在第三篇（请在安在anzer_sh后台，回复关键词“雪夜围炉3”阅读）的时候我提到了信息安全必经的三个阶段，第二阶段是从重视到无奈，为什么会无奈？

家家都有本难念的经，念经就要提到和尚，那我们就从和尚喝水的故事说起。

一个和尚挑水喝，两个和尚抬水喝，三个和尚没水喝。可能大多数人会觉得，要想把水喝饱，还是一个和尚好，因为人多了就会不齐心，大家都消极怠工导致谁都没水喝，其实这个故事对于处在信息安全第二阶段的大多数机构来说，是讲不通的。

因为对大多数机构来说，一个和尚反而没水喝。

此话怎讲，这里还是人的问题，很多机构压根就没有信息安全岗位和专职人员。有设置安全岗的部分机构，安全人员多半也是从信息化其他领域兼职的，总而言之就是信息安全人力资源的配备满足不了安全保障需求，这就是一个和尚没水喝的原因。

相反，人多了以后，机构各方面各阶段的信息安全工作才能兼顾过来，才能够保证令出必行，各担其责，各行其事，只有和尚多了才能把水喝好。

还是跟拿和尚做比喻吧，前面的故事讲了信息安全人力资源配备的困境。接下来再讲一个心态的问题，做一天和尚撞一天钟。

我在本系列第一篇的小故事里就已经说过了，一个小小养猪场里工人都不愿意干安保的活，认为费力不讨好。因此在很多机构里边，很多人对信息安全岗位多少有些偏见和抵触，觉得没前途，没钱途。在第一篇我也提到信息安全之于机构，就像可有可无的围栏之于大宅子。

久而久之，心态就会发生变化，姑且得过且过吧，到这里和尚的故事就告一段落。

以前有个咨询项目，调研时问客户 CIO，你们公司的信息安全组织架构是怎么样的，安全部门对谁负责？

答案现在看起来很荒诞，但是没有出人预料。对方 CIO 介绍，他们这家信息技术类公司压根就没有独立的安全部门，公司有个信息科技处，这个处里边有个 IT 运维部，IT 运维部里边三个组，其中一个组叫网络运维组，这个组里边有2个人兼顾安全方面的事情。听到这里，不甚唏嘘。

怎么样才能扭转这个局面，是安全事件驱动、安全意识驱动、政策合规驱动、还是法律监管驱动，我看要多管齐下才行。

安全事件驱动，一朝被蛇咬，十年怕草绳，发生过安全事件的机构，安全事件发生概率高的行业机构，肯定比其他机构更重视信息安全，因此投入的资源会更多，信息安全决策更加重要，看看国内情况，就是如此。

2015年中国福布斯富豪排行榜前三名分别是：王健林（万达）、马云（阿里）、李河君（太阳能），大家觉得哪位老板更懂信息安全，更重视信息安全。

安全意识驱动，有些安全机构在提一个观点，意识决定安全，大体也没错，只不过是必要条件而非充分条件，我觉得可以换给词更合适，叫意识提升安全。

还是那条安全带，跟安全意识息息相关。自从安全带面世以来，已累计长度1000多万公里，可往返月球13次。

那些没发生过安全事件的机构，如果看到友商因为遭受网络攻击而损失惨重，你觉得那些机构的老大会不会从此更重视信息安全。

看看上周的事情，快递行业某通又出事了，大量客户敏感信息泄漏，被媒体大肆报道，你们说其他的快递同行会不会倒吸一口凉气。说来也怪，这家快递不是一次两次出事了，是领导真不重视，还是保障工作不到位，我们不得而知。

政策合规驱动，全球范围的信息安全政策合规成本是相当高的，国内相对来说会小一点，不过现在正在逐步提高。

还是拿车说事吧，在每一辆 Volvo XC90 的生产成本里边，汽车安全设计的成本，安全材料的使用，主被动安全系统的使用，如安全气囊、ABS 、ESP 等等，这些成本累积起来占到总成本比较大的比例。

再来讲讲汽车的安全合规，车得有备胎、千斤顶、三角警示牌、这些是强制合规，跟我们的信息安全合规一样，国家有等级保护合规要求，保密局有严格的安全保密要求，银行业有人行的网银通用安全规范和银监会的科技指引，运营商行业有两部委的安全检查要求，这些都是强制性执行的。

还有一些是合规增强，像前后雾灯、胎压监测、倒车影像、以及近几年广泛应用的主动安全系统。在强制合规的前提下，信息安全领域还有一下行业内部的增强安全，像电力、税务、运营商行业的安全增强要求，他们会定期对各省公司和二级单位进行检查和考核。

最后来说法律监管驱动，说到这里，就离不开新发布的《网络安全法》草案和《刑法》修正案，以前的网络安全立法是对网络犯罪分子追责，而现在一样了，不作为和安全保障工作不到位的机构也会触犯法律。

