close

自2022年5月起,「諸子筆會第二季」正式拉開帷幕。經過對首屆活動復盤,我們在堅持大原則、大框架、主體規則基礎上,優化賽制特別是獎項設置和評獎方式。13位專家作者組成首批「筆友」,自擬每月主題,在諸子云知識星球做主題相關每日打卡,完成每月一篇原創。除了共同贏取10萬元高額獎金,我們更要聚焦甲方關注,發掘最佳實踐,弘揚分享精神,實現名利雙收。本期發文,即諸子筆會月度主題來稿之一。

安全之變與不變

文 | 肖文棣



肖文棣

晨星資訊安全架構師


晨星資訊安全架構師,負責應用安全設計、管理和評審等工作,OWASP中國廣東分會負責人,華中科技大學軟件工程專業工程碩士學位。

萬物恆變-變化是永恆的主題

牛頓的第一定律告訴我們,萬物要麼靜止,要麼在運動,由於靜止是相對的,因此萬物都在運動中,而運動是永恆的。運動停止,系統就要歸於寂滅,也就是熱力學第二定律所說的墒為0,系統歸於寂滅。

萬物都在運動,也就意味着萬物都在變化中,這就是萬物恆變。這是宇宙運行的客觀規律,安全也不例外,所以安全之變不用大驚小怪,習慣就好。

安全本身在變化中

安全本身的概念也在不斷擴展和變化。《CSO進階之路》一書中講到了「CSO要全面了解安全的概念」。信息安全的概念伴隨着信息技術和信息化的發展而演進。信息安全的概念起源很早,但一直到20世紀40年代通信保密才進入學術界;20世紀50年代,科技文獻開始出現「信息安全」一詞;到20世紀90年代,「信息安全」逐步進入各國和各地區的政策文獻。

國際信息系統安全認證組織將「信息安全」劃分為10大領域,包括物理安全、業務連續和災難重建計劃、安全結構和模式、應用和系統開發、通信和網絡安全、訪問控制領域、密碼學領域、安全管理實踐、操作安全、法律合規和道德規劃。

進入21世紀,「信息安全」的範圍不斷擴大,包括國家機密、商業秘密和個人隱私保護。同時信息安全作為一個大的概念又引申出信息主權、信息疆域、信息站等一系列概念。

2003年美國發布了網絡空間戰略的國家文件,「網絡安全」和「網絡空間安全」更成為業界關注的重點。隨着我國《網絡安全法》的發布,網絡空間安全成為法律的要求。之後隨着歐盟《GDPR》和我國《個人信息保護法》的發布,個人隱私數據保護也成為熱點。所以從歷史看,安全的範圍也是在不斷擴張和外延的。

安全依賴的外部環境在變化中

安全不是獨立存在的,是依賴於外部環境而存在的。比如公司就一直處於變化中:營商環境在變化,經營範圍在變化,監管和合規的要求也在變化。

比如我國對課外培訓機構的監管一直在調整,課外培訓機構可能就因此失去了存在的意義和價值,進而導致課外培訓機構對應的安全部門自然就沒有了存在的價值。

再如安全涉及的法律也在變化。比如此前美國發生了安然事件,從而引入了薩班斯法案,對於上市公司的安全有了新的要求。歐盟越來越重視個人隱私數據,於是整合了過去了相關安全法律,推出了GDPR,嚴厲打擊泄漏個人隱私的行為。而後我國在參考了歐盟GDPR以及相關法律事件的基礎上,推出了《個人隱私保護法》。這些一系列法律的提出也會對安全本身產生影響,比如越來越多企業開始重視個人數據安全,並且設置相關的崗位。

又例如房地產行業低迷,遊戲行業低迷,導致資本機構減少房地產或者遊戲行業的投資,對應的安全相關活動也會進行調整。而當前大力發展B端業務,國家對於個人數據信息的保護加碼,使得企業必然要調整自身的安全活動來適應這些變化。這就是隨變而變,這也是業務發展的要求。

不變應萬變

萬物恆變,安全自身在變,安全的依賴也在變,所以安全之變不是偶然而是必然,我們因此要擁抱變化,以不變應萬變。

金庸先生在《倚天屠龍記》里對九陽神功進行過描述,其總訣就含有不變應萬變的道理:

他強任他強,清風拂山崗;

他橫任他橫,明月照大江。

他自狠來他自惡,我自一口真氣足。

這其實就是在表示,無論外界怎麼變化,只要立足於自身的根本,就可以如清風明月,立於不敗之地。

安全的不變性

安全的根本是什麼?筆者認為是安全的不變性;安全的不變性是什麼?筆者認為是安全存在的價值。安全不是孤立存在的,要依賴於業務,安全存在的價值是為了業務保駕護航。但現在很多人對於安全的理解變成了「安全可以獨立存在」,一幅天老大,我老二的派頭,這個觀點是要不得的。

安全不僅僅是成本中心,隨時可以優化掉,安全也不應該是利潤中心,過度追求安全的輸出。安全還是要回歸本我,做好為業務保駕護航的事情。一切安全的活動都應該圍着這個根本而開展。當我們應對安全之變的時候,根本應該不要變。

安全不是沒有成本的,不是所有的安全問題都可以解決且必須要解決,安全的風險處置一定要包括接受風險的選項。實際上,處理安全問題,就是將風險降到可以接受的程度,不存在零風險的情況。絕對為零的風險是不存在的,只要系統在運行,就一定會有風險,這一點必須要理解的

取捨

圍繞安全之變,我們要圍繞安全不變性的根本進行取捨。魚與熊掌不可兼得,貪心不是好事情。當外部環境發生變化的時候,安全部門要主動應對,要與業務部門及時溝通,了解他們的期望,並且與公司戰略進行對齊。不應以計劃不變為藉口進行塘塞,錯過應變的最佳時機。

安全不是安全部門的事情,是整個公司的事情。所以公司有變,安全相關活動也會有變化。比如當企業沒有預算夠買商業產品時,可以通過群策群力的方式,解出可能實施的辦法,或者推遲實施,經過評估後接受風險。需要注意的是,不去實施是一回事,不評估是另外一回事,知道風險但接受風險遠比連不知道風險要好得多。

安全之道,在於取捨,安全之道,在於緊緊把握自己的中心,根據外界條件進行調整。希望大家能夠在紛繁變化中立足於本心,和企業一起度過難關。

推薦閱讀

2022諸子筆會

【5月主題:安全之變】

王忠惠 張永宏朱文義於閩東劉志誠楊文斌孫琦孫瑜半藏鹹魚
推薦閱讀

2021首屆諸子筆會

頒獎|評優投票|1月盤點|12月盤點

11月盤點|10月盤點|9月盤點|8月盤點

7月盤點|6月盤點|組團|報名


戳原文閱讀查看往期徵文合集

齊心抗疫 與你同在

你怎麼這麼好看

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()