安全建設(shè)包含的內(nèi)容很多，其中包含技術(shù)、管理、人員、流程等諸多方面。有些特征在很多工作中都比較通用，這些特征包括：任務(wù)、工具、原則。這些特征在不同行業(yè)、不同規(guī)模的企業(yè)以及企業(yè)中不同的崗位工作都可以適用。本文主要介紹安全建設(shè)的一些原則，這些原則可以規(guī)范建設(shè)任務(wù)完成的質(zhì)量以及工具的使用情況。

我們?cè)谧霭踩ㄔO(shè)前可以問(wèn)一個(gè)問(wèn)題：什么原則是對(duì)所有安全建設(shè)都需要的？這個(gè)原則適用于所有領(lǐng)域、所有行業(yè)的、所有規(guī)模的公司。要回答這個(gè)問(wèn)題，我先介紹下安全的本質(zhì)是什么。在之前的《安全的本質(zhì)》文中介紹了安全的本質(zhì)是對(duì)數(shù)據(jù)的機(jī)密性、完整性、可用性的防護(hù)能力，所以安全建設(shè)的目標(biāo)就是圍繞提升安全能力而展開(kāi)的。提升安全建設(shè)能力的原則我認(rèn)為主要有以下幾個(gè)方面：關(guān)注結(jié)果，關(guān)注整體，最小化原則，發(fā)揮優(yōu)勢(shì)，保持樂(lè)觀。

關(guān)注結(jié)果

對(duì)結(jié)果的關(guān)注是所有成功者共同的思維和行動(dòng)方向，對(duì)安全建設(shè)依然適用。每家公司的情況不一樣，有大型互聯(lián)網(wǎng)公司，管理著數(shù)萬(wàn)臺(tái)服務(wù)器，他們的主要業(yè)務(wù)來(lái)源都是網(wǎng)上的業(yè)務(wù)系統(tǒng)，大多數(shù)是web系統(tǒng)，他們關(guān)注的更多的是業(yè)務(wù)安全，包括賬號(hào)安全、交易風(fēng)控、征信、反價(jià)格爬蟲(chóng)、反作弊反bot程序、反欺詐、反釣魚(yú)、反垃圾信息、輿情監(jiān)控（內(nèi)容信息安全）、防游戲外掛、打擊黑色產(chǎn)業(yè)鏈、安全情報(bào)等；有很多傳統(tǒng)的設(shè)計(jì)制造企業(yè)，他們的服務(wù)器不多，對(duì)外也只有一個(gè)網(wǎng)站，很多時(shí)候還是托管的或者是靜態(tài)的網(wǎng)站，他們關(guān)注的更多的是內(nèi)部數(shù)據(jù)安全，有沒(méi)有人一直惦記著我們的圖紙、設(shè)計(jì)、內(nèi)部文檔等；還有很多中小企業(yè)，自身的盈利能力很弱，所以對(duì)安全沒(méi)有啥大的需求，最多就是我的財(cái)務(wù)軟件能用就好，中病毒了大不了重裝一下系統(tǒng)，當(dāng)然最好不要中病毒影響我的工作。

對(duì)每家企業(yè)來(lái)說(shuō)，首先要制定切實(shí)可行的目標(biāo)，確定一個(gè)合理的期望結(jié)果，然后重點(diǎn)關(guān)注結(jié)果。但對(duì)大多數(shù)人來(lái)說(shuō)，“以結(jié)果為導(dǎo)向”不是理所當(dāng)然的事情嗎？其實(shí)不是，大多數(shù)人的本性更傾向于對(duì)投入的重視。相比產(chǎn)出和結(jié)果來(lái)說(shuō)，人們更愿意把大部分注意力集中在工作消耗、個(gè)人投入的精力和努力上。就算是公司的每個(gè)員工都很努力的工作，也不一定能說(shuō)明他們就一定能取得好結(jié)果。

