有许多不同的控制类型，仅举几例，有威慑、预防、检测、纠正和补偿控制。这个想法是每种类型的控件都将专门提供不同类型的安全性。

就您的挂锁而言，这将受到威慑控制，因为它旨在引人注目并让人们远离。其他例子是警告人们看门狗、可见安全摄像头等的标志。基本上任何可以延迟或阻止攻击的东西。

预防性控制措施已经到位以阻止某些事情的发生，因此锁也属于这一类。

最佳实践是跨许多不同的控制类型（和供应商）分层安全，以降低攻击成功的机会。但是，没有消除风险这样的事情，只是您可以将它们尽可能降低到可接受的风险。

主要的一点是，安全应该给攻击者带来更多的麻烦，里面的数据是值得的，即。不值得努力。虽然我确信可能会有人纯粹为了挑战而不是他们可以获得的潜在数据而享受挑战。

在 IT 安全的情况下，在登录时放置警告标志表明用户将被起诉将被归类为威慑。

如果你看到两辆自行车，一辆锁着又大又重的锁，一辆锁着又小又旧的锁，你想偷一辆自行车，你会选择哪一辆？

进一步说明

为了进一步解释这一点，我们可以将威慑控制分为子类别：

1. 技术的
2. 身体的
3. 行政的

我将在下面逐一解释。

技术的

在所有威慑控制的目的只是试图阻止某人尝试攻击的情况下，可以阻止潜在攻击者的技术控制非常有限。对于技术控制，我们可以在登录页面上使用警告标志、重定向以警告用户某个站点受到限制的代理服务器等。不过，它并没有比这更进一步

身体的

物理控制是任何使它看起来难以攻击的东西。高围栏、可见摄像机、泛光灯等都将被归类为物理威慑控制。表明区域禁止进入的标志将是另一种情况。

行政的

管理控制包含政策、指南和标准。例如，规定违反行为的严重后果的严格安全策略就属于这一类。意识培训也是这里的一个例子。

总而言之，任何使目标看起来更加困难而没有实际实施任何阻止目标的行为都被归类为威慑控制。通常会有一些重叠，尤其是在预防性控制方面，因为像锁着的门或高栅栏这样的东西可能属于这两个类别。

如果您想进一步阅读其他类型的访问控制，这里有一个来自 CISSP 学习指南的简短博客，它很好地解释了它们：http: //cisspstudy.blogspot.com/2007/05/types-of-access-control .html

1：我认为 [威慑方法] 在 IT 安全领域没有完全可比性

它们肯定被使用。其中有些是隐含的，有些则不是。您经常可以在办公楼周围找到安全海报，上面有戴兜帽的人的照片，以及在您离开时锁定计算机的建议。（这是对员工的一种威慑）。显然，启动内部网络钓鱼计划会让你被解雇（暗示）。

而且您经常会看到网站吹捧其安全解决方案作为一种广播方式，它比其他网站更难以破坏它们，并且也让客户感到更安全。内部数据中心通常有警告标志，仅限员工的区域和关键基础设施也是如此。在 Nerc CIP 认证的电气分界线的门上“警告高压”，您必须非常努力地触电。

但它有效吗？好...

2：如果有人更想进入您的系统，我们所有的安全措施从什么时候开始阻止攻击者？

根据我的经验，一点也不。锁上车门并不能阻止专业偷车贼：他们希望如此。有动机的黑客将使用警告等作为指南，作为信息泄漏，作为从哪里开始以及隐藏皇冠上的宝石的线索。如果某人决定采取非法活动，则警告某事是非法的并有后果是没有意义的。

3：显示你需要大写/小写/数字/特殊字符会阻止更多人吗？

也没有，根据我的经验。它实际上有助于识别要使用的哈希掩码。因此，如果一个网站说他们需要一个带有数字和符号的 8 个字符的密码，我知道可能有 50% 或更多是 [Name][date][symbol] 格式并且是 8 个字符。这不好传播，我可以基于它来构建我的攻击。什么都不说意味着我可能从 6 个字符开始，然后到 7 和 8 个字符，等等。

可见威慑只有在有人真正看到时才有效。

现在很多攻击都是自动化的，不会关心你的威慑力。其余的要么是脚本小子 - 如果你有任何合理的安全性，你不必担心 - 或者是不太可能被阻止的有针对性的攻击，因为他们通常有足够的技能将你的威慑视为一个挑战，还有一个障碍要克服。

IT 安全在另一个领域发挥着巨大的威慑作用：合规性。

许多法律、法院、责任问题、利益相关者等都要求您对 IT 安全“做一些事情”。他们都没有任何客观的衡量标准，仅使用一个最喜欢的术语来说，“有效”实际上意味着什么。在许多情况下，为什么需要对安全性采取一些可见的措施，以及为什么它甚至可能比不可见但更有效的措施更可取，有很多原因。