诸子笔会 | 肖文棣：年终总结之《论语》与安全之道

Original 肖文棣安在 2022-07-04

收录于合集 #诸子云征文 9个

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

年终总结之《论语》与安全之道

文 | 肖文棣

肖文棣

晨星资讯（深圳）有限公司

安全架构师

OWASP中国广东分会负责人，获得华中科技大学软件工程专业工程硕士学位，持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯（深圳）有限公司安全架构师职务，负责应用安全设计、管理和评审等工作。

年终总结千千万，已知方法不再提。

老子说，有道无术，术尚可求也。有术无道，止于术。

庄子说，以道驭术，术必成。离道之术，术必衰。

孙子说，道为术之灵，术为道之体；以道统术，以术得道。

智慧是相通的，诸子百家，古今圣贤的思想也是相通的，安全圈有个达人喜欢用《孙子兵法》结合安全进行讲解。最近读《论语》，尝试用《论语》与安全相结合，寻找安全之道。

名分

子路曰：“卫君待子而为政，子将奚先？”子曰：“必也正名乎。”子路曰：“有是哉，子之迂也。奚其正？”子曰：“野哉由也。君子于其所不知，盖阙如也。名不正则言不顺，言不顺则事不成，事不成则礼乐不兴，礼乐不兴则刑罚不中，刑罚不中则民无所措手足。故君子名之必可言也，言之必可行也。君子于其言，无所苟而已矣。”（《论语子路第十三》）

名分对于安全来说可以引申为安全在公司的地位和重要性。安全要做好，名分一定要正。这个和我们所说的安全怎么做和做得怎么样与安全在公司组织架构中的地位中有关是一致的。如果安全在公司没有地位或者地位很低，安全就算想做好也有心无力，甚至还可能因为想做好而遭到其他部门的责难，感觉安全是给大家找茬。

安全的名分很重要。孔子说名分不正，说话就不顺当合理；说话不顺当合理，事情就办不成；事情办不成，制度就建立不起来；制度建立不起来，处罚就不得当；处罚不得当，大家就不知道怎么办才好。

所以安全要做的第一件事就是正名。

责任

舜有臣五人而天下治。武王曰：“予有乱臣十人。”孔子曰：“才难，不其然乎？唐虞之际，于斯为盛，有妇人焉，九人而已。三分天下有其二，以服事殷，周之德，其可谓至德也已矣！”（《论语泰伯第八》）

子曰：“巍巍乎，舜禹之有天下也，而不与焉。”（《论语泰伯第八》）

安全要做好，人才很重要。孔子说，人才难得，但更加重要的是人才难得并不意味着没有人才，而在于能否选拔任用人才。

孔子还说，统治者不应以天下为己有，天下是天下人的天下，不是一人的天下。所以人才应该是天下人的人才，非一人的人才。

对于公司来说，安全不应该是安全人员的事情，而是公司每个人的事情，所以要发动所有人的力量，才能真正做好安全。从各个部门设立安全代表，将安全带入到公司的流程中，然后将安全的实践结果也反馈回安全部门，这样才能形成一个良性循环。

国家安全周的宣传语是“网络安全为人民，网络安全靠人民”，说得也是这个道理。

本分

子曰：“不在其位，不谋其政。”（《论语泰伯第八》）

曾子曰：“君子思不出其位。”（《论语宪问十四》）

孔子说，不在那个职位，不谋划那个职位的事情。曾子说，君子考虑事情不超过他的职位所管辖的范围。这与《周易》中的当位原则，以及孔子经常说的不越矩是一致的。

一个组织必然有一个复杂的体系，对每个职位的责、权都要明确的规定。只有每个人按照各自的职位要求，各行其是，各尽其职，尽好本分，组织才能健康有序地运转。如果有人越职出位，部门之间相互插手，就会滋生纷乱。

对于安全而言，安全部门应该恪守本分，不应该去越矩过多干涉其他部门的事情，比如直接插手各个部门的风险修复以及具体安排，这样才能和其他业务部门和谐共存，而不是作为一个橡皮图章妨碍业务的正常运行。

态度

季康子问政于孔子。孔子对曰：“政者正也，子帅以正，孰敢不正。”（《论语颜渊十二》）

季康子问政于孔子曰：“如杀无道，以就有道，何如？”孔子对曰：“子为政，焉用杀。子欲善，而民善矣。君子之德风，小人之德草，草上之风，必偃。”（《论语颜渊十二》）

孔子说，领导自己端正了，谁敢不端正。孔子又说，领导作风好比风，百姓作风好比草，风向哪边吹，草就像哪边倒。

安全也是如此，公司领导者重视安全，谁敢不重视安全。公司领导者推进安全，将安全当成公司生死攸关的大事，那么公司每个人也会重视安全，把安全当成自己的生死攸关的大事。

我国领导人将信息安全当成国家的第五空间主权看待，相关部门相应出台一系列法律来保障，也是遵从这个道理。

治理

樊迟请学稼，子曰：“吾不如老农。”请学为圃，曰：“吾不如老圃。”樊迟出，子曰：“小人哉，樊须也。上好礼，则民莫敢不敬；上好义，则民莫敢不服；上好信，则民莫敢不用情。夫如是，则四方之民，襁负其子而至矣。焉用稼？”（《论语子路十三》）

