自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

简要总结信息安全工作中的误区

     文 | 肖文棣

肖文棣

晨星资讯安全架构师

晨星资讯安全架构师，负责应用安全设计、管理和评审等工作，OWASP中国广东分会负责人，华中科技大学软件工程专业工程硕士学位。

随着我国一系列安全相关法律的陆续出台，并将信息安全列入国家主权安全的一部分，信息安全越来越受到重视，领导层面也逐渐开始负责信息安全的工作。同时，由国家主导的攻防演练行动愈演愈烈，安全逐步走向实战化。

领导对信息安全团队寄予了很高的期望，然而一旦系统发生信息安全事故的时候，又会走向另外一个极端。信息安全界流行一句话，很真实又很无奈：“没有安全问题，要你何用；有安全问题，要你何用。”从这句话可以看出，安全存在不少分歧和误区。本文就将围绕这个话题进行简单的总结和分析。

这句话经常在初创和中小企业的的老板口中听到。同时还有另一句话，叫做“我们首先想到的是企业要活下来，安全以后再说。现在都没钱，怎么做安全？”

安全真的很贵吗？有些专业人士可能说，安全真的很贵，买设备要钱，运营要钱，请人要钱，组建团队要钱。不仅如此，安全人才很缺乏，所以安全的相关岗位很贵很难找，对于一些小企业来说养不起也用不起。因此，安全很贵，很多企业想做也做不了。

但这是真的吗？安全真的是用钱堆出来的吗？

这种说法在某种情况下是正确的，但又不是完全准确的。做到完美的安全（至于有没有完美的安全另说）需要花不少钱，但是安全的起步未必，比如从思想上重视安全并不需要投入太多成本，更多的只是观念的转变。

如果老板们想要实现产品安全，首先要从自身做起养成安全意识，了解安全是什么内容，至少知道自己从事的产品涉及哪些安全法律和风险，尽量规避，这样就已经比很多产品进步了。另外，如果有安全风险不能规避，也可以尝试决定接受风险的思路，因为知道风险并且接受风险是一回事，完全不知道有风险是另外一回事。

如果老板有这样的思想，并且引进常规的安全教育，上行下效，安全就会作为一种基因深入产品和企业心里。这些工作都只需要很少的投入甚至不需要投入，所以从这个角度来说，“安全很贵，安全需要很多钱”就是一个误区。

有些企业财大气粗，每年都会买很多安全产品和设备，同时设有专门的安全部门，安全专家也很多，因此认为自己的产品就一定安全了。

但是，每年举行的攻防演练行动有时就会“打脸”这些企业。设备是买了，但不知道是否有效使用；安全部门是有了，但不知道是否有效行动。

安全部门可能就拿着一个类似橡皮图章的东西来告诉业务部门“这个不行，那个不可以”，业务部门会认为安全部门是在找事情。两个部门相互推诿，出问题了纷纷推卸责任，问题可能因此逐渐堆积而得不到解决。

同时，安全部门往往会受到拆分，既有产品线自己的安全部门，也有公司的安全部门，互相之间各忙各的，难以形成合力。虽然看起来人很多，但却无法满足实际工作的需求，往往还会吐槽自己问题太多忙不过来，需要招更多的人。

另外，很多安全设备也是重复的。不同的部门买各自的安全设备和产品，同时也都想保住自己的一亩三分地。但有时侯网络是联通的，你的地盘未毕靠你守得住，敌人可能从别的阵地进来。此外，设备不是万能的，设备本身也是软件，也有缺陷，也可能被攻陷，甚至设备本身就是问题点。这样的例子在攻防演练行动中不少见。

所以，买了很多设备，请了很多专家，不一定就能够做好安全，设备+专家=安全也是明显的误区。设备和专家要起到必要作用，要全局思考，要有纵深防御，要假设设备被突破了，要做好应急方案。另外，世界上没有绝对的安全，零日漏洞不断出现，防不胜防，所以我们要立足于最坏的打算，才能得到比较好的结果。

在安全圈内，经常听到一些领导干部说今年要招更多的人，要求更多的岗位，要更多的预算。反正一个字，我的安全团队要越来越“大”。我什么都想自己做，甚至要达到安全的最高境界——成为业务的输出。

刚听有道理，但是想想又觉得不对。安全团队真的可以无限扩张，包揽所有能干的事情吗？这显然不可能的。那么安全团队能帮业务团队修改业务安全问题吗？有些人可能会说可以，只要给我足够的人，足够的能力。

据笔者所知，业内有一家很厉害的公司推出了一个很厉害的平台，号称可以帮业务团队自动修复安全问题，因此有些公司就认为自己的安全团队可以帮业务团队修复安全问题。但这种方式可靠吗？根据业内人士透露，如果修复了业务中版本兼容问题，业务部门就可能会把责任推到安全部门头上，这种情况冤不冤？事实上，如果安全部门真的帮业务团队修复安全问题，但却又引起其他业务问题，这个锅背的真的不冤。

所以，你还会认为安全团队可以帮业务团队修复业务问题吗？

另外，有些公司认为，自己的安全团队渗透能力很强，有很牛的专家，渗透测试工作做得比第三方机构还厉害。但是，你能够代替第三方机构出具安全测试报告吗？你自己出具的安全测试报告有公信力吗？你的客户会认可你的测试报告的独立性吗？显然是不行的。所以，不论一家企业的安全团队有多少人，能力有多强，都无法替代第三方的审计，这就是商业逻辑。

最后，企业的核心价值在于企业自己的核心业务，安全绝对不会是企业的核心业务，可以为业务保驾护航，但绝对不能喧宾夺主，造成错位。所以安全要做好自己的本分，而不是盲目扩张。要上连业务部门，下结专业公司和团队，不能什么事情都自己做，这样既做不好安全，出了问题还要背锅。

安全的误区还有很多，笔者在此无法一一列举。但是我认为，安全二字，意识为先，心中有安全，行动才容易落实。道路千万条，总有适合自己的路。安全不能强求，不能过分，在做好评估的基础上要拥抱风险。安全团队不能特立独行，因为安全也是公司的普通一员，是一个普通的部门；但也不能所有安全都只依靠安全部门，就像我国网络安全周的宣传语所述：网络安全为人民，网络安全靠人民，网络安全要成为人民战争。

2022诸子笔会  

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在