比較不幸的是安全行業(yè)的結(jié)果是不好衡量的。引用一句安全圈常說(shuō)的話(huà)：世界上有兩種企業(yè)：一種知道已被黑客入侵，一種還不知道已被黑客入侵。這也是很多企業(yè)不重視安全依然感覺(jué)狀態(tài)很好的原因。很多人把安全看成是事件驅(qū)動(dòng)的主要原因，也是因?yàn)榘踩虑安缓煤饬?，但不是不能衡量。所以需要在安全建設(shè)的過(guò)程中要想好安全的結(jié)果如何判斷，我們安全建設(shè)的目標(biāo)是否有效，如何從目標(biāo)實(shí)現(xiàn)結(jié)果等等。

關(guān)注整體

在信息安全的攻防對(duì)抗中，攻防是極其不對(duì)稱(chēng)的。對(duì)攻擊者來(lái)說(shuō)，只要找到企業(yè)中的一個(gè)弱點(diǎn)并加以利用，就可能達(dá)到入侵的目標(biāo)，這個(gè)弱點(diǎn)不一定是系統(tǒng)弱點(diǎn)，也可以是人的弱點(diǎn)，比如社工，開(kāi)發(fā)人員無(wú)意識(shí)的公網(wǎng)備份等。但對(duì)于防守人員來(lái)說(shuō)，必須找到企業(yè)中的所有弱點(diǎn)，并加以防護(hù)，才有可能不被攻擊成功。

但也不用過(guò)于悲觀，不是所有弱點(diǎn)都能被利用，比如漏洞利用，能寫(xiě)EXP的人也不多。大部分人是拿來(lái)主義和修正主義，所以判斷漏洞是否需要修復(fù)的一個(gè)重要原則是：是否有公開(kāi)的POC代碼樣本，如果有就盡量修復(fù)，如果沒(méi)有就可以暫時(shí)不修復(fù)。但也不是所有有POC的漏洞都需要修復(fù)，當(dāng)然能修復(fù)最好。有些情況是不能修復(fù)的，比如一旦修復(fù)了需要重啟服務(wù)器，要影響業(yè)務(wù)，這個(gè)時(shí)候是不能修復(fù)的，這個(gè)時(shí)候就要看是否有別的方式來(lái)防護(hù)，比如前面的WAF是否可以防住這個(gè)漏洞。

在《安全的本質(zhì)#安全是成本》中也介紹了，攻防的成本差異是極其巨大的，比如花費(fèi)一萬(wàn)元去防護(hù)一個(gè)價(jià)值只有五千元的系統(tǒng)是沒(méi)有意義的。根據(jù)防護(hù)價(jià)值的高低去選擇防護(hù)重要的數(shù)據(jù)，也不一定所有的弱點(diǎn)都需要去處理。由于攻防的不對(duì)稱(chēng)，投入資源精力有限的情況下，更要從整體考慮，哪些是最重要的資產(chǎn)，最重要的數(shù)據(jù)，我們優(yōu)先把這些問(wèn)題解決掉。

關(guān)注整體最重要的一點(diǎn)是平衡。如何平衡業(yè)務(wù)和安全，如何平衡各方面的投入，如何平衡投入和利舊，如何平衡自研和購(gòu)買(mǎi)，如何平衡加人還是加設(shè)備，如何平衡優(yōu)勢(shì)和劣勢(shì)等。我們需要從多個(gè)視角進(jìn)行綜合考慮，需要做出妥協(xié)的地方就做出妥協(xié)。需要在無(wú)法避免的模糊性和不確定性中求生存。

