摘要：本文作者利用十余年金融行业信息安全经验，分享一些企业信息安全的思考，包括安全的本质、安全原则、安全世界观、如何正确处理业务与安全、甲乙方关系等，提出了安全像可用性一样需要运维的理念，并对安全的发展趋势做出了一些思考。本文是安全工作的个人体会和心得分享。不同角度、不同立场的解读都会有偏差。不同的人有不同的看法，不求正确和统一。希望能给大家提供一些参考和帮助。

0x00 安全概念安全

1. 安全的本质

在企业做信息安全的时候，会遇到很多困惑。企业信息安全应该如何做好？管理、技术、流程和人员哪个更重要？如何建设、培养、激励安保队伍和安保人才？我带着这些问题参加过许多安全峰会。虽然有很多好的会议和演讲者分享了很多经验，但相比之下，更多会议和演讲者的做法仍然不够专业。常用套路：从一堆安全事件开始，说说热点；中间部分讲的是所谓的解决方案或想法，大多数代表其背后的利益集团，要么是产品，要么是先想法后产品；然后匆匆结束。 PPT很互联网，列出了很多数据，但是没有解释清楚。第二部分的解决方案或思路能否解决第一部分的热点问题？在企业信息安全人员意识普遍提高的今天，此类会议的市场将会越来越小。

在涉足各个安全圈子，和各种安全人交往之后，我越来越渴望一个困扰我很久的问题的答案：安全的本质，或者说，安全的本质问题。

互联网本来是安全的，但是自从有人研究安全之后，它就变得不安全了。 SQL注入攻击自1999年首次出现以来，已成为互联网安全的头号敌人。注入攻击的本质是将用户输入的数据视为代码执行。开发者在设计用户输入功能时，只是提供了一个用户交互功能。根据用户输入返回动态页面结果以获得更好的用户体验只会被恶意人员滥用。又如，钓鱼网站已成为许多金融机构的主要安全威胁。 2011年之前，很多金融机构的保安人员甚至没有考虑过这个问题。直到今天，人们都会觉得自己很无辜。企业网站不存在安全漏洞。正是钓鱼网站的狡猾和用户的“愚蠢”，才让不法分子有机可乘。

在上面的两个例子中，开发者信任用户输入，用户信任钓鱼网站，从而导致安全问题。我个人认为，安全问题的本质是一个“信任”的问题。计算机用0和1定义了整个世界，而企业的信息安全问题就是解决海量的0到1之间的灰度数据，利用各种措施将灰度数据识别为0（不可信），或者1（值得信赖）。相信）。信任是安全问题的根源。例如，企业在设计安全方案时，必须做出基本假设：默认信任安全人员、开发人员、运维人员；当安全要求比企业更高的国家设计安全方案时，安全人员、开发人员、运维人员可能默认不被信任。不同的信任假设决定了安全解决方案的复杂性和实施成本，安全需要进行权衡。

2. 安全原则

（一）安全是一个持续改进的过程

如何防止服务器被不明武装分子攻占？有没有类似“妖镜”的工具？一旦安装，就可以高枕无忧，让恶意攻击者无处藏身。是否存在万能的“上帝之手”？帮助我们摆脱所有安全问题？不幸的是，没有。在解决安全问题的过程中，不可能一劳永逸地解决。很多安全厂商在宣传自己的安全产品时，都会大肆宣传，显得无所不能。从早期的防火墙、防病毒、入侵检测到现在的态势感知、威胁情报、智能分析，安全防御技术本身并没有革命性的变化，一套入侵检测技术被包装在一个名词中，可以去从 IDS 到 IPS、SIEM，再到现在的威胁情报。本质上，它仍在制定检测规则并识别异常模式。事实上，安全产品和安全技术需要随着攻击手段的发展而不断升级，也需要有人来操作。否则，安全防护将成为稻草人、马奇诺防线，容易受到攻击方式的变化。例如，在大多数公司分支机构，保安人员都是兼职的。如果日常运维能够保证安全设备的可用性就好了。我们也可以期望，这些每天忙于救火的保安人员能够听懂大量的各种安全警报。 ？还有比入侵检测报警日志更难看的日志吗？