子曰：道之以政，齐之以刑，民免而无耻；道之以德，齐之以礼，有耻且格。（《论语为政第二》）

子张曰：“何谓四恶？”子曰：“不教而杀谓之虐，不戒视成谓之暴，慢令致期谓之贼，犹之与人也，出纳之吝，谓之有司。”（《论语尧曰二十》）

子曰：“雍也可使南面。”仲弓问子桑伯子。子曰：“可也简。”仲弓曰：“居敬而行简，以临其民，不亦可乎？居简而行简，无乃太简乎？”子曰：“雍之言然。”（《论语雍也第六》）

孔子说，领导守规矩，百姓也不敢违反规矩。领导行为端正，百姓也不敢行为不端正。领导诚实可信，百姓也不敢不以真心待人。

对于安全而言，领导首先要遵守各种规矩，才能给下面的员工树立榜样。领导行为端正，才能杜绝员工行苟且之事。领导正直可信，员工才会真心对待公司。根据数据显示，安全风险最高是内部人士违规。所以领导带好头，风险才比较容易控制。

孔子说，靠政令来领导，用刑法来规范，百姓虽能免于犯罪，但没有羞耻心。用道德来引导，用礼仪来规范，百姓才会有羞耻心，并真心归服。

孔子还说了四种恶政，不加教育而处罚叫做虐，不加申诫便要成绩叫做暴，起先懈怠，突然限期叫做贼，同是给人财物，出手吝啬叫做小家子气。

安全而言，就是要先说明规矩，进行普及性教育，如果违反，才能再进行处罚。没有给各个业务部门商量好就要业务部门都做好，这个就有点过分了。出问题的时候没有约定好什么时候修复，然后突然又紧张催促，这个就是贼。对于做得好的人员要敢于奖励，否则就是小家子气。

孔子还说，施政态度要尽可能认真，施政政策要尽可能简化，任何政策的推行都以不扰民、不烦民为原则。

对于安全就应该像流水一般，润万物而不自知。安全人员要有自所不欲勿施于人的态度，安全政策要与业务结合，安全的各项要求应该自然与公司流程融合，这样做就可以做到无为而治。

风险

子游曰：“事君数，斯辱矣。朋友数，斯疏矣。”（《论语里仁第四》）

子问公叔文子于公明贾曰：“信乎夫子不言不笑不取乎。”公明贾对曰：“以告者过也，夫子时然后言，人不厌其言。乐然后笑，人不厌其笑。义然后取，人不厌其取。”子曰：“其然。岂其然乎！”（《论语宪问十四》）

樊迟问仁。子曰：“爱人。”问知。子曰：“知人。”樊迟未达，子曰：“举直错诸枉，能使枉者直。”樊迟退，见子夏曰：“向也吾见于夫子而问知，子曰：举直错诸枉，能使枉者直。何谓也？”子夏曰：“富哉言乎！舜有天下，选于众，举皋陶，不仁者远矣。汤有天下，选于众，举伊尹，不仁者远矣。”子贡问友。子曰：“忠告而善道之，不可则止，毋自辱焉。”（《论语颜渊十二》）

子游说，侍奉领导，进谏过多就会招致侮辱。对待朋友太琐屑，就会被疏远。

孔子说，水至清则无鱼，过而不及。

孔子还说，忠诚地劝告，恰当地引导，如果不听也就罢了，不要自取其辱了。

对于安全而言，安全很重要，风险需要关注，但是不是所有风险都可以修复的，也不是所有风险都不能被接受的。安全将风险给领导层以及业务部门说清楚，然后经过均衡后领导层和业务部门是有权接受风险的。安全就不应该总是喋喋不休，总要将所有风险都解决，这就过犹不及，而且还惹人讨厌了。

总结

曾子曰：吾日三省吾身。为人谋而不忠乎？与朋友交而不信乎？传不习乎？（《论语学而第一》）

曾子说，每人多次反省自己，是否为人做事不忠诚，与朋友交往不诚信，老师传授的知识没有学以致用？

自省是儒家的一种道德修养方式，这样才能发现自己的问题不断改进。

对于安全而言，我们应该时刻反省：安全是否正名分，安全是否人人负责，安全是否受本分，安全态度是否端正，安全治理是否合理，安全风险是否均衡。这也就是安全之道。

推荐阅读

诸子笔会 |12月征文合集《总结报告》