自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

信息安全之“道”

     文 | 孙瑜

【孙瑜】

某互联网公司安全工程部，现负责研发安全，擅长软件设计和编码安全，STRIDE威胁分析。

“人法地，地法天，天法道，道法自然。”老子认为世界上有四种事物可以称之为大：天、地、道和王，这四者之间的关系是，人效法大地，人生长在大地之上，应该效法大地宽广博大的胸怀，地势坤，君子以厚德载物。地法天，大地效法上天，地球在银河系，围绕太阳转，遵循着太空的运转规律。天法道，上天效法大道，在《道德经》开篇中讲到“有混物成，先天地生，敚绣蜀，立不逐，石，以为天下母。未知其名，才之曰道。”道是天下之母，先天地生，不知道它的名字，取名叫做道，那天法道就顺理成章了。道法自然，大道效法自然，大道是自然而然，浑然天成的，不以人的意志为转移，这也是贯穿《道德经》的精髓。

掌握了“道”就像练成了“独孤九剑”，天下武功万变不离其宗，应对任何招式信手拈来，到了这种境界才是返璞归真，也就是道家常说的“开悟”。

我们来论论信息安全领域的“道”。有人说，本没有安全，有了研究安全的人才有了安全。吴翰清在《白帽子讲Web安全》一书中说：“安全问题的本质是信任问题。”一切安全方案设计的基础，都建立在信任关系上。我们必须相信一些东西，这是基本的假设，安全方案才能建立。如果我们否定一切，安全方案就如无源之水，无本之木。

《道德经》中写到“故天之道，损有余而益不足。”天之道，多则减少，不足则增加。体现了平衡与适度，大自然处处都体现了平衡法则，遵循着适度原则，万物才能维持生态平衡，繁衍生息。

习近平总书记在2016年4月19日网络安全和信息化工作座谈会上指出：“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进”；“古往今来，很多技术都是双刃剑，一方面可以造福社会，造福人民，另一方面也可以被一些人用来损害社会公共利益和民众利益。”

任何一项新技术的诞生都会伴随着很多未知，安全防线都比较薄弱，如智能设备刚开始应用时，安全防范意识和攻击技术能力跟不上，同时法律法规等约束相对滞后；再比如，人脸识别在提供便捷的身份验证技术的同时，随之而来的是数据收集、隐私保护等敏感话题的争论。

要掌握安全和发展的“道”，安全和发展不是矛盾体，担心安全风险而放弃新技术是故步自封，新技术的安全风险不能放任不管，也不能过犹不及，追求过度安全而成为发展的绊脚石。安全体系是一个复杂的系统工程，涉及人、技术、操作、管理等要素，单靠任何一个都不可能实现，因此，安全技术与管理机制，安全意识与人才培训等相结合，因势利导，以技术规避风险，以安全保障发展，才是平衡之“道”。

《道德经》中讲到“正复为奇，善复为妖。人之谜也，其日固久矣。”万事万物始终处在不断演化中。正常的会变得不正常，善良的人会变成妖魔，事物不会保持一种状态不变，总是在不断转换。这就叫做“天道员员”。世人对大道的迷失导致人们对福祸、正奇和善妖等看不清楚，人们迷惑于求福为何会得祸，迷惑于崇正为何会化奇，迷惑于向善为何会成妖，以至于忘了福祸相依、正奇相生、善妖相转的道理。

安全领域也是如此，安全与否没有绝对的评价标准和衡量指标，取决于用户的需求、应用的环境、系统的性质和信息的重要程度等，所以安全的设计围绕需求、风险、成本，把握好度，做到业务可用，风险可控，成本可接受。

安全风险如果听之任之会导致严重的后果，给企业造成经济损失。但是不计代价地去解决全部问题，将风险降到零就是矫枉过正，既不可取也不现实。不必追求绝对安全，如前文所说，一切都基于信任假设的前提，如果我们作为决策依据的条件被打破，就会导致假设的信任不复存在，那安全方案就是空中楼阁。

《道德经》中耳熟能详的一句“道可道，非常道；名可名，非常名”，原文应该是“道可道也，非恒道也；名可名也，非恒名也”。由于避讳汉文帝刘恒的恒字，将恒改成常字。两千年来，众多学者对这句的理解众说纷纭，这里采用《大道真影•重解道德经》中的解释：“道”不是永恒不变的，没有什么事物是永恒不变的，即便是天道，在环境条件发生变化以后，也不再有效，无法遵从。所谓法无定法，人类的发展就是不断颠覆认知的过程。

安全是持续变化的。安全领域不存在一劳永逸的技术、设备和方案。从安全诞生之日起，攻击和防御就在不断对抗中螺旋式上升发展，新的攻击手段或安全漏洞被发现后不久，相应的防御手段或安全设备紧随其后被发布出来。没有永远有效的攻击手段，也不存在永远有效的防御措施，二者是互相促进不断发展的辩证关系。

一些安全厂商在向客户推销时，标榜自己的产品无所不能，安装以后可以高枕无忧。然而，安全领域从来没有银弹，安全设备基于黑白名单的特征匹配，如果用固定的防御策略去拦截变化的攻击特征，就犯了刻舟求剑的错误。根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的网络安全需求，才符合安全的变化之“道”。

“道生一，一生二，二生三，三生万物。万物负阴而抱阳，中气以为和。”道为天下母，衍生出了天下万物。正是阴阳二气不断调和维持着整体的平衡，万事万物都有阴阳两面，一旦平衡被打破，就会产生问题。攻击和防守作为信息安全的阴和阳，此消彼长，互相制衡，推动安全产业的螺旋式上升，从另一方面说，业务发展和信息安全也是一阴一阳，使企业在安全的保障下发展壮大。

2022诸子笔会  

【10月主题：过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦

【9月主题：查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾

【8月主题：红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在