安全工作「輕與重」的三層境界

02-03

湯勺的故事

道士鄧肯自襁褓時被師傅帶上山，朝尋道夕修心，不問山中歲月，只求功夫日日精進。一日，師傅走進柴房對正在劈材的鄧肯說，「山南大望郡郡守知法犯法，荼毒百姓，農忙之前務必除之。」鄧肯聽命轉身出門，忽又從門外探頭問師傅帶什麼兵器下山？師傅回答，「殺人而已，為何問兵器？」三日後，大望郡大亂，郡守被人用湯勺敲死在自家廚房裡。

很多時候我們關於安全的看法，其實與鄧肯的師傅是一致的，安全只關乎效用，不管黑貓白貓，能抓住老鼠的就是好貓。

只在乎效用，這句話聽上去就覺得圖樣圖森破，安全講究對症下藥，這是大多數從業者都知道的事兒，但是關於安全的輕重拿捏卻是分辨老司機和菜鳥的不二之選。

尷尬的統計結果

我試著統計了一下成語詞典里有關「輕重」的成語，最終的結果令人尷尬，貶義詞遠多於褒義詞，我想這也正是大家都看重「輕重」這個詞的緣由所在。

拈輕怕重，避重就輕，這應該是安全工作中最常見的現象之一。

某次安全評估之後，評估組提交了厚厚的一份報告給某央企信息管理部，報告提及核心業務系統高危漏洞數十個，利用這些漏洞可從互聯網直接獲取並篡改數據，央企某安全主管一看嚇出一身汗，要是真出了事，這個黑鍋至少是不少他一份了，於是他拽著評估組和自家相關部門一起碰頭商討。

評估組提出從網路、主機、數據、代碼和運維5個方面來進行整改加固，話剛說完，客戶這邊就炸開鍋了。

「這些漏洞都是代碼層的問題，開發團隊做完加固就好了。」

「其實把邊界訪問控制策略調整嚴格一點就行了嘛，沒啥大不了的。」

「歸根結底還是數據安全要有保障，我覺得重點就是加強數據安全防護。」

看著開發、運維和安全之間打太極，把皮球踢來踢去，安全主管一臉無奈，代碼層修補傷經動骨，人家開發說搞定難度太大，運維也不願意承擔責任，喋喋不休半天之後，大家對一個不是辦法的辦法妥協了，另外採購兩台WAF，採用虛擬補丁的方式搞定報告中提到的問題。

輕重倒置，頭重腳輕，這也是經常發生的另外一個現象。所謂頭重腳輕，無外乎本末倒置，做安全不得要領。

重規劃輕實踐，重管理輕技術。安全工作局限於紙上談兵或者喊喊口號，提到安全有組織有規劃有制度有宣傳看上去很美，但實際上沒有落地沒有實踐沒有支撐，這屬於政委型安全思路。

還有一類安全器材控，他們和攝影器材黨屬於同類人群，你出門要是帶個非全幅相機，估摸著只能看到他們的鼻孔，135的全畫幅已經無法滿足他們，出門長槍短炮還有三腳架，開著越野四處蹦躂，一身鳥牌衝鋒衣，平時話題只有德味哈蘇120畫幅，這就是他們的日常。安全器材黨亦是如此，進人家機房就彷佛到了頂級的安全展會，你會看到最全最貴最新的安全設備，當然這些設備所有的策略都是默認配置，為啥不優化，因為人家不會。

第三個現象是不分輕重，輕重失宜。企業內部儼然一個小三國，安全、開發、運維就像魏蜀吳三分天下，安全部門就像魏國曹孟德，挾天子以令諸侯，身披御賜黃馬褂，手持安全第一的尚方寶劍大殺四方。

業務變更上線必須先通過安全測試，測試發現所有漏洞一律修補完畢才通過測試，業務部門在前邊催，安全部門在後面扯，過於僵硬不分輕重的安全管理使得業務響應流程過於遲緩，大夥都苦不堪言。一日曹軍大營密探發現開發部門某員工上班時間瀏覽島國蒼老師來我大天朝數字公司指導工作新聞，曹孟德一怒之下關掉開發部門上網許可權。

不幹活，干錯活，瞎幹活，這就是典型的拿捏不好輕重而導致的結果。

打破規則的力量

馬爾科姆.格拉德維爾在《逆轉》裡邊引用過弱小的大衛打敗戰爭巨人歌利亞的故事，這其實就是說四兩撥千斤，拒絕穿上笨重的鎧甲，用靈敏來戰勝對方。在安全領域看似困難的挑戰其實可以用輕鬆的方法來解決，這就是打破規則帶來的力量。

所以說強勢的安全部門不需要以暴制暴，弱勢的安全部門也不必妄自菲薄，別把安全當成一種枯燥無味的工作，其實安全領域的強弱轉換、輕重平衡不僅僅是一門手藝活，它還是一門藝術活。

安全管理不是消滅所有的隱患，更不是與全世界為敵，戰略上重視安全沒錯，但管理上不要過於條條款款，安全管理應該舉重若輕，能通過技術手段搞定的，就不要把坑丟給用戶。舉個栗子，比如企業郵件用戶口令複雜度策略，與其每個月發通告提醒改口令還不如執行複雜度策略。

企業採購的安全工具和系統不要過於龐大複雜，輕量級模塊化的產品會留給安全管理人員更多的調整空間，不要把尷尬留給自己，花這麼多預算買回來的東西，用起來實際效果不好，二次開發難度太大成本過高不太實際，不用的話老闆會噴，家裡不是有那麼牛逼的產品，為啥你不用！用還是不用，自己挖的坑，含著淚也得填。

輕與重的三層境界

安全工作不是狂風暴雨，大夥也別妄想一夜解放全中國，清除一切牛鬼蛇神。現階段來看安全和便捷本身是一個零和博弈，在業務開展的便捷前提下，我們來交付適度的安全，理性對待業務系統帶著漏洞上線這個事兒。

狂風暴雨大家都會受不了，和風細雨大家可能會接受，潤物無聲這個境界咱就不奢望了。或者換個說法，在戰略上強調安全保障要狂風暴雨，戰術上技術支撐要和風細雨，而最終的落地最好是潤物無聲。

同樣輕重拿捏也適用於安全產品和系統，優秀的安全產品一定是在發揮作用的同時盡量避免用戶的感知，或者盡量減少用戶的參與度，正如網站安全防護從Agent發展到WAF，再到現在的WEB雲防護一樣。

最後再推薦唐代資深安全從業人員兼詩人韋莊關於「安全工作」的唐詩一首：

亂雲如獸出山前，細雨和風滿渭川。

盡日空濛無所見，雁行斜去字聯聯。

孫維高級安全顧問
中國信息安全測評中心華中測評中心
安在專欄作者
多年信息安全從業經驗，長期從事國家基礎設施網路安全評估檢查工作，擅長安全諮詢、規劃和培訓，對信息安全保障體系規劃和建設由深入理解和實踐。