隨著安全產(chǎn)品的分類(lèi)越來(lái)越多，功能越來(lái)越交叉，對(duì)整體的把握就越來(lái)越容易被忽略，因而就越有可能出現(xiàn)結(jié)果和整體目標(biāo)毫無(wú)關(guān)系的危險(xiǎn)情況。為了避免這種情況發(fā)生，必須通過(guò)不斷地復(fù)盤(pán)，不斷地分析進(jìn)行有意識(shí)的調(diào)整。所以管理上有句話(huà)叫“從正確的做事到做正確的事情”值得借鑒。在整個(gè)安全建設(shè)過(guò)程中，從整體上看個(gè)人認(rèn)為需要最先關(guān)注的幾點(diǎn)是：資產(chǎn)、業(yè)務(wù)、重要的事件、重要的數(shù)據(jù)等幾個(gè)重點(diǎn)和他們之間的交互等。

最小化原則

最小權(quán)限原則在安全建設(shè)中有非常重要的作用，很多安全問(wèn)題對(duì)內(nèi)看是權(quán)限濫用和越權(quán)訪(fǎng)問(wèn)的問(wèn)題，它就是違反最小化原則；對(duì)外看是開(kāi)放了不該開(kāi)放的端口，暴露了不該暴露的接口等等。最小化原則的精神是所有的東西都應(yīng)該是明確的、有意義的，不要有模糊的放大，因此這種放大很可能會(huì)造成濫用或者未知的錯(cuò)誤。但遺憾的是，最小權(quán)限原則會(huì)增加一些成本，但很多時(shí)候我感覺(jué)是安全意識(shí)的問(wèn)題，而不是成本問(wèn)題，成本的增加在絕大多數(shù)情況下應(yīng)該是可控的。

下面列出來(lái)一些常用的最小化原則：

• 安裝操作系統(tǒng)的時(shí)候最小化安裝；

• 開(kāi)機(jī)自啟動(dòng)服務(wù)最小化；

• 操作命令最小化；

• 程序服務(wù)運(yùn)行最小化；

• 公網(wǎng)暴露的端口盡可能的??；

• 數(shù)據(jù)庫(kù)查詢(xún)盡可能增加限制條件；

• 安裝軟件盡量用權(quán)限最小的普通用戶(hù)安裝；

• 后臺(tái)管理頁(yè)面盡量用白名單限制；

• 管理權(quán)限交叉，幾個(gè)管理用戶(hù)動(dòng)態(tài)控制系統(tǒng)管理，互相制約；

• 創(chuàng)建新的賬號(hào)權(quán)限盡量的??；

• 暴露在外面的接口盡量少，接口參數(shù)盡量的少；

• Linux系統(tǒng)文件及目錄的權(quán)限設(shè)置最小化；

• 最小化授權(quán)時(shí)間；

• 安全策略最小化，降低告警誤報(bào)率；

• 最明確的“用戶(hù)同意”：收集個(gè)人信息的時(shí)候一定要說(shuō)明收集方式、范圍，對(duì)用戶(hù)身份證號(hào)、銀行賬號(hào)、行蹤軌跡等敏感信息更要特別說(shuō)明，這種說(shuō)明應(yīng)該以顯著的形式確保用戶(hù)知悉；

• 最少化的信息要素采集：采集信息時(shí)需要服務(wù)方區(qū)分基礎(chǔ)性服務(wù)和非必要服務(wù)，進(jìn)而區(qū)分制定隱私政策和用戶(hù)告知方式，合法收集用戶(hù)信息用于自身業(yè)務(wù)；

• 最安全的存儲(chǔ)和傳輸：減少數(shù)據(jù)的傳輸次數(shù)，避免明文數(shù)據(jù)的傳輸。

發(fā)揮優(yōu)勢(shì)

每個(gè)組織都是不同的，有各自的背景，各自的環(huán)境。有的公司創(chuàng)立之日起就有非常強(qiáng)的IT能力，有的公司IT的使用還非常初級(jí)，在這種情況下，每個(gè)公司在對(duì)安全建設(shè)的能力上有不同的優(yōu)勢(shì)和劣勢(shì)。正是這種情況，所以發(fā)揮優(yōu)勢(shì)也是安全建設(shè)的一個(gè)重要原則。

