汤勺的故事

道士邓肯自襁褓时被师傅带上山，朝寻道夕修心，不问山中岁月，只求功夫日日精进。一日，师傅走进柴房对正在劈材的邓肯说，“山南大望郡郡守知法犯法，荼毒百姓，农忙之前务必除之。”邓肯听命转身出门，忽又从门外探头问师傅带什么兵器下山？师傅回答，“杀人而已，为何问兵器？”三日后，大望郡大乱，郡守被人用汤勺敲死在自家厨房里。

很多时候我们关于安全的看法，其实与邓肯的师傅是一致的，安全只关乎效用，不管黑猫白猫，能抓住老鼠的就是好猫。

只在乎效用，这句话听上去就觉得图样图森破，安全讲究对症下药，这是大多数从业者都知道的事儿，但是关于安全的轻重拿捏却是分辨老司机和菜鸟的不二之选。

尴尬的统计结果

我试着统计了一下成语词典里有关“轻重”的成语，最终的结果令人尴尬，贬义词远多于褒义词，我想这也正是大家都看重“轻重”这个词的缘由所在。

拈轻怕重，避重就轻，这应该是安全工作中最常见的现象之一。

某次安全评估之后，评估组提交了厚厚的一份报告给某央企信息管理部，报告提及核心业务系统高危漏洞数十个，利用这些漏洞可从互联网直接获取并篡改数据，央企某安全主管一看吓出一身汗，要是真出了事，这个黑锅至少是不少他一份了，于是他拽着评估组和自家相关部门一起碰头商讨。

评估组提出从网络、主机、数据、代码和运维5个方面来进行整改加固，话刚说完，客户这边就炸开锅了。

“这些漏洞都是代码层的问题，开发团队做完加固就好了。”

“其实把边界访问控制策略调整严格一点就行了嘛，没啥大不了的。”

“归根结底还是数据安全要有保障，我觉得重点就是加强数据安全防护。”

看着开发、运维和安全之间打太极，把皮球踢来踢去，安全主管一脸无奈，代码层修补伤经动骨，人家开发说搞定难度太大，运维也不愿意承担责任，喋喋不休半天之后，大家对一个不是办法的办法妥协了，另外采购两台WAF，采用虚拟补丁的方式搞定报告中提到的问题。

轻重倒置，头重脚轻，这也是经常发生的另外一个现象。所谓头重脚轻，无外乎本末倒置，做安全不得要领。

重规划轻实践，重管理轻技术。安全工作局限于纸上谈兵或者喊喊口号，提到安全有组织有规划有制度有宣传看上去很美，但实际上没有落地没有实践没有支撑，这属于政委型安全思路。

还有一类安全器材控，他们和摄影器材党属于同类人群，你出门要是带个非全幅相机，估摸着只能看到他们的鼻孔，135的全画幅已经无法满足他们，出门长枪短炮还有三脚架，开着越野四处蹦跶，一身鸟牌冲锋衣，平时话题只有德味哈苏120画幅，这就是他们的日常。安全器材党亦是如此，进人家机房就彷佛到了顶级的安全展会，你会看到最全最贵最新的安全设备，当然这些设备所有的策略都是默认配置，为啥不优化，因为人家不会。

第三个现象是不分轻重，轻重失宜。企业内部俨然一个小三国，安全、开发、运维就像魏蜀吴三分天下，安全部门就像魏国曹孟德，挟天子以令诸侯，身披御赐黄马褂，手持安全第一的尚方宝剑大杀四方。

业务变更上线必须先通过安全测试，测试发现所有漏洞一律修补完毕才通过测试，业务部门在前边催，安全部门在后面扯，过于僵硬不分轻重的安全管理使得业务响应流程过于迟缓，大伙都苦不堪言。一日曹军大营密探发现开发部门某员工上班时间浏览岛国苍老师来我大天朝数字公司指导工作新闻，曹孟德一怒之下关掉开发部门上网权限。

不干活，干错活，瞎干活，这就是典型的拿捏不好轻重而导致的结果。

打破规则的力量

马尔科姆.格拉德维尔在《逆转》里边引用过弱小的大卫打败战争巨人歌利亚的故事，这其实就是说四两拨千斤，拒绝穿上笨重的铠甲，用灵敏来战胜对方。在安全领域看似困难的挑战其实可以用轻松的方法来解决，这就是打破规则带来的力量。

所以说强势的安全部门不需要以暴制暴，弱势的安全部门也不必妄自菲薄，别把安全当成一种枯燥无味的工作，其实安全领域的强弱转换、轻重平衡不仅仅是一门手艺活，它还是一门艺术活。

安全管理不是消灭所有的隐患，更不是与全世界为敌，战略上重视安全没错，但管理上不要过于条条款款，安全管理应该举重若轻，能通过技术手段搞定的，就不要把坑丢给用户。举个栗子，比如企业邮件用户口令复杂度策略，与其每个月发通告提醒改口令还不如执行复杂度策略。

企业采购的安全工具和系统不要过于庞大复杂，轻量级模块化的产品会留给安全管理人员更多的调整空间，不要把尴尬留给自己，花这么多预算买回来的东西，用起来实际效果不好，二次开发难度太大成本过高不太实际，不用的话老板会喷，家里不是有那么牛逼的产品，为啥你不用！用还是不用，自己挖的坑，含着泪也得填。

轻与重的三层境界

安全工作不是狂风暴雨，大伙也别妄想一夜解放全中国，清除一切牛鬼蛇神。现阶段来看安全和便捷本身是一个零和博弈，在业务开展的便捷前提下，我们来交付适度的安全，理性对待业务系统带着漏洞上线这个事儿。

狂风暴雨大家都会受不了，和风细雨大家可能会接受，润物无声这个境界咱就不奢望了。或者换个说法，在战略上强调安全保障要狂风暴雨，战术上技术支撑要和风细雨，而最终的落地最好是润物无声。

同样轻重拿捏也适用于安全产品和系统，优秀的安全产品一定是在发挥作用的同时尽量避免用户的感知，或者尽量减少用户的参与度，正如网站安全防护从Agent发展到WAF，再到现在的WEB云防护一样。

最后再推荐唐代资深安全从业人员兼诗人韦庄关于“安全工作”的唐诗一首：

乱云如兽出山前，细雨和风满渭川。

尽日空濛无所见，雁行斜去字联联。