🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

诸子笔会2022 | 肖文棣:安全工作需要蓝图

肖文棣 安在 2022-12-13
收录于合集 #2022诸子笔会 73个


自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。



安全工作需要蓝图


     文 | 肖文棣




肖文棣


晨星资讯安全架构师



晨星资讯安全架构师,负责应用安全设计、管理和评审等工作OWASP中国广东分会负责人,华中科技大学软件工程专业工程硕士学位



又到一年末,几人欢喜几人忧。美团王兴在2019年的时候说,这是过去十年中最坏的一年,却也是未来十年中最好的一年,前面一句可以作为2019年的总结,但是后面一句是否成真还存疑。世界在不断变化,我不是很相信王兴就是预言大师,他说的就是真理。作为一个科技工作者,我对于预测不是非常相信或者说是存有疑问的,虽然业界有不少大佬已经对未来的安全行业进行了预测,但我个人不相信预测,而是相信规划和自己的努力。

《礼记.中庸》里说,凡事豫则立,不豫则废。言前定则不跲,事前定则不困,行前定则不疚,道前定则不穷。这里的“豫”也做“预”,这里不是预测,而应该是规划、计划的意思。毛主席在《论持久战》中亦曾引用:“‘凡事预则立,不预则废’,没有事先的计划和准备,就不能获得战争的胜利。”对于我们安全工作而言,我们需要的不是预言家,而是计划,这个计划你可以理解为蓝图,也就是说我们安全工作需要蓝图,这个蓝图应该是大计划。

年初我们做了计划,年末我们开始做总结,然后年初又继续计划,周而复始。但是我们有没有做三年计划、五年计划?对公司的安全工作有没有更加长远的计划?而不是一年一个小计划。很多人可能会说,三年后我都未必在这家公司了,这样长久的计划没有太大的作用,这可能就是有小计划而没有蓝图的原因。
我们国家自1953年实施的一个五年计划以后,到今天为止,已经到了十四个五年计划,我们也从当初的积贫积弱变成了现在的世界第二大经济体,实际生产力和购买力全球第一的强大国家。蓝图可以让一个国家目标统一,精力集中到一个共同计划中来,所以蓝图非常重要。

对于一个公司来说,公司应该有总体的蓝图,安全工作也应该有自己的蓝图。安全工作的蓝图应该与公司的总体蓝图结合,这样才能让大家力往一处使,才能让安全是大家的事情不成为空话。也让大家对安全工作有预期,而不是今天一个运动,明天一个事件,最后感觉安全在运动,大家在围观。所以安全工作要牢记“网络安全为人民,网络安全靠人民”这句话,这叫做不忘初心,牢记使命。

那么我们应该怎么做安全工作的蓝图呢?就拿应用安全这个领域来说,应用安全的工作是保障应用的安全的,应用是有生命周期的,准确来说就是SDLC软件开发生命周期,应用安全的工作就应该和SDLC结合,就是我们经常说的S- SDLC或者DevSecOps。

我一直在强调,应用安全不是独立存在的,而应该归属到应用上。所以应用安全要打散融合到应用开发中,这一点不知道有多少公司和团队实现了或者以这个为目标去实现。
我最近在挖掘OWASP的宝藏,在其中发现OWASP集成标准(https://owasp.org/www-project-integration-standards/)项目,这个项目里面有个输出很有意思,英文叫Application Security WayFinder,直译就是安全探路者,它将OWASP几百个项目融入到SDLC的每个过程中,方便大家查找。

这个安全寻路者将应用安全分成了九个领域,分别是需求、设计、实现、验证、政策差距评估、衡量指标、培训与教育、文化建设与流程成熟度模型和运营。我们可以使用这个模型来评估当前的应用安全工作,并构建我们应用安全工作的蓝图。如果要建设好我们的应用安全工作,必须将这九个领域都要做好,才能真正做好。

要做好安全工作并不容易,也不是有钱有预算就可以做好的,如果我们只是把大量的时间和精力都放到运营阶段,堆各种设备,而忽视其他方面的建设,安全工作最终还是做不好的。而且如果没有蓝图,我们也不知道当前的安全工作还缺什么,应该补什么,就有可能今天听到一个新概念,明天看到一个新产品,很容易迷失了方向。

如果安全工作有蓝图,有愿景,我们就可以构筑一个长远的计划,看到美好的明天。挺喜欢OWASP的使命“No more insecure software”,我们是否也可以给自己的安全工作立一个使命,比如“在公司没有不安全的软件”,然后围绕这个使命来和其他部门一起构筑起自己安全工作的长远计划。能否做到铁打营盘流水的兵,不管安全部门的人员变动如何都可以一如既往地实施自己安全工作的长远计划,是否有这个长远计划后就不需要应付上层领导对于“现在安全工作做的怎么样”的灵魂拷问。

虽然安全工作的预算是有限的,但同时安全工作也是有限的。我不相信安全工作是无限的说法,虽然形势一直在变,外面的威胁也不断在变,但是本质还是没有变的。
短期救火需要完善运营工作,先保住底线;中期工作提升测试水平,尽量在内部发现漏洞;长期工作一定是安全工作左移,从需求入手,从设计入手。最最关键和基础的是建立安全文化,提倡安全人人参与,人人有责的理念。
安全工作也不一定要花大价钱,可以使用开源、免费的方案,再配合商业的方案,根据当前的财务状况以及预算情况进行。但是无论开源方案还是商业方案,都应该覆盖应用安全工作的九个领域,不需要在某个领域过度投入。

安全工作需要蓝图,有蓝图才能打破年复一年重复建设、只见树木不见森林的怪圈。有蓝图我们才不需要预言家,才可以根据蓝图踏实工作,努力去实现自己的目标,而不会受到外面花花草草的诱惑而迷失方向。
毛主席没有照搬马列主义,而是将马列主义与中国的实际进行结合,产生了毛泽东思想,才能指导中国革命取得胜利。所以毛主席说本本主义要不得,同样安全工作可以借鉴Gartner等优秀的思想,可以借鉴别的公司落地的成功经验。但是一定不能照搬,而要与自己公司的实际进行结合,形成自己公司特有的蓝图,才能指导自己公司的安全工作取得成功。





推荐阅读

2022诸子笔会  

【12月主题:回顾与展望,无题】

张永宏   刘志诚


【11月主题:考场,战场与职场】

刘志诚   张永宏  杨文斌  肖文棣  孙琦  

孙瑜 王忠惠  朱文义  陈圣   回顾


【10月主题:过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦  孙瑜  王忠惠  朱文义  陈圣   回顾


【9月主题:查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾


【8月主题:红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾


【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名



原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存