各位信息安全同行可以从这四个驱动方面着手来引导所在机构的信息安全工作建设。

小时候妈妈哄生病的小朋友吃药说，不吃药就会浑身没劲，不能出去跟小伙伴玩，这算事件驱动。

隔壁家孩子没吃药结果住院了，你想不想这样，这是意识驱动。

你吃不吃药，去问爸爸，爸爸说了只有吃了药才能看《大圣归来》，这是合规驱动。

又或者是吓小朋友，你不吃药，警察叔叔就会过来把你抓住，这是法律监管驱动。

如果有一天，你们机构的大 BOSS 心血来潮，喊你去他办公室，跟你聊聊当前你们机构的安全保障能力，你怎么开始你们的聊天？

个人觉得有些观念你可以在最早的几次交流中反馈给你的 BOSS 们，这样会有助于帮助你的 BOSS 建立正确的信息安全观。

被黑是必然的。

这也是我在第三篇文章（请在安在anzer_sh后台，回复关键词“雪夜围炉3”阅读）中特意强调的一点，很多人觉得自己系统的安全保障工作做到了极致，出现问题的概率几乎可以忽略不计，其实不然。

有几个坑是每个信息安全从业者都能遇到的，因为有这几个坑的存在，被黑是必然的。

大家一定都知道猥琐界有个叫豪猪的家伙，那家伙以硬刺闻名，最长可达35厘米。遇敌时硬刺竖立抖动，再有力地扑向敌人将棘刺插入其身体，凶猛如狼狮豹者，也会嫌弃麻烦避而远之。

这时候你们会问，那这家伙天敌是啥？其实渔貂是豪猪头号天敌，渔貂个头小，可以钻到豪猪肚子底下咬开其腹部。

在大多数人眼里自己系统的安全防护就跟豪猪一样无懈可击，但还是能被渔貂找到破绽，从而一招制敌。所以安全从业者一定不要心存侥幸，而是要谨小慎微。

第一个坑：你家的系统一定有自己没发现的漏洞。

我们在第一个坑的基础上再前进一步，你发现了你家系统的严重漏洞，但是基于影响业务正常运行或其他原因，导致严重漏洞无法修补。

大 BOSS 要是问为什么无法修补，你大可举些生活中的例子来比喻，您看咱们财务总监周总的过敏性鼻炎，人力资源老张的龃齿，我们都知道这会影响到身体健康，但是确实没有有效的药物来治好他们。

第二个坑：自己家系统的严重漏洞无法修补。

有了这两个坑，再加上我前面第三篇讲过攻击与防守的不对等，外部威胁层出不穷，内部家贼也难防，大致可以跟老板树立一个形势很严峻的事实了。

前面你挖了一个坑，这个时候你就得填坑。你声泪俱下取得了老板的信任和同情，就得趁机争取老板的支持了。

你得告诉老板，信息安全保障工作的本质就是风险控制。

自己机构不能接受什么样的信息安全风险？

你可以自上而下来判断，按照业务层、数据层、应用层、基础设施层这个逻辑来掰开了说。

吃个安全的包子有多难

假设你们家是开包子店的，基本的业务保障目标是什么，很明显是客人吃了包子不会出问题。

要保证包子不会出现食品安全问题，这是业务层的描述语言。什么是食品安全问题，第一个原材料安全，面粉不能过期。包馅用的肉不能用死猪肉等。第二个是添加剂安全，全国各地的黑心包子店为了提高发面效率，大肆添加硫酸铝铵和明矾等添加剂，像硫酸铝铵摄入过量是会损害骨骼和神经系统的。第三个是包子的制作工艺安全，有些工序你不能少，时间不能减，偷工减料可能导致包子没蒸熟。

搞清楚业务层的安全保障目标，我们就得再分析数据层，我们把数据与原材料对应起来，就知道了数据层的保障目标就是保证原材料和添加剂的安全。

然后就是应用层，你们家用来加工包子的整套工具必须是完整的，可用的，你们家加工包子的流程必须是正确的，这个就是应用层的安全保障目标。

最后再来到基础设施层，你们的厨房必须是干净卫生定期消毒的，厨房里没有各种老鼠虫子光顾，你家后厨的师傅必须是明白蒸包子和蒸馍馍的区别，等等等等。这些就是基础设施层的安全保障目标。

看到这里你们就知道吃个安全的包子有多难了吧，当时习大大吃庆丰包子的时候就说过，包子挺好吃，食品安全一定要放在第一位。把这个风险过程分析清楚之后，你得让你们机构的高层领导一起来拍板，确定信息安全的底线，确定什么样的安全风险是不能容忍的。

这个时候你的业务安全保障目标就出来了，然后你得计算实现这个目标得干哪些活，需要多少资源。再问老板能给多少资源，如果老板说，预算不够，只能给到一部分。那好，你要告诉老板我们的保障目标水平就得降低。

如果老板觉得ok先这样吧，这个时候你就要明白，这个才是最终的信息安全风险控制目标。这样几个来回，你就达到了最终的目的。

关于填坑这个事，也很有趣，有的人把坑越填越大，有的人在甚至会把自己一帮兄弟也填进去。有些坑坑甲方，比如抵触性很大的终端管控项目。有些坑坑乙方，比如供需不对等的安全外包服务。

把各家难处道完，这篇就结束吧。

阅读提示： 请分别在安在 Anzer_sh 后台回复，“雪夜围炉1”、“雪夜围炉2”、“雪夜围炉3”、“雪夜围炉4”查看该专栏所有文章。