久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

1、安全的本質(zhì)

在企業(yè)做信息安全會遇到很多困惑，企業(yè)信息安全到底應(yīng)該怎么做?管理、技術(shù)、流程還是人更重要?安全團隊和安全人才該怎么建設(shè)培養(yǎng)和激勵?帶著這些問題參加了很多安全峰會，雖然有很多不錯的會議，很多不錯的演講者分享了很多體會，但相比之下，更多的會議和演講者的做法是不專業(yè)的。常見的套路：開篇講一堆的安全事件，什么熱講什么;中篇講所謂解決方案或思路，大部分代表其背后的利益團體，要么產(chǎn)品，要么先思路后產(chǎn)品;然后草草結(jié)尾。PPT做的很互聯(lián)網(wǎng)，羅列的數(shù)據(jù)很多，可是沒有講清楚，中篇的方案或思路能解決上篇的熱點問題嗎?在企業(yè)信息安全人員覺悟普遍覺醒的今天，這樣的會議會越來越?jīng)]有市場。

在混跡于各種安全圈和各種安全人互動后，我越來越渴望長期以來一直困擾我的問題答案：安全的本質(zhì)，或者說，安全問題的本質(zhì)。

互聯(lián)網(wǎng)本來是安全的，自從有了研究安全的人，就變得不安全了。SQL注入攻擊自從1999年首次出現(xiàn)后就成為互聯(lián)網(wǎng)安全的頭號大敵，注入攻擊的本質(zhì)是把用戶輸入的數(shù)據(jù)當(dāng)做代碼執(zhí)行，而開發(fā)人員設(shè)計用戶輸入的功能時，本身只是提供一個用戶交互功能，根據(jù)用戶的輸入返回動態(tài)頁面結(jié)果以便更好的用戶體驗，只是被惡意的人濫用了。再比如，釣魚網(wǎng)站已成為很多金融機構(gòu)的首要安全威脅，在2011年以前，很多金融機構(gòu)的安全人員甚至都沒有考慮過這個問題。時至今日，都會覺得很無辜，企業(yè)的網(wǎng)站沒有安全漏洞，是釣魚網(wǎng)站的狡猾和用戶的“傻”才會讓犯罪分子有機可乘。

上面兩個例子中，開發(fā)人員信任用戶輸入，用戶信任釣魚網(wǎng)站，導(dǎo)致安全問題。個人認(rèn)為，安全問題的本質(zhì)是“信任”的問題。計算機用0和1定義整個世界，而企業(yè)的信息安全問題是解決0和1之間的廣大灰度數(shù)據(jù)，運用各種措施，將灰度數(shù)據(jù)識別為0(不值得信任)，或1(值得信任)。信任是安全問題的本源。比如企業(yè)設(shè)計安全方案時，要做基本的假設(shè)前提：安全人員、開發(fā)人員、運維人員默認(rèn)是被信任的;比企業(yè)安全要求更高的國家設(shè)計安全方案時，安全人員、開發(fā)、運維人員可能就不是默認(rèn)被信任的。不同的信任假設(shè)決定了安全方案的復(fù)雜程度和實施成本，安全需要平衡。

2、 安全原則

（1） 安全是持續(xù)改進(jìn)的過程

如何讓一臺服務(wù)器不被不明武裝分子攻陷，有沒有一個類似“照妖鏡”的工具，一旦安裝上就可以高枕無憂，讓惡意的攻擊者無所遁形，有沒有一個萬能的“上帝之手”，幫我們干掉所有安全問題?很遺憾，沒有。在解決安全問題的過程中，不可能一勞永逸。很多安全廠商在推銷自己的安全產(chǎn)品時，會吹的天花亂墜，似乎無所不能，從早期的防火墻、防病毒，入侵檢測，到現(xiàn)在的態(tài)勢感知、威脅情報，智能分析，安全防御技術(shù)本身并沒有革命性變化，一套入侵檢測技術(shù)包裝個名詞，能從IDS到IPS、SIEM，再到現(xiàn)在的威脅情報，本質(zhì)上還是開發(fā)檢測規(guī)則，異常模式識別。實際上，安全產(chǎn)品、安全技術(shù)需要不斷的隨著攻擊手段的發(fā)展而升級，也需要有人來運營，否則安全防護會成為稻草人，馬奇諾防線，在變化的攻擊手段前不堪一擊。比如絕大多數(shù)公司的分支機構(gòu)，安全人員都是兼職的，日常運維能保障安全設(shè)備可用性就很不錯了，還能奢望這些每天忙于救火的安全人員能看懂?dāng)?shù)量不菲的各種安全告警嗎?還有比入侵檢測告警日志更難看的日志?