早期，利用系统漏洞进行攻击是主流。安全防护主要集中在防火墙和入侵检测上。仅开放了少量端口到 。互联网资产管理主要集中在IP和端口管理上。随着攻击主流转向Web攻击，安全防护升级为Web安全防护，Web应用防火墙（WAF）出现。互联网资产管理也转变为以第三方应用和开发使用框架为主，不再是旧的资产管理理念。问渠有多清，乃流水之源。有效的安全需要根据不断变化的安全形势和矛盾不断改进和调整。

(2)纵深防御

当我们飞行时，从购买机票到最终到达目的地，如何保证所有乘客的安全的过程就是纵深防御的一个例子。从购票实名制、机场防爆安检、行李安检、人、票、证三证一致，到机场登机检查、飞机安全员、禁飞等各项安检措施的落实起飞降落时使用手机，一切都一丝不苟，是纵深防御。具体应用。在各种入侵案例中，基本上都是利用Web应用程序的漏洞。攻击者获取低权限，然后上传更多低权限文件，尝试执行更高权限的系统命令，并尝试将权限提升到服务器上的Root。并进一步横向渗透，获取更多内网权限。在这种典型的攻击路径中，在任何环节设置有效的安全检测和防御措施都可能导致攻击被检测和阻止。目前，在安全防护技术还没有革命性发展的情况下，深度防御涉及到从网络层、系统层、应用层、数据层、用户层、业务层逐层防御，共同构成了整个防御体系。防御系统。

(3)不对称

对于攻击者来说，只要能够找到企业系统的弱点，就可以达到入侵系统的目的。对于企业信息安全人员来说，必须找到系统的所有弱点，不能有任何遗漏或滞后，才能保证系统的安全。不会出现任何问题。这种不对称是黑客和安全人员思维方式不同的根本原因。这种不对称也是企业信息安全工作举步维艰的根本原因。破坏总是比建设容易。如何扭转劣势？保安人员也需要不对称思考。解放军在与美帝国主义对抗的博弈中发明了反介入战略，并研制了各种类型的导弹，特别是反舰弹道导弹，以阻止美国航母进入第一岛链。如果解放军耗尽国力，拼命建造航母来对抗美帝国主义，进行军备竞赛，最终可能会导致苏联解体。

那么应该发展哪些非对称安全武器呢？各种“蜜”产品应用层出不穷，如蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件等。它们在面对攻击时提供安全对策，使恶意攻击者很难彻底击败它们。撤退。据我了解，已有不少企业进行了商业规模部署，并在实际对抗中取得了不错的效果。这应该是未来安全防护发展的一个有益方向。

3.安全世界观

对于安全人员来说，最重要的是解决安全问题的思路，以及看待安全问题的角度和高度，而不是掌握了多少漏洞，获得了多少权限，这才是安全世界观。我的安全世界观概述：信息安全是人与人之间的博弈和对抗，是人与人之间的战争。交战双方争夺的是信息资产的控制权，即在博弈和对抗中，必须牢牢掌握对各种信息资产的控制权。

0x01 正确处理几种关系

1. 科学与艺术

科学讲究严谨，艺术讲究美。安全既是一门科学，也是一门艺术。如何科学地、艺术地管理安全，也需要方法论和理念。就像画画一样，老师再厉害，也不可能教你画出课堂上传世的杰作，但这并不能否定画院老师们的贡献。画院的老师会教一些基本功，一些方法，介绍一些流派，开阔你的视野。在此基础上，只有入门，掌握基本功，再辅以自己的才华和勤奋，才能创作出好的作品。在企业安全工作中，安全的科学性体现在安全体系和具体安全技术都是严谨的。在企业内部系统和网站的运维中，一些开发和运维同事感觉在内网很安全。它已被排除在该国之外，从而放松了安全要求。事实上，攻击者通过一些边缘攻击进入内网并进一步渗透内部服务器的案例很多。安全的艺术性体现在安全工作的应急性上。并非所有情况都适用相同的安全要求。需要不断的持续努力，权衡利弊，选择当前形势下最好的选择。例如，为内部服务器和面向互联网的服务器实现相同的安全基线是不现实、不经济且困难的。实际情况中，两套基线标准较多，互联网服务器的安全要求也更加严格。

