粕。