“安全意识与安全思想”重于安全手段,“安全设计”重于安全技术与产品
背景:
这篇文章我8月份就已经开始写了,但总觉得【安全意识与安全思想重于安全手段、安全设计重于安全技术与产品】的观点太普通,大家应该都有这样的体会和认识,所以迟迟没有成文。但这两天和几个行业内人士和客户沟通交流,发现这种认识还是有必要给大家解释一下。当下安全市场充斥着众多的安全技术、安全产品、安全理念、安全体系,甚至是安全方法论,这些都很容易把大家带入一种唯技术论、唯产品论的思维方式中去,在网络安全工作中走弯路。
现状分析:
回顾信息化在我国的发展历史不难看出,信息化的发展对于应用者来说是一种高速度和强刺激,还没有搞明白1.0就需要使用2.0,甚至一夜之间无论谁都需要会用智能手机、都会扫码。。。,这样的发展进程好的方面不言而喻,但我想说的是这势必造成全员盲目快跑,根本无暇思考,没有办法让更多的人完成基础知识积累,【被动应用,并不知其所以然】是当下我国信息化应用者的普遍现状。
作者以往的文章中曾提及网络安全在我国尚处于起步阶段,但在当下我国关于网络安全的重视程度已经上升到国家层面,相关法律和政策频发,网络安全建设工作在我国正如火如荼的开展中,但是网络安全对于大众应用者来讲普及度和认知度相对信息化来讲就更低,作者以往对网络安全的调查报告就可以充分证明这一点。【不知其然,更不知其所以然】这就是当下网络安全对于应用者的普遍现状。也正是因为此,教育部2020年9月印发了《大中小学国家安全教育指导纲要》将网络安全要从最基础教育开始抓起。
信息化的高速发展,网络安全问题就凸显,国家就重点关注并提出相关要求甚至是任务,建设者就必须给予应对,就会催生各式各样的网络安全应对方式,多样的应对方式导致建设者选择性迷茫,周而复始网络安全工作就可能背道而驰。
所以:
在认识到上述大环境的情况下,网络安全工作要从基础做起就不难理解了。网络安全工作的基础一定是安全意识与安全思想,这是一切安全建设和业务行为的基础和核心,没有安全意识与安全思想,一切铜墙铁壁般的安全手段都终将形同虚设。认识这一点大家也就能理解国家每年都要搞网络安全宣传周的目的了。
鉴于我国对网络安全的高度重视,特别是在网络安全技术层面的持续投入,同时从事网络安全技术与产品研发的企业也随之逐年增加,从而沉淀了很多安全技术和产品,并技术和产品也越来越细化,一种场景可以有很多种解决办法。大家都知道,网络安全有个木桶原理,安全建设一定需要整体防护,从这个角度讲,安全的整体设计比安全技术和产品设计要重要的多。
建议:
对于网络安全从业者来讲,为了在适应行业发展的同时也能为行业贡献力量,作者建议从业者:
1、在保障自身日常工作的前提下多从如何提升用户网络安全意识、培养和丰富网络安全思想与能力入手思考问题和积累能力;
2、要跳出技术和产品的束缚,站在全局上梳理和总结不同的安全设计理念,并配套完整的思想方法指导,有利于帮助自己提升能力。