安全建設的原則

安全建設包含的內容很多，其中包含技術、管理、人員、流程等諸多方面。有些特徵在很多工作中都比較通用，這些特徵包括：任務、工具、原則。這些特徵在不同行業、不同規模的企業以及企業中不同的崗位工作都可以適用。本文主要介紹安全建設的一些原則，這些原則可以規範建設任務完成的質量以及工具的使用情況。

我們在做安全建設前可以問一個問題：什麼原則是對所有安全建設都需要的？這個原則適用於所有領域、所有行業的、所有規模的公司。要回答這個問題，我先介紹下安全的本質是什麼。在之前的《安全的本質》文中介紹了安全的本質是對數據的機密性、完整性、可用性的防護能力，所以安全建設的目標就是圍繞提升安全能力而展開的。提升安全建設能力的原則我認爲主要有以下幾個方面：關注結果，關注整體，最小化原則，發揮優勢，保持樂觀。

關注結果

對結果的關注是所有成功者共同的思維和行動方向，對安全建設依然適用。每家公司的情況不一樣，有大型互聯網公司，管理着數萬臺服務器，他們的主要業務來源都是網上的業務系統，大多數是web系統，他們關注的更多的是業務安全，包括賬號安全、交易風控、徵信、反價格爬蟲、反作弊反bot程序、反欺詐、反釣魚、反垃圾信息、輿情監控（內容信息安全）、防遊戲外掛、打擊黑色產業鏈、安全情報等；有很多傳統的設計製造企業，他們的服務器不多，對外也只有一個網站，很多時候還是託管的或者是靜態的網站，他們關注的更多的是內部數據安全，有沒有人一直惦記着我們的圖紙、設計、內部文檔等；還有很多中小企業，自身的盈利能力很弱，所以對安全沒有啥大的需求，最多就是我的財務軟件能用就好，中病毒了大不了重裝一下系統，當然最好不要中病毒影響我的工作。

對每家企業來說，首先要制定切實可行的目標，確定一個合理的期望結果，然後重點關注結果。但對大多數人來說，“以結果爲導向”不是理所當然的事情嗎？其實不是，大多數人的本性更傾向於對投入的重視。相比產出和結果來說，人們更願意把大部分注意力集中在工作消耗、個人投入的精力和努力上。就算是公司的每個員工都很努力的工作，也不一定能說明他們就一定能取得好結果。

比較不幸的是安全行業的結果是不好衡量的。引用一句安全圈常說的話：世界上有兩種企業：一種知道已被******，一種還不知道已被******。這也是很多企業不重視安全依然感覺狀態很好的原因。很多人把安全看成是事件驅動的主要原因，也是因爲安全事前不好衡量，但不是不能衡量。所以需要在安全建設的過程中要想好安全的結果如何判斷，我們安全建設的目標是否有效，如何從目標實現結果等等。

關注整體

在信息安全的***對抗中，***是極其不對稱的。對***者來說，只要找到企業中的一個弱點並加以利用，就可能達到***的目標，這個弱點不一定是系統弱點，也可以是人的弱點，比如社工，開發人員無意識的公網備份等。但對於防守人員來說，必須找到企業中的所有弱點，並加以防護，纔有可能不被***成功。

但也不用過於悲觀，不是所有弱點都能被利用，比如漏洞利用，能寫EXP的人也不多。大部分人是拿來主義和修正主義，所以判斷漏洞是否需要修復的一個重要原則是：是否有公開的POC代碼樣本，如果有就儘量修復，如果沒有就可以暫時不修復。但也不是所有有POC的漏洞都需要修復，當然能修復最好。有些情況是不能修復的，比如一旦修復了需要重啓服務器，要影響業務，這個時候是不能修復的，這個時候就要看是否有別的方式來防護，比如前面的WAF是否可以防住這個漏洞。