2、管理与技术

企业信息安全中，安全管理和安全技术哪个更重要？我认为这是一个错误的命题。从事安全管理的人都会认为三分是技术，七分是管理。当然，安全管理也很重要。要抓好安全体系建设，出台各项安全体系政策，落实各项安全过程控制，开展各项安全审计和检查。公众的不满情绪沸腾，但结果往往并不好。搞漏洞挖掘、攻防的人会觉得搞安全管理的人太弱了。事实并非如此，事实也并非如此。每天只是在系统和系统流程上工作。你能阻止我获得 0day 吗？你能阻止我吗？能挖坑写PoC吗？仍然坚持纵深防御的原则。如果没有技术和自动化手段，安全系统政策和程序就无法有效实施。要管理10台服务器和一台服务器的安全，安全策略和流程不能相同。只有安全技术只能破坏，而破坏远比建设容易，对企业安全建设毫无用处。如果你专注于安全管理，你也可以了解你的对手并像攻击者一样思考。白帽子了解安全技术，学习一些安全管理知识，从安全建设的角度思考如何防止破坏。相信保安人员的境界将会提高几个层次。

企业安全，只要是与安全有关的事情，都可以归结为安全团队的职责和任务。如何平衡呢？我想这还是一个偶然。安全的核心职责和任务没有变化。与此相关的优先事项。不这样做就会导致死亡，比如互联网上的数据安全、核心业务系统安全、网站和服务器安全。将短期快速止血与长期安全机制建设相结合进行迭代改进。如果精力、投入、能力都不够，那就把80%的资源投入到最关键的领域，比如数据安全、互联网系统安全等。

3. 业务与安全

这个关系话题很有趣。刚开始工作的时候，我以为安全是为业务服务的，但安全却阻碍了业务的发展。随着认识的加深，我的认识发生了一些变化。安全是为业务服务的，是业务的属性之一。不安全或者没有安全考虑的企业就像不合格的次品一样，最终会被市场淘汰。本质上，安全是一种服务，安全服务是安全团队向用户和客户提供的服务类别。如果安全方案和安全需求的设计不是为了最大化这项服务的价值，那么在充分竞争的情况下，安全团队就会被市场淘汰。我经常问自己和我的团队，如果公司不是只有一个安全团队，而且我们的安全团队在公司范围内不具有垄断性，而是有其他安全团队也提供服务，一起竞争，怎么办？我们提供的安全服务还能被用户认可并付费吗？我们对安全的传统看法是，你不能做这个，也不能控制那个。安全是业务的障碍，安全总是降低业务发展的效率。我反对，但这就是企业中通常采取的安全措施。由于这种情况，企业安全总监首先必须反思。这是因为安全团队在设计安全方案和需求时，并不是基于业务和服务，而是基于安全团队可以省时省事、承担尽可能少的责任的理念。后者设计的安全方案当然会阻碍业务发展，降低效率。如果一套安全解决方案和需求能够在保证安全的同时，对业务发展影响很小或者不降低，业务团队、开发和运维肯定会欢迎。谁愿意冒巨大的风险，强行把新业务推到线上？ 。如果安全团队能够与业务、开发运营一起分析，站在对方的角度设计方案和实施需求，用户就会从心底里认可安全团队和安全服务。在实践中，我遇到很多这样的情况。坚持安全服务方针，会让安全团队的旅途更加顺利。

4、甲方、乙方

乙方是指为企业提供安全产品和服务的一方，包括安全产品原始制造商、代理商、集成商和外包公司。我把甲方和乙方的关系理解为灯芯和油的关系。谁离开谁就失败。有好的灯芯和灯油，也有坏的灯芯和灯油。关键是每个人都要恪守职责，履行职责。我们经常见到的乙方老板说，贵公司是我们的大客户，我们一定会提供良好的服务。乙方的销售团队将与您合作。我们的产品和服务是最好的，您使用我们永远不会有任何问题。我再问一下，你们公司为我们提供的服务怎么样？你们的产品和服务有哪些优势？您了解我们的实际问题和需求吗？基本上90%的人都无法接听电话。更有什者，一些老板和销售人员的回答更是荒唐可笑。我们的产品和服务是最好的。你会后悔没有使用它们。我也想保持冷静的心态来回复。我了解你们的产品和服务。他们都很好。希望有机会合作。我听到很多乙方对甲方的抱怨，主管什么都不知道，所以他只知道不会发生任何事情，他会承担责任。保安人员什么都不知道，只是指挥我们干活，把我们工程师当人对待。在乙方眼里，90%的甲方都有这样的印象。

