鑽石舞台

自2022年5月起，「諸子筆會第二季」正式拉開帷幕。經過對首屆活動復盤，我們在堅持大原則、大框架、主體規則基礎上，優化賽制特別是獎項設置和評獎方式。13位專家作者組成首批「筆友」，自擬每月主題，在諸子云知識星球做主題相關每日打卡，完成每月一篇原創。除了共同贏取10萬元高額獎金，我們更要聚焦甲方關注，發掘最佳實踐，弘揚分享精神，實現名利雙收。本期發文，即諸子筆會月度主題來稿之一。

企業安全治理時繞不開的事

文 | 王忠惠

新人該如何在互聯網企業的信息安全工作中遊刃有餘？面對門類繁多的信息系統，如何為不同的業務系統和辦公系統實施恰當的防護手段？面對這些問題，相信每一位被分配安全工作的人，都想在自己的管轄領域內施展手腳，以證明自己的安全專業性。

然而在我看來，盲目地建立「大一統的防護」是得不償失的。即使不考慮一次性的建設實施成本，後續通過長期的安全運營和策略優化獲得的安全價值和產出是否足以覆蓋公司的投入和個人的績效，也都缺乏科學客觀的衡量，難免有自賣自誇之嫌。

建立對公司有幫助、有價值的安全工作，第一步考量的還是個人的職業性。認識公司，了解業務，從公司的工作流程中發現安全需求和安全價值，是比立馬着手實施一些安全管理措施和安全防護技術之前更需要通盤規劃的工作內容。

有人會說，雖然我在當前公司入職不長，但我在信息安全和同類業務已經幹了五六年，當下公司怎麼開展同類業務早就一目了然。誠然，同類業務經歷有利於我們更早地規劃防禦，但也需要重視當前組織與其他組織的差異，既要看業務構成、延伸上的不同，也要看部門、人員在內外協調合作的不同，這些異常會體現在同類業務建立了不同風格的業務系統，並由於不同時期的建設方式遺留不同的問題待解決。

公司的組織結構和動員能力最終會影響軟件系統的技術架構和業務流程。比如今天一個垂直型部門，是不可能像扁平型部門那樣建立高效的微服務體系和快速周期的業務迭代的；一個業務主導型的部門很難有深度的技術研究，而會更專注於如何高效地實現業務柔性管理。你所在組織的動員能力和業務差異會深刻影響信息安全工作的開展，因此一直很有必要熟悉公司的各項業務，了解各部門的職責分工，建立業務清單，明確業務歸屬，在業務價值之上尋求安全價值的落地。

通盤了解業務不能一蹴而就，要求做好手頭的信息安全工作，就需要發揮專業性了。也就是全面地梳理各類信息系統，了解系統存儲的數據，熟悉各部門如何用系統開展各項業務工作。

這裡的重點是全面。技術手段和工程進步可以幫助我們進行更細顆粒度和更複雜關係的梳理，如將資產梳理到API接口級別或是業務流與數據字段一一關聯的程度，但所有工具只是展示現狀，都沒有解決資產全覆蓋和風險識別無遺漏的問題，因此在我看來，全面的感知比較重要。

這是一種可容忍的科學治理態度，適當接受部分已知的威脅和入侵一定會發生，但知道會在哪一處發生；不能估計危害及影響，但會做好應急和處置的準備，以及必要時的完全切割。有對業務的逐步熟悉了解，建立全面的系統梳理相對會清晰很多。

當然，今天的軟件服務如此豐富，除了自研、外采的系統，部署在客戶網絡環境的應用，公共SaaS、專有SaaS以及供應商和合作夥伴所使用的各種系統工具，早就已經嵌入到我們的業務系統和工作流程內。因此我們要從廣度和深度進行分別的梳理。對系統、數據進行梳理，也對上下游的技術關係進行梳理。防護什麼、改進什麼、響應什麼、處置什麼、熔斷什麼都是基於通盤感知下的治理手段，給業務方提供能力清單，承諾基於通盤梳理和安全評估能夠給予的安全保障水平，提前準備必要的取捨和常規的應急資源。同時，信息安全團隊也通過提高自身的能力，將感知和結果對應起來，建立長期可提升的價值。

信息安全的很多工作是常態的、可持續的。隨着公司業務的發展擴容，技術的迭代演進，業務、產品、運營和技術都會發生改觀，底層的安全邏輯也會發生變化。因此需要我們持續地改善網絡安全架構，並從系統功能內建立安全措施。

從本文開頭我就一直很反對「大一統的防護」，提倡因地制宜，而在長期的日常工作中，更提倡深入業務和技術，將安全能力內置於業務和技術，從而消除非必要的安全防護。

今天同行們都在關注怎麼衡量安全產品的產出和價值，是發現了攻擊數量和不同類防護產品占比，還是阻擋的入侵數量，亦或是具備N-day的防護能力。

在我看來，攻擊對於沒有漏洞的系統不過是無效請求，大規模產線本身具備處理大規模高並發流量的能力，何況類似的DDoS攻擊；入侵更是發生在防禦之後，是安全產品無效的表現；而最後的N-day、0-day，我看到的更多是廠商們事後誇張的公關宣傳。怎麼修補中間件的0-day風險？要不要修？怎麼修？考驗什麼？關鍵還是信息安全團隊的安全研究和風險研判能力，自身系統的防護水位和常態的處置能力，更是組織對信息安全部門提供的動員保障能力。

為了做好以上這些，我們需要持續改善安全架構，並將安全功能內置於各類應用系統之中。今天，越來越多的組織開始實踐SDL就是比較好的現象，更有某類業務系統自身具備攔截惡意IP、封堵惡意請求以及全鏈路防控等方式，也有越來越多的部門配備安全響應人員協助動員，這些都是安全工作與業務、技術持續融合共進的方向，安全從業人員也將有更大更長的有作為、能作為的空間。

隨着安全業務的分化和深入，今天的安全工作也有更多的差異，包括治理、合規、風控、技術、工程等角色，每一類角色既要掌握管理手段，也需要具備技術能力。

當下不必去想如何平衡技術與管理的比重，設計出好的技術方案與設計出好的管理規則都需要心智，需要每個人的專業性和職業性的結合，那些一成不變和總結成熟的領域終將會失去魅力。要去解決問題，而非引入概念，並通過建立系統性思考，利用積極因素和消極因素構建體系化防禦的藍圖，並保持持續革新，讓這些思考和方法保持有效。

最後，還要將個人成長與團隊成員的共同成長結合起來，這其中我也有一些思考和認識，期待後續與大家的討論。