在《安全的本質#安全是成本》中也介紹了，***的成本差異是極其巨大的，比如花費一萬元去防護一個價值只有五千元的系統是沒有意義的。根據防護價值的高低去選擇防護重要的數據，也不一定所有的弱點都需要去處理。由於***的不對稱，投入資源精力有限的情況下，更要從整體考慮，哪些是最重要的資產，最重要的數據，我們優先把這些問題解決掉。

關注整體最重要的一點是平衡。如何平衡業務和安全，如何平衡各方面的投入，如何平衡投入和利舊，如何平衡自研和購買，如何平衡加人還是加設備，如何平衡優勢和劣勢等。我們需要從多個視角進行綜合考慮，需要做出妥協的地方就做出妥協。需要在無法避免的模糊性和不確定性中求生存。

隨着安全產品的分類越來越多，功能越來越交叉，對整體的把握就越來越容易被忽略，因而就越有可能出現結果和整體目標毫無關係的危險情況。爲了避免這種情況發生，必須通過不斷地覆盤，不斷地分析進行有意識的調整。所以管理上有句話叫“從正確的做事到做正確的事情”值得借鑑。在整個安全建設過程中，從整體上看個人認爲需要最先關注的幾點是：資產、業務、重要的事件、重要的數據等幾個重點和他們之間的交互等。

最小化原則

最小權限原則在安全建設中有非常重要的作用，很多安全問題對內看是權限濫用和越權訪問的問題，它就是違反最小化原則；對外看是開放了不該開放的端口，暴露了不該暴露的接口等等。最小化原則的精神是所有的東西都應該是明確的、有意義的，不要有模糊的放大，因此這種放大很可能會造成濫用或者未知的錯誤。但遺憾的是，最小權限原則會增加一些成本，但很多時候我感覺是安全意識的問題，而不是成本問題，成本的增加在絕大多數情況下應該是可控的。

下面列出來一些常用的最小化原則：

• 安裝操作系統的時候最小化安裝；
• 開機自啓動服務最小化；
• 操作命令最小化；
• 程序服務運行最小化；
• 公網暴露的端口儘可能的小；
• 數據庫查詢儘可能增加限制條件；
• 安裝軟件儘量用權限最小的普通用戶安裝；
• 後臺管理頁面儘量用白名單限制；
• 管理權限交叉，幾個管理用戶動態控制系統管理，互相制約；
• 創建新的賬號權限盡量的小；
• 暴露在外面的接口儘量少，接口參數儘量的少；
• Linux系統文件及目錄的權限設置最小化；
• 最小化授權時間；
• 安全策略最小化，降低告警誤報率；
• 最明確的“用戶同意”：收集個人信息的時候一定要說明收集方式、範圍，對用戶身份證號、銀行賬號、行蹤軌跡等敏感信息更要特別說明，這種說明應該以顯著的形式確保用戶知悉；
• 最少化的信息要素採集：採集信息時需要服務方區分基礎性服務和非必要服務，進而區分制定隱私政策和用戶告知方式，合法收集用戶信息用於自身業務；
• 最安全的存儲和傳輸：減少數據的傳輸次數，避免明文數據的傳輸。

發揮優勢

每個組織都是不同的，有各自的背景，各自的環境。有的公司創立之日起就有非常強的IT能力，有的公司IT的使用還非常初級，在這種情況下，每個公司在對安全建設的能力上有不同的優勢和劣勢。正是這種情況，所以發揮優勢也是安全建設的一個重要原則。

安全雖然在整個IT建設中佔的比例非常小，但安全所包括的內容非常廣泛，就像開頭說的包括技術、管理、人員、流程等。光信息安全產品按照公安三所的銷售許可證分類，大概有77個分類，每個分類下面還有細分，還有些新興的產品分類沒有包含進來。