安全雖然在整個(gè)IT建設(shè)中占的比例非常小，但安全所包括的內(nèi)容非常廣泛，就像開(kāi)頭說(shuō)的包括技術(shù)、管理、人員、流程等。光信息安全產(chǎn)品按照公安三所的銷(xiāo)售許可證分類(lèi)，大概有77個(gè)分類(lèi)，每個(gè)分類(lèi)下面還有細(xì)分，還有些新興的產(chǎn)品分類(lèi)沒(méi)有包含進(jìn)來(lái)。

從安全建設(shè)的投入來(lái)看，我們發(fā)現(xiàn)有很多公司有自己的想法和目標(biāo)，也有的公司不確定應(yīng)該怎么做，畢竟安全很難被標(biāo)準(zhǔn)化。

在國(guó)內(nèi)的絕大多數(shù)互聯(lián)網(wǎng)公司在安全投入上都傾向于投人，一來(lái)互聯(lián)網(wǎng)的業(yè)務(wù)復(fù)雜，網(wǎng)絡(luò)龐大，如果購(gòu)買(mǎi)商用產(chǎn)品成本很高，而且有的商用產(chǎn)品在互聯(lián)網(wǎng)上大并發(fā)的能力也不夠，難以支撐業(yè)務(wù)，這種互聯(lián)網(wǎng)公司可以招聘水平非常高的安全人才，安全人才在這種超大規(guī)模的網(wǎng)絡(luò)中利用自己的優(yōu)勢(shì)可以管理更多的設(shè)備和數(shù)據(jù)，反而達(dá)到降低成本的目標(biāo)。比如阿里、騰訊、百度、京東等等，他們都傾向于自建，甚至組建了龐大的安全團(tuán)隊(duì)。

還有一些中型互聯(lián)網(wǎng)公司，沒(méi)有這么大的財(cái)力物力，他們更傾向于投人結(jié)合專(zhuān)業(yè)安全公司的服務(wù)包括產(chǎn)品，達(dá)到一個(gè)平衡。既發(fā)揮了人員優(yōu)勢(shì)又結(jié)合了專(zhuān)業(yè)公司的服務(wù)。

很多金融類(lèi)企業(yè)由于體制限制，包括人員數(shù)量和薪資成本控制。他們更傾向于利用安全公司的服務(wù)，比如滲透測(cè)試，人員外包，購(gòu)買(mǎi)安全設(shè)備等。

還有更多的中小企業(yè)，沒(méi)人也沒(méi)有錢(qián)，但他們的優(yōu)勢(shì)是業(yè)務(wù)簡(jiǎn)單，重要程度不高，這時(shí)候可以找些免費(fèi)甚至開(kāi)源的產(chǎn)品開(kāi)使用，如果對(duì)數(shù)據(jù)非常不在意甚至可以裸奔。

也有很多公司搞不清楚自己的優(yōu)勢(shì)，進(jìn)行各種嘗試，效果也不是特別好，就是沒(méi)有利用好這個(gè)原則。

保持樂(lè)觀

做安全其實(shí)是比較枯燥的，安全的領(lǐng)域看似不大其實(shí)包含的內(nèi)容很多。而且大多數(shù)安全人員每天的工作相對(duì)比較重復(fù)，比如每天查看各類(lèi)安全設(shè)備運(yùn)行是不是正常，有沒(méi)有什么高危的告警；主機(jī)上的系統(tǒng)日志有沒(méi)有異常，應(yīng)用程序、進(jìn)程、端口是否合理；有高危日志要進(jìn)行查看和處理，處理的過(guò)程中還要和別的部門(mén)打交道；根據(jù)業(yè)務(wù)要求開(kāi)通防火墻策略；系統(tǒng)上線(xiàn)進(jìn)行安全檢查；有新的漏洞報(bào)出來(lái)要全網(wǎng)掃描是否有此漏洞。長(zhǎng)時(shí)間做此工作后難免產(chǎn)生厭煩的心態(tài)。所以安全建設(shè)要保持樂(lè)觀心態(tài)才能更好的做好安全。