我无意为任何一方辩护，包括我自己作为甲方，因为双方都是从自己的立场出发，这是可以理解的。甲、乙双方均需审核。我理解甲方应承担自己的责任。无论采用什么方法解决安全问题，乙方必须能够识别可以解决哪些解决方案，并成为该计划的可靠成员。与乙方的关系很简单。如果乙方能为甲方创造安全价值，就会给乙方匹配等额的安全价值，如果我们继续长期合作，否则对不起，浪费生命再听你一秒钟。我理解乙方应该对自己的承诺负责并理解你的客户。合同的成功签订并不意味着一切都会好起来。合同的实施仅仅是一个开始。如今，甲方的识别能力和社会口碑传播效应越来越强。一锤子买卖只会让自己的路越走越窄。没有人是傻子吧？

0x02 几个问题

1、什么样的安全才是安全的？

企业领导、IT部门经理、安全人员都会问：什么样的安全才是安全的？这个尴尬的问题转化为：什么样的安全才是有效的。我看到一些企业做安全工作，部署各种安全设备，设计各种安全管理措施和流程。领导也非常支持，行动得雷厉风行。安保预算和安保人员也充足。但问题仍然存在，安全有效性受到影响。出了点问题。设备部署好、规则到位了吗？报警正常吗？设备所依赖的条件（例如镜像流量）是否始终正常？您了解您所保护的企业吗？更重要的是，有谁能看懂报警日志吗？很多安全技术人员，其实就是安全设备运维人员，每天要监控设备的正常性，处理各种安全流程，撰写各种安全报告，填写各种管理制度要求的信息，参加各种培训教育，还有时间研究一下你是如何管理自己的设备并落实安全控制措施的？以入侵检测系统管理为例，安全人员必须根据要保护的系统和网站调整规则，监视安全有效性所依赖的所有条件，以安全的方式处理警报，最重要的是必须进行渗透测试，例如，尝试攻击互联网上的系统和企业，看看入侵检测系统是否报告警报。没有安全渗透测试，安全监控的有效性只是概率，要看运气。当您将其作为可用性来操作时，安全性是有效的。在此前提下，我建议将安全分为几个框架：安全防护框架、安全验证框架、安全对策框架、安全运营框架。支持安全的人员和机构流程都包含在安全运营框架中。四个框架之间的功能分工从名字上就很明显了。这四者构成了一个安全体系，只有这样的安全才是安全的。

2. 安全团队和安全人员

企业信息安全建设需要什么样的团队和个人？我们从《西游记》中寻找答案。

唐僧西方求经五人团，先看一下团队​​成员的构成：

唐僧的领导能力有限，业务能力（降妖擒妖）等于零，但他是高手，有“领导地位”。他可以用“权力”惩罚不听话的徒弟，让三个“属下”不得不听，不敢不听。但他对佛陀一心一意，目标明确。尽管困难重重，他到西方求取佛经的决心依然坚定不移。

孙悟空拥有最强的“业务能力”，对邪恶有多恨，敢说敢做，但脾气不好。学习西方不是他的目的，而是他的承诺。为了工作快速开展，尽快完成目标任务，他会向孙悟空妥协甚至妥协。 “领导”与“同事”分手，贡献最大，但他在这个工作团队中几乎没有位置。他之所以留在这个队伍里，只是因为他的工作（抓妖除魔）与他密不可分。

八戒能胜任一般工作；他很懒，还有点小性感。他拍马快，随机应变，善于运筹帷幄，忍辱负重，懂得沟通协调。但整个夺天过程中他做的事情最多的就是寻找住所、寻找食物、探路、打水等。这现在也体现了他业务能力的全面性和多样性。虽然他在关键方面不如孙悟空那么出色，但是却比孙悟空好用。这是他的优势。他最大的优点就是知道领导在想什么。他是最能理解唐僧想法的人。每次他都答应了，就按照唐僧的话去做。这极大地满足了唐先生作为领导者的优越感，因此最受唐和尚的喜爱。但唐僧毕竟是管理大师，他不是一个只爱听好话的人。他知道谁能帮助他达到目的，所以每次孙悟空心情不好回到花果山时，他都会让猪八戒来找他。当然，当猪八戒经常遇到师父被妖怪绑架、散伙的时候，稳定军心的正是孙悟空。因此，这两个业务骨干起到了很好的相互制约作用。