從安全建設的投入來看，我們發現有很多公司有自己的想法和目標，也有的公司不確定應該怎麼做，畢竟安全很難被標準化。

在國內的絕大多數互聯網公司在安全投入上都傾向於投人，一來互聯網的業務複雜，網絡龐大，如果購買商用產品成本很高，而且有的商用產品在互聯網上大併發的能力也不夠，難以支撐業務，這種互聯網公司可以招聘水平非常高的安全人才，安全人才在這種超大規模的網絡中利用自己的優勢可以管理更多的設備和數據，反而達到降低成本的目標。比如阿里、騰訊、百度、京東等等，他們都傾向於自建，甚至組建了龐大的安全團隊。

還有一些中型互聯網公司，沒有這麼大的財力物力，他們更傾向於投人結合專業安全公司的服務包括產品，達到一個平衡。既發揮了人員優勢又結合了專業公司的服務。

很多金融類企業由於體制限制，包括人員數量和薪資成本控制。他們更傾向於利用安全公司的服務，比如***測試，人員外包，購買安全設備等。

還有更多的中小企業，沒人也沒有錢，但他們的優勢是業務簡單，重要程度不高，這時候可以找些免費甚至開源的產品開使用，如果對數據非常不在意甚至可以裸奔。

也有很多公司搞不清楚自己的優勢，進行各種嘗試，效果也不是特別好，就是沒有利用好這個原則。

保持樂觀

做安全其實是比較枯燥的，安全的領域看似不大其實包含的內容很多。而且大多數安全人員每天的工作相對比較重複，比如每天查看各類安全設備運行是不是正常，有沒有什麼高危的告警；主機上的系統日誌有沒有異常，應用程序、進程、端口是否合理；有高危日誌要進行查看和處理，處理的過程中還要和別的部門打交道；根據業務要求開通防火牆策略；系統上線進行安全檢查；有新的漏洞報出來要全網掃描是否有此漏洞。長時間做此工作後難免產生厭煩的心態。所以安全建設要保持樂觀心態才能更好的做好安全。

任何事情都是具有兩面性，再糟糕的事情中也有比較美好的一面，消極態度只會把事情做的更糟糕，只有樂觀積極的態度才能帶來更大的希望。一方面隨着國家的重視、法律的健全，企業對安全的投入也會越來越多。這就是安全行業千載難逢的好機會，在安全建設的過程中保持良好心態，每天能有一點點進步，對個人的職業發展都有非常大的幫助。根據2020年的《網絡安全人才市場狀況研究報告》顯示，九成用人單位對網絡安全人才需求“看漲”，認爲這一需求將在中長期增長，其中58%的用人單位認爲，網絡安全人才需求會在短期內大幅增長。目前每年網絡安全相關專業畢業生僅2萬多人，而中國在這方面的缺口高達50萬至100萬人，尤其是實戰型、實用型人才非常急缺，所以對進入這個行業的人來說都是非常好的機會。

隨着產品和技術的進步，在以前比較難以解決的問題，現在都在逐步的進行解決。比如隨着大數據技術的發展，之前對海量數據處理分析上難以取得比較好的效果，現在的分析的效果就好了很多。隨着html5的發展，之前在可視化上比較難處理的事情，尤其是感知上就取得了非常大的進步，各大地圖炮就很炫。簡單插一句：過於關注界面的炫除了給領導看之外好像對安全的分析處理並沒有太多實質的幫助。

從法律上來看，之前安全野蠻發展，很多人都不重視法律，出現了很多入門者無視法律的情況，這也造成了虛擬世界的亂象叢生。不過隨着法律的健全，大家對這塊意識都提高了很多，未授權的掃描等行爲也減少不少。這些都是比較積極的方面，未來應該會更好。

總結

安全建設的原則到底是什麼，每個人的觀點可能不太一樣。這也很正常，一個健康的行業不應該只有一種聲音。當然還有很多的原則也很重要，但我認爲這幾個原則是安全建設中最重要的一些原則，這些原則適用所有的行業，不同規模的公司。在做安全任務、選擇安全工具的時候，可以參考這些原則，在這些原則做好後，再逐步添加其他原則，也是一個非常好是思路。