早期基于系統(tǒng)漏洞利用的攻擊是主流，安全防護對應(yīng)以防火墻和入侵檢測為主，對互聯(lián)網(wǎng)只開放少量端口，互聯(lián)網(wǎng)資產(chǎn)管理主要是IP和端口的管理。隨著攻擊主流轉(zhuǎn)變?yōu)閃eb攻擊，安全防護對應(yīng)升級為Web安全防護，出現(xiàn)了Web應(yīng)用防火墻(WAF)，互聯(lián)網(wǎng)資產(chǎn)管理也相應(yīng)轉(zhuǎn)變?yōu)閷Φ谌綉?yīng)用和開發(fā)使用框架為主，不再是舊有的資產(chǎn)管理概念。問渠那得清如許，為有源頭活水來，有效的安全是持續(xù)改進(jìn)，針對變化的安全形勢和矛盾進(jìn)行調(diào)整。

（2）縱深防御

我們坐飛機，從購買機票到最終到達(dá)目的地，如何保障全體旅客安全的過程就是縱深防御的例子。從購買機票實名制、機場防爆安檢、行李安全檢查、人、票、證一致，到機場登機檢查、飛機安全員、起飛降落不能使用手機等種種安全措施的實施，事無巨細(xì)，是縱深防御的具體應(yīng)用。在各種入侵案例中，基本都是利用Web應(yīng)用漏洞，攻擊者獲得低權(quán)限WebShell，然后通過低權(quán)限的WebShell上傳更多文件，并嘗試執(zhí)行更高權(quán)限的系統(tǒng)命令，嘗試在服務(wù)器上提升權(quán)限為Root，并進(jìn)一步橫向滲透，獲得更多內(nèi)網(wǎng)權(quán)限。在這個典型的攻擊路徑中，在任何一個環(huán)節(jié)設(shè)置有效的安全檢測和防御措施，都可能導(dǎo)致攻擊被檢測和阻止。目前在安全防護技術(shù)沒有革命性發(fā)展下，縱深防御，從網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層、用戶層、業(yè)務(wù)層進(jìn)行層層防御，共同組成整個防御體系。

（3） 非對稱

對于攻擊者來說，只要能夠找到企業(yè)系統(tǒng)的一個弱點，就可以達(dá)到入侵系統(tǒng)的目的，而對于企業(yè)信息安全人員來說，必須找到系統(tǒng)的所有弱點，不能有遺漏，不能有滯后，才能保證系統(tǒng)不會出現(xiàn)問題。這種非對稱是造成黑客和安全防護人員思維方式不同的根本原因，這種非對稱，也是企業(yè)信息安全工作難做的根本原因。破壞永遠(yuǎn)比建設(shè)容易，怎么扭轉(zhuǎn)劣勢呢?安全防護人員也需要非對稱思維。如果解放軍在和美帝對抗中發(fā)明了反介入戰(zhàn)略，發(fā)展各類型導(dǎo)彈，特別是反艦彈道導(dǎo)彈，阻止美國航空母艦進(jìn)入第一島鏈，如果解放軍耗盡國力，拼命造航空母艦和美帝對抗，搞軍備競賽，可能就落得蘇聯(lián)解體的下場了。

那發(fā)展哪些非對稱的安全防護武器呢?各種“蜜”的產(chǎn)品應(yīng)用而生了，蜜網(wǎng)站、蜜域名、蜜數(shù)據(jù)庫、蜜表、蜜字段、蜜數(shù)據(jù)、蜜文件，在面對攻擊時進(jìn)行安全反制，惡意攻擊者很難全身而退。據(jù)我所知，很多企業(yè)已經(jīng)進(jìn)行了商業(yè)化大規(guī)模部署并在實際對抗中取得不錯的效果，這應(yīng)該是未來安全防護發(fā)展的一個有益方向。

3、安全世界觀

安全人員最重要的是安全問題解決的思路，以及看待安全問題的角度和高度，而不是掌握多少漏洞，拿下多少權(quán)限，也就是安全世界觀。我的安全世界觀概述：信息安全就是博弈和對抗，是一場人與人之間的戰(zhàn)爭。交戰(zhàn)雙方所爭奪的都是信息資產(chǎn)的控制權(quán)，也就是在博弈和對抗中，牢牢的把控住各類信息資產(chǎn)的控制權(quán)。

0x01 正確處理幾個關(guān)系

1、 科學(xué)與藝術(shù)

