诸子笔会 | 肖文棣：安全周的思考

Original 肖文棣安在 2022-07-04

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

安全周的思考

文 | 肖文棣

肖文棣

晨星资讯（深圳）有限公司

安全架构师

OWASP中国广东分会负责人，获得华中科技大学软件工程专业工程硕士学位，持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯（深圳）有限公司安全架构师职务，负责应用安全设计、管理和评审等工作。

国家网络安全宣传周

国家层面的网络安全宣传周始于2014年，每年都有不同的主题。

2014年的主题是“共建网络安全，共享网络文明”。

2015年的主题也是“共建网络安全，共享网络文明”。

2016年的主题是“网络安全为人民，网络安全靠人民”。

2017年的主题也是“网络安全为人民，网络安全靠人民”。

2018年的主题同样是“网络安全为人民，网络安全靠人民”。

2019年，2020年和2021年的主题与前几年一样，也是“网络安全为人民，网络安全靠人民”。

网络安全周的目的是帮助人民群众以更直观的形式参与到网络安全宣传活动当中。这对提升人民群众网络安全意识，了解和掌握网络安全防范方法意义重大。从主题的变化可以看到这一点，明确了我们国家的网络安全的目的是保护人民群众的利益，手段是依靠广大人民群众，这和我们国家的人民战争的思想是一致的。

那么为什么会突然出现国家层面的网络安全周呢？以前听过消防安全月，生产安全月，就没有听过国家层面的网络安全周。这里应该是源于国家最高领导人在2014年2月的讲话，首次提出“没有网络安全就没有国家安全”的论断，将网络安全提升到国家安全的高度。于是就有了2014年11月的首次国家网络安全周的出现，然后2016年更是明确了每年9月第3周就是国家网络安全周，并且国家各省区市统一举行。所以说网络安全周就是国家最高领导人的意志的体现，所以非常有效率，成效也很显著。

2016年4月，国家最高领导人指出：“网络安全为人民，网络安全靠人民，维护网络安全是全社会共同责任，需要政府、企业、社会组织、广大网民共同参与，共筑网络安全防线。”所以网络安全周的主题也变成了“网络安全为人民，网络安全靠人民”，这是与国家最高领导人的主张是一致的。所以网络安全周要取得成绩，那么它必须是国家最高领导人意志的体现。

公司网络安全周

国家网络安全周是国家最高领导人的意志体现，那么公司网络安全周也应该是公司最高领导人的意志体现。但是实际上，很多公司不是这样的。这也造成了公司网络安全周看起来很热闹，但是成效不怎么样的原因。

国家最高领导人提出“没有网络安全就没有国家安全”，但是很多企业的最高领导人却没有意识到“没有网络安全就没有公司安全”，这就是差距。

很多朋友，包括很多安全专业的朋友会说，很多企业首先想着是活着，而不是网络安全。那么只能说在他们心中，网络安全是一个成本中心，就是花钱的，从来没有在心里真正重视网络安全，甚至都不知道什么是真正的网络安全。国家最高领导人还提出“网络安全为人民，网络安全靠人民”，这个说法也和公司网络安全中说的“网络安全人人有责”是一致的。笔者认为，如果在这两点上全公司达成共识，那么公司的网络安全在安全意识上算是到位了，剩下的就是细节。

现在的公司的网络安全周更多是术的层面去发展，包括如何做的生动活泼，然后又让大家有参与感。而且公司的网络安全周的发起者和组织者一般都是网络安全部，这就决定了这个网络安全周更多时候是网络安全部的自我感觉良好，而并没有得到其他部门的足够认同，这个时候就很尴尬了。

笔者有类似的经验，组织了一个网络安全周的活动，安排了安全部的同事给其他部门的同事做分享，但是参与者确是寥寥无几，这样的效果可想而知。

很多大公司因此想了各种着，包括渗透式的宣传，包括电梯间、茶水间，走廊，只要员工能看到的地方就贴上海报，就类似疲劳轰炸，员工总有看的时候。但是这样真的有用吗？员工真的认为网络安全就是他们自己的事情吗？

为了提高员工的参与度，也是搞各种活动，包括给安全成绩显著的部门颁奖，员工回答安全问题抽奖，搞安全竞赛比赛，搞CTF比赛，但有时候也是成效寥寥。笔者有类似经验，邀请的获奖部门居然没有人来参与，真的很尴尬。还有打CTF的参与者也很少。这个时候笔者就很疑惑，这样的网络安全周还有意义吗？这样的网络安全周还能够继续吗？

网络安全届流行一个梗：没有出安全事故，要你何用？出了安全事故，要你何用？说到底，在公司的老板心中，安全部门的负责人就是一个背锅的。所以安全部门为了在老板心中的存在感，所以就需要搞网络安全周的宣传活动，包括这个期间模拟红蓝军对抗，直接渗透自己公司的系统，让老板知道事情的严重性。还会举行钓鱼邮件攻击，甚至可以钓鱼钓到老板，让老板意识到事情的严重性，但不知道老板是不是真的意识到了网络安全的重要性。

现在的网络安全攻击，很多已经是有预谋的为获取经济利益为目的的勒索软件攻击了，这样的攻击会让公司蒙受巨额经济损失，将来，由于网络攻击而导致公司损失过大而破产倒闭可能不是新鲜事，可能真的会发生，这个时候老板会不会真的意识到“没有网络安全就没有公司安全”的这个道理。

安全周的后续思考

对比了国家的网络安全周与公司的网络安全周，国家的网络安全周更胜一筹，无它，国家的网络安全周是国家最高领导人意志的体现，得到国家各个部门的高度重视。而公司的网络安全周很少是公司最高领导人的意志体现，包括一些超大型的企业，更多是公司的网络安全周自己的活动，并没有得到公司其他部门的支持，影响力很多时候就是说说而已，不要当真。

网络安全是能够说说而已的吗？显然不是的，除了国家网络安全周外，在最近几年，国家陆续出台一系列安全的法律，从法律层面上去保证“没有网络安全就没有国家安全”这个论断。

2017年6月，《中华人民共和国网络安全法》颁布。

2021年6月，《中华人民共和国数据安全法》颁布。

2021年8月，《中华人民共和国个人信息保护法》颁布。

所以，网络安全绝对不是说说而已，而是有法律作为依据，是强制执行力的。

但反观公司呢？有几家公司有这么完善的制度来保障网络安全工作的实施，就算是公司通用的《网络安全制度》，有几家公司的最高领导人为此背书？答案不言而喻。那么很多公司的网络安全工作做不好，不好做就很容易理解了。因为在这些公司里面，网络安全并没有在公司的战略里面，也没有到影响公司生死存亡的程度。所以很多公司的网络安全周活动真的是可有可无的。

那么网络安全周真的是可有可无的吗？安全周真的有作用吗？

笔者认为网络安全周的作用还是很大的，但是关键是谁来组织网络安全周，网络安全应该是谁来负责？实际上国家安全宣传周已经给出了答案。

安全周应该公司最高领导人组织的，安全也是由公司的最高领导人负责，网络安全也应该是人人有责，而绝对不是网络安全部门一家的事情。达成这个共识后，网络安全周怎么做的生动活泼，怎么增加互动性，就是术的问题。

有道无术，术尚可求；有术无道，止于术。

网络安全事关公司安全，这个就是道。网络安全周就是这个道的体现，网络安全人人有责，也是这个道的体现，那么大家心中的网络安全周不应该仅仅是一周，而应该每天都是自己的网络安全周。

心存警惕之心，心存网络安全，那么网络威胁自然会远离。

推荐阅读

诸子笔会 |10月征文合集《安全周》