沙僧的业务能力与八戒不相上下。他诚实且有自知之明。他知道自己在团队中的位置，做事诚实，不上蹿下跳，也不做小动作。白龙马出身十分硬朗，为人低调、沉默寡言，是一位脚踏实地的执行者。他有着和唐僧一样的信念，努力工作，不计较得失，除非死在路上。

师徒五人都有着明显的缺点。然而，他们组队之后，却爆发出了强大的战斗力。他们一一击败了西天路上的一切妖魔鬼怪，最终完成了“西天取经”。大业。我们可以明白这样一个道理：团队的成功不能靠单打独斗。团队中的每个人都有自己的特长，团队中的每个人都必须发挥自己的作用来实现团队的目标。

唐僧的团队其实是一个互补的团队。每个人都有自己的特点。关键是领导者是否有识人、用人的能力。有德的人——唐僧带队，有能力的人——孙悟空攻坚克难，智者——孙悟空出谋划策，勤奋的人——沙和尚、白龙马执行力强。猪八戒虽然特殊，但也有自己的优点：善于运筹帷幄，忍辱负重，善于沟通协调。首先是性格互补、聪明愚笨、信仰坚定的唐僧，豪爽正直的悟空，狡猾自私的八戒，踏实肯干的沙僧。公司。其次，优势互补，方向明确。唐僧，控制悟空的领袖，悟空，能够降妖除魔的先锋，八戒，懂得沟通和协调，沙僧，一个勤奋努力的员工。最终，他们的身手相得益彰，唐三藏人缘好，会念咒，悟空善于打斗，有洞察力，聪明，八戒算计聪明，沙和尚肯吃苦，有实力。这确实是一支优势互补、能力强大的团队。

建立安全团队也是如此。保安队伍建设的目标是所有保安人员都具有攻防兼备的能力。当前的问题是攻击者没有防护思想，防护人员没有攻击的能力和思维，无法知己知彼。安全人员的发展方向有三个：安全防护、安全运营、安全发展。安全人员需要攻防兼备，掌握一门开发语言。 CCIE、CISA、CEH、高级将成为保安人员就业证书。

非互联网企业最头疼的问题之一就是安全人才的招聘和培训。让非互联网企业的CSO头疼的是，即使聘请了综合能力较好的人才，但由于非互联网企业的性质，安全团队人数较少，投入有限。如何留住人才？我的做法和建议通常是最适合您的。究其原因，请参考唐僧师徒西天求经五人队的组成。在一个发展完善的团队中，不可能每个人都是孙悟空或者猪八戒。而是让具有不同优势和特点的成员相互补充，利用人的所长，实现团队和个人的共同发展。我从不要求团队成员永远留在团队中。这是不现实、不科学的。我只是希望团队成员从加入团队的那一刻起，就尽职尽责，为团队做出贡献，不断成长、增值。这是我一直追求的。团队和个人双赢的目标。作为一名团队领导，长期的实践告诉我，表达感情、提供与贡献相匹配的福利很重要。留住人才没有捷径。拉近员工、了解员工、帮助员工，就是这十二个字的公式。

3、企业信息安全发展趋势

(1)安全测量

安全测量这个术语过于字面化。翻译过来就是如何衡量企业安全的有效性。安全者遇到的最大挑战是无法解释安全的价值。安全是一件非常微妙的事情。它不像商业，可以通过销售额和用户数量来衡量。它不像操作，可以通过可用性指标（例如故障数量）来衡量。它也不像研发，可以通过 bug 数量、项目完成率和扩展来衡量。特性、专利等。安全性往往是偶然的。有可能你一年什么都不做却没有任何问题；也有可能你花了很多精力、很多钱，但问题还是频频出现。因此，我们很难用单一事件指标来衡量数据安全性好坏。最终，这变成了运气问题。

