诸子笔会2022 | 肖文棣:安全之变与不变
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
安全之变与不变
文 | 肖文棣
肖文棣
晨星资讯安全架构师
晨星资讯安全架构师,负责应用安全设计、管理和评审等工作,OWASP中国广东分会负责人,华中科技大学软件工程专业工程硕士学位。
牛顿的第一定律告诉我们,万物要么静止,要么在运动,由于静止是相对的,因此万物都在运动中,而运动是永恒的。运动停止,系统就要归于寂灭,也就是热力学第二定律所说的墒为0,系统归于寂灭。
万物都在运动,也就意味着万物都在变化中,这就是万物恒变。这是宇宙运行的客观规律,安全也不例外,所以安全之变不用大惊小怪,习惯就好。
安全本身的概念也在不断扩展和变化。《CSO进阶之路》一书中讲到了“CSO要全面了解安全的概念”。信息安全的概念伴随着信息技术和信息化的发展而演进。信息安全的概念起源很早,但一直到20世纪40年代通信保密才进入学术界;20世纪50年代,科技文献开始出现“信息安全”一词;到20世纪90年代,“信息安全”逐步进入各国和各地区的政策文献。
国际信息系统安全认证组织将“信息安全”划分为10大领域,包括物理安全、业务连续和灾难重建计划、安全结构和模式、应用和系统开发、通信和网络安全、访问控制领域、密码学领域、安全管理实践、操作安全、法律合规和道德规划。
进入21世纪,“信息安全”的范围不断扩大,包括国家机密、商业秘密和个人隐私保护。同时信息安全作为一个大的概念又引申出信息主权、信息疆域、信息站等一系列概念。
2003年美国发布了网络空间战略的国家文件,“网络安全”和“网络空间安全”更成为业界关注的重点。随着我国《网络安全法》的发布,网络空间安全成为法律的要求。之后随着欧盟《GDPR》和我国《个人信息保护法》的发布,个人隐私数据保护也成为热点。所以从历史看,安全的范围也是在不断扩张和外延的。
安全不是独立存在的,是依赖于外部环境而存在的。比如公司就一直处于变化中:营商环境在变化,经营范围在变化,监管和合规的要求也在变化。
比如我国对课外培训机构的监管一直在调整,课外培训机构可能就因此失去了存在的意义和价值,进而导致课外培训机构对应的安全部门自然就没有了存在的价值。
再如安全涉及的法律也在变化。比如此前美国发生了安然事件,从而引入了萨班斯法案,对于上市公司的安全有了新的要求。欧盟越来越重视个人隐私数据,于是整合了过去了相关安全法律,推出了GDPR,严厉打击泄漏个人隐私的行为。而后我国在参考了欧盟GDPR以及相关法律事件的基础上,推出了《个人隐私保护法》。这些一系列法律的提出也会对安全本身产生影响,比如越来越多企业开始重视个人数据安全,并且设置相关的岗位。
又例如房地产行业低迷,游戏行业低迷,导致资本机构减少房地产或者游戏行业的投资,对应的安全相关活动也会进行调整。而当前大力发展B端业务,国家对于个人数据信息的保护加码,使得企业必然要调整自身的安全活动来适应这些变化。这就是随变而变,这也是业务发展的要求。
万物恒变,安全自身在变,安全的依赖也在变,所以安全之变不是偶然而是必然,我们因此要拥抱变化,以不变应万变。
金庸先生在《倚天屠龙记》里对九阳神功进行过描述,其总诀就含有不变应万变的道理:
他强任他强,清风拂山岗;
他横任他横,明月照大江。
他自狠来他自恶,我自一口真气足。
这其实就是在表示,无论外界怎么变化,只要立足于自身的根本,就可以如清风明月,立于不败之地。
安全的根本是什么?笔者认为是安全的不变性;安全的不变性是什么?笔者认为是安全存在的价值。安全不是孤立存在的,要依赖于业务,安全存在的价值是为了业务保驾护航。但现在很多人对于安全的理解变成了“安全可以独立存在”,一幅天老大,我老二的派头,这个观点是要不得的。
安全不仅仅是成本中心,随时可以优化掉,安全也不应该是利润中心,过度追求安全的输出。安全还是要回归本我,做好为业务保驾护航的事情。一切安全的活动都应该围着这个根本而开展。当我们应对安全之变的时候,根本应该不要变。
安全不是没有成本的,不是所有的安全问题都可以解决且必须要解决,安全的风险处置一定要包括接受风险的选项。实际上,处理安全问题,就是将风险降到可以接受的程度,不存在零风险的情况。绝对为零的风险是不存在的,只要系统在运行,就一定会有风险,这一点必须要理解的
围绕安全之变,我们要围绕安全不变性的根本进行取舍。鱼与熊掌不可兼得,贪心不是好事情。当外部环境发生变化的时候,安全部门要主动应对,要与业务部门及时沟通,了解他们的期望,并且与公司战略进行对齐。不应以计划不变为借口进行塘塞,错过应变的最佳时机。
安全不是安全部门的事情,是整个公司的事情。所以公司有变,安全相关活动也会有变化。比如当企业没有预算够买商业产品时,可以通过群策群力的方式,解出可能实施的办法,或者推迟实施,经过评估后接受风险。需要注意的是,不去实施是一回事,不评估是另外一回事,知道风险但接受风险远比连不知道风险要好得多。
安全之道,在于取舍,安全之道,在于紧紧把握自己的中心,根据外界条件进行调整。希望大家能够在纷繁变化中立足于本心,和企业一起度过难关。
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东
刘志诚 杨文斌 孙琦 孙瑜 半藏咸鱼
2021首届诸子笔会
齐心抗疫 与你同在