诸子笔会 | 杨文斌：从了解到总结的安全修炼

Original 杨文斌安在 2022-07-04

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

从了解到总结的安全修炼

文 | 杨文斌

杨文斌

某电商公司

安全管理

12年网络安全从业经验，熟悉网络安全、数据安全及安全运营等领域，擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作，并持续开展SRC平台运营推广。

每个人在面对任何事物时都会经历从形成认知到自我感悟的过程，其实这就是总结的过程。上学的时候老师总会说，学习的过程是学会把书读完，读薄，再读厚，再读薄的过程，读完就是了解，最后的再读薄就是感悟，不仅仅是学到的知识，更重要的是从知识中的体会。每件事情需要总结，每个阶段需要总结，每个细节更需要总结，总结不应该看成是事情的简单梳理，更重要的是如何从总结中学习提升来指导计划。哪怕是一件失败的事情，也可以促使自我成长，所以做任何事情都应该认真负责，即使结果不是预想的，也会有所收获。提升的过程就是自我修炼的过程。

安全是一门学课，更是一个百科，安全从业者应该都能体会。需要掌握的知识领域是广泛的，从国家政策、法律法规、制度流程、管理、技术等都会和安全存在关联性，知识结构是动态的，科技的高速发展也会推动安全技术的革新，知识掌握是严格的，不允许任何节点出现问题，一旦发生安全事件，后果是很严重的。

了解

作为一名安全从业者，国家的安全政策以及发布的法律法规是必须了解的，正式文件发布后应结合个人和企业现状完成解读，也许大家可以在不同的时间段看到网上发布了各式各样的解读分享，相信很多人看了之后会有种错觉，好像哪里说的不对。其实不是不对，是不适合而已。安全政策是企业和个人开展安全工作的指引和方向，法律法规是基线和保证。企业安全负责人在制定安全战略和进行安全合规建设时，需充分了解国家的安全政策和法律法规。

2021年是国家网络安全政策和法律法规的大年，国家相继发布了《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等文件，可以看出国家一方面对网络安全的关注层面更加精细化，另一方面更加关注民生以及重要核心资产。

学习

国家网络安全政策环境的变化和科学技术的持续变革，也加速推动了网络安全技术的发展，需要安全从业人员持续不断的跟随网络安全发展态势，学习最新的技术架构和安全理念，融合政策指引和企业现状，构建适合企业发展的网络安全体系。从适应疫情远程办公的零信任模型到区块链和网络安全的深度融合等都是为了更好的赋能网络安全能力建设。所有新型的架构和模式都必须是适合企业的，学习是必须的，不过这个阶段不能仅停留于了解，需要加入场景调研和落地实践的思维。

学习是一个长期的工作，安全的目标是不出安全问题。跟随形势是为了更好的完善自身的知识结构，更好的优化企业的网络安全防护能力，最大化的避免网络安全事件的发生。提高专业化素养，提升解决问题的能力，加强通盘全局的管理能力都需要学习。安全培训和顶级论坛等都是可以提升学习的方式。特别是互联网发展新业态的助力，网络直播给予了网络安全知识分享新的生命力，为网络安全人员提供了互联互通和知识碰撞的通道，我们应该充分利用。

实践

学习是理论知识的接受，需要转化成解决方案或落地思路，安全是攻防实战的对抗，攻防实战又是安全人才的对抗。所以在安全建设时应从实战的角度开展，加强专业化人才的培养。建立常态化的攻防实战演练，从演练中发现问题，解决问题，思考问题。目前还是存在部分中小型企业在安全建设中资源投入吝啬，对安全风险存在侥幸心理，不发生安全事件就相信安全投入是没必要的，恶性循环导致脆弱性问题持续加重，攻击面风险千疮百孔，也就不会思考如何加强完善。

实践是检验真理的唯一标准，也是检验安全的最佳方式。如果想检验管理缺陷，就模拟一次安全事件，查看应对机制和闭环处置的能力，如果能做到上下协同，高效快速处置，说明安全流程和机制是相对完善的，也许一次安全事件不能说明问题，所以需要常态化的攻防实践演练。实践还可以检验安全人员的专业化能力和安全意识，从攻防实战的角度强化安全防御能力，从攻击者视角梳理攻击方式和攻击路径，针对性加强业务安全和安全生产的安全应对思维。同时攻防是提高安全意识和加强安全教育的最直接、最有效的方式，培训可以让员工去了解认识，但是员工未必能真正落实于日常工作。在攻防模拟中如果某员工被真实的中招，相信他同样的错误不会再次发生。

实践也是试错的过程，安全不是绝对的，也不是一劳永逸的，只有不断的将新的技术和解决方案加入到安全防护体系中，优化安全防护能力，才能及时发现原有安全架构的缺陷，而不应该等到安全事件发生时再被动思考。一直觉得零信任的理念是不错的，融入了安全体系的三大底座：资产管理、漏洞管理、日志管理，更加从实践的角度加入了动态、持续、不信任的思维逻辑。安全不是为了解决某方面的问题，应该通盘全局，用系统化、智能化、一体化的思路开展安全建设，并付诸于实践。

总结

总结是提高的最佳方法。就个人而言，总结可以促使知识经验的沉淀，而经验来源于实践，需要通过写、说、分享的方式将内容表达出来，2021年是收获的一年，多个月的持续打卡和笔会的坚持，线上的分享和项目的牵头，使得自己在总结的过程中有了新的认知。就公司而言，虽然完成风险多维度的识别、管控以及闭环的整改，从多次攻防演练中积累了经验和提高了技术，但是总结不能单纯的基于成果，还应该发现问题，需要对安全事件进行复盘，即使暂时未造成影响和损失，也需要总结问题发生的原因，目前公司是否仍存在其他方面的暗问题未被发掘。在安全的角度总结换一个方式理解，是为了进一步发现遗留的问题，用更合理的资源投入去完善，安全是需要向前看的，依托实践经验加强公司未来的安全能力建设。

总结可以帮助回顾成果，但安全成果不应过分关注，特别是对于甲方安全从业者而言，安全一直在路上，应该将目光聚焦于下一步，如何计划下一年的安全战略，如何分配下一年的资源，从哪些方向去完善安全防护能力等才是需要重点关注的。下一步安全工作的开展又需要基于现状，层层递进，不能脱离实际，漫步目的开展，这就是总结的意义，总结是底座，计划是目标。

最后

个人成长和企业发展离不开了解、学习、实践、总结的演进过程，进而指导战略和计划，企业下一步安全工作应充分剖析国家“十四五规划”及网络安全产业高质量发展三年行动计划，紧跟国家网络安全战略，保障企业网络安全技术创新、业务赋能、人才培养等方面健康有序发展，共同推动网络安全产业高质量发展。

推荐阅读

诸子笔会 |12月征文合集《总结报告》