企业对做安全的结果负最终责任。对于安全效果来说，有两个核心指标最为关键。一是漏洞数量，二是安全事件数量。没有一家安全厂商愿意承诺这两个关键安全指标。他们通常只愿意承诺所销售设备的功能效果，或者服务的响应时间。由于漏洞的数量涉及公司的发现功能，因此第三方漏洞报告平台每年都像乌云。漏洞数量的前十名中的大多数是互联网公司。但是，这并不意味着互联网公司在安全能力方面落后。相反，由于互联网公司面临安全威胁和自我发现的能力（尽管各种SRC是白帽子提交的安全漏洞，因此可以理解，它们是由于自我发现能力的提高而引起的），因此发现的数量已被发现的数量漏洞很高。许多尚未发现安全漏洞的公司不是因为它们做得很好，而是因为他们无法发现它们。在这种情况下，有必要将漏洞的数量分为两类。一个是通过公共测试和SRC获得的外部报告的漏洞数量，另一个是通过其自身的安全保护和检测发现的安全漏洞的数量。一些金融机构已经引入了专业的蓝军团队进行进攻和防御。对红军安全保护和安全检测功能的检测将是安全测量的发展趋势。

（2）对历史问题的免疫力

当前的运营和维护管理标准是服务管理系统。该系统也称为ITIL操作和维护过程管理。在ITIL的许多过程中，有一个核心过程：问题管理。有一种有趣的问题管理方法。通过问题管理的思维方式，可以通过从一个示例和其他案例中提出推论，从而使企业中发生的所有历史缺陷都可以不断改善，从而实现了对历史缺陷的免疫力。由于安全性应作为可用性操作和维护，因此安全管理也应能够免疫历史问题，这也应该成为安全的未来趋势之一。我理解有两个含义。一种是彻底纠正企业中发生的安全漏洞和安全事件，分析从人，技术，过程和资源的四个方面的问题的根本原因他们。保护，从根本上解决现有的安全问题并实现对历史安全问题的免疫力。第二个是100％确认已部署安全措施的有效性。例如，如果部署了反病毒客户端，则必须注意反病毒客户安装率和正常速率的两个指标。这两个指标可以达到99.99％的指标，应视为具有良好执行，安全性和有效性的公司。还应在部署的安全措施中确定类似的指标。第二点实际上不是安全趋势，而是常识。如今，随着各种安全概念在无尽的流中出现，我希望越来越多的政党A和B可以恢复常识。

（3）安全成为一个属性

越来越多的公司正在关注信息安全。这种关注可能是主动的，但仍然主要是被动的。无论如何，当今的安全人员面临着越来越恶化的安全环境，但他们比以往任何时候都获得了更多的资源和支持。有很多，这反映在以下事实中，安全将成为各种系统甚至人才的关键属性之一。例如，十年前，很少在系统需求阶段看到安全要求，在测试阶段的安全测试以及开发人员需要在安全编码开发标准方面接受专业培训。十年后，这些是常见的，甚至是标准的（默认）。对安全知识和技能的掌握也已成为开发人员的必需技能，从安全人员来说是简单的必要性。实际上，具有强大安全意识和安全开发能力的开发人员的薪水水平和开发空间要高于具有单一技能的计划。成员。尽管程序员使用代码改变世界，但他们也有义务更好地保护世界。安全将越来越多地需求，并将成为安全开发趋势之一。

（4）安全人才的差距正在增加

安全人才差距越来越大，所有公民社会组织都必须意识到这一点。越来越多的企业党A要求党B建立自己的专业安全团队。从市场经济的角度来看，需求的增加肯定会导致更出色的人才加入安全行业。这对原始安全人员来说也是一个挑战。安全行业是生活和学习的典型例子。如果您在电流上航行，如果不前进，您将撤退。所有安全人员必须有同样的感觉。如今，当获取信息变得越来越方便时，可以通过短期和高剂量培训快速提高安全知识和技能。许多专业的培训机构能够在装配线中训练具有良好战术素养的白帽子。但是，安全意识和思维模式可能会发生变化。以及平衡的能力，您需要不断发生冲突，以解决各种实际问题并总结和改进。

生活中最美丽的事情是各种经历和难忘的经历。该过程更加痛苦，但结果更好。如果您像我一样，并且在公司安全方面遇到了各种“痛苦”的经历，那么您肯定会欣赏并错过这一经验。

本文部分引用了Wu 先生的“白帽子谈论网络安全”的内容和观点，我要表示感谢。

附：

长按以识别QR码并与我通信。