任何事情都是具有兩面性，再糟糕的事情中也有比較美好的一面，消極態(tài)度只會(huì)把事情做的更糟糕，只有樂(lè)觀積極的態(tài)度才能帶來(lái)更大的希望。一方面隨著國(guó)家的重視、法律的健全，企業(yè)對(duì)安全的投入也會(huì)越來(lái)越多。這就是安全行業(yè)千載難逢的好機(jī)會(huì)，在安全建設(shè)的過(guò)程中保持良好心態(tài)，每天能有一點(diǎn)點(diǎn)進(jìn)步，對(duì)個(gè)人的職業(yè)發(fā)展都有非常大的幫助。根據(jù)2020年的《網(wǎng)絡(luò)安全人才市場(chǎng)狀況研究報(bào)告》顯示，九成用人單位對(duì)網(wǎng)絡(luò)安全人才需求“看漲”，認(rèn)為這一需求將在中長(zhǎng)期增長(zhǎng)，其中58%的用人單位認(rèn)為，網(wǎng)絡(luò)安全人才需求會(huì)在短期內(nèi)大幅增長(zhǎng)。目前每年網(wǎng)絡(luò)安全相關(guān)專(zhuān)業(yè)畢業(yè)生僅2萬(wàn)多人，而中國(guó)在這方面的缺口高達(dá)50萬(wàn)至100萬(wàn)人，尤其是實(shí)戰(zhàn)型、實(shí)用型人才非常急缺，所以對(duì)進(jìn)入這個(gè)行業(yè)的人來(lái)說(shuō)都是非常好的機(jī)會(huì)。

隨著產(chǎn)品和技術(shù)的進(jìn)步，在以前比較難以解決的問(wèn)題，現(xiàn)在都在逐步的進(jìn)行解決。比如隨著大數(shù)據(jù)技術(shù)的發(fā)展，之前對(duì)海量數(shù)據(jù)處理分析上難以取得比較好的效果，現(xiàn)在的分析的效果就好了很多。隨著html5的發(fā)展，之前在可視化上比較難處理的事情，尤其是感知上就取得了非常大的進(jìn)步，各大地圖炮就很炫。簡(jiǎn)單插一句：過(guò)于關(guān)注界面的炫除了給領(lǐng)導(dǎo)看之外好像對(duì)安全的分析處理并沒(méi)有太多實(shí)質(zhì)的幫助。
從法律上來(lái)看，之前安全野蠻發(fā)展，很多人都不重視法律，出現(xiàn)了很多入門(mén)者無(wú)視法律的情況，這也造成了虛擬世界的亂象叢生。不過(guò)隨著法律的健全，大家對(duì)這塊意識(shí)都提高了很多，未授權(quán)的掃描等行為也減少不少。這些都是比較積極的方面，未來(lái)應(yīng)該會(huì)更好。

總結(jié)

安全建設(shè)的原則到底是什么，每個(gè)人的觀點(diǎn)可能不太一樣。這也很正常，一個(gè)健康的行業(yè)不應(yīng)該只有一種聲音。當(dāng)然還有很多的原則也很重要，但我認(rèn)為這幾個(gè)原則是安全建設(shè)中最重要的一些原則，這些原則適用所有的行業(yè)，不同規(guī)模的公司。在做安全任務(wù)、選擇安全工具的時(shí)候，可以參考這些原則，在這些原則做好后，再逐步添加其他原則，也是一個(gè)非常好是思路。

以上內(nèi)容為南京賽克藍(lán)德網(wǎng)絡(luò)科技有限公司原創(chuàng)，如需轉(zhuǎn)載，保留原作者信息。