科學(xué)講究嚴(yán)謹(jǐn)，藝術(shù)講究美。安全既是一門科學(xué)，也是一門藝術(shù)。如何對安全進(jìn)行科學(xué)或藝術(shù)的管理，也需要方法論和思路。好比畫畫，再厲害的老師也不可能在課堂上教你畫出一幅傳世作品，但并不否定畫院老師的貢獻(xiàn)。畫院老師會教一些基本功，一些方法，介紹一些流派，開闊眼界。在此基礎(chǔ)上，入門了，掌握了基本技巧，再輔以自己的天賦和勤奮，才能創(chuàng)造出好的作品。企業(yè)安全工作中，安全的科學(xué)性體現(xiàn)在安全工作無論安全體系還是具體安全技術(shù)都是嚴(yán)謹(jǐn)?shù)模谄髽I(yè)內(nèi)部系統(tǒng)和網(wǎng)站運維中，有的開發(fā)和運維同事覺得在內(nèi)網(wǎng)就安全了，已經(jīng)拒敵于國門外了，從而發(fā)送了安全要求，實際中攻擊者通過一些邊緣攻擊進(jìn)入內(nèi)網(wǎng)，從而進(jìn)一步滲透入內(nèi)部服務(wù)器的案例比比皆是。安全的藝術(shù)性體現(xiàn)在安全工作的權(quán)變性，不是所有情況都適用同樣的安全要求，需要不斷的depend on，不斷的權(quán)衡利弊，選擇當(dāng)前情況下的最優(yōu)。比如要求內(nèi)部服務(wù)器和面向互聯(lián)網(wǎng)服務(wù)器一樣的安全基線就是不現(xiàn)實的，也是不經(jīng)濟，難以實施落地的，實際情況中，更多的是兩套基線標(biāo)準(zhǔn)，互聯(lián)網(wǎng)服務(wù)器的安全要求更嚴(yán)格一些。

2、管理與技術(shù)

企業(yè)信息安全中安全管理與安全技術(shù)孰輕孰重?我認(rèn)為是個偽命題。從事安全管理的人會覺得三分技術(shù)，七分管理，當(dāng)然是安全管理重要，拼命搞ISO27001安全體系，發(fā)布各種安全制度政策，上各種安全流程控制，做各種安全審計和檢查，搞得民怨沸騰，往往效果也不好。從事漏洞挖掘和攻防的人會覺得搞安全管理的人太虛，這也不會，那也不會，每天就是搞體系制度流程，能擋住我一個0day嗎?能擋住我Getshell嗎?會挖洞和寫PoC嗎?還是堅持縱深防御的原則。安全制度政策和流程沒有技術(shù)和自動化手段保障，無法有效落地，管理10臺服務(wù)器和10000臺服務(wù)器的安全性，安全政策和流程肯定不能是一樣的。只有安全技術(shù)，只能做破壞，而破壞遠(yuǎn)比建設(shè)容易。如果側(cè)重于安全管理的也能了解你的對手，像黑帽子一樣去思考。白帽子懂安全技術(shù)，學(xué)習(xí)一些安全管理知識，從安全建設(shè)的角度去思考破壞的防護之道，我相信安全人員的境界就提高了好幾層。

3、業(yè)務(wù)與安全

這個關(guān)系話題非常有意思。剛工作時我認(rèn)為安全是為業(yè)務(wù)服務(wù)的，但安全是阻礙業(yè)務(wù)發(fā)展的。隨著認(rèn)識加深，我的認(rèn)知發(fā)生一些變化，安全是為業(yè)務(wù)服務(wù)的，安全是業(yè)務(wù)的屬性之一。不安全或沒有安全考慮的業(yè)務(wù)就像不合格的次品一樣，終究是要被市場淘汰的。本質(zhì)上，安全是一項服務(wù)，安全服務(wù)是安全團隊提供給用戶和客戶的一種服務(wù)類別，如果安全方案和安全要求設(shè)計時沒有最大化這種服務(wù)的價值，那么在充分競爭的情況下，安全團隊是要被市場淘汰的。我經(jīng)常問自己和自己的團隊，如果公司不是只有我們一個安全團隊，我們安全團隊在公司這個范圍內(nèi)不是壟斷的，而是有其他安全團隊也提供服務(wù)，共同競爭的情況下，我們提供的安全服務(wù)還能被用戶認(rèn)可買單嗎?我們傳統(tǒng)中認(rèn)為的安全總是這也不能做，那也要控制，安全就是拖業(yè)務(wù)的后腿，安全總是降低業(yè)務(wù)發(fā)展效率。我是反對的，但在企業(yè)中安全通常做成的就是這個樣子。造成這種現(xiàn)狀，企業(yè)安全主管首先要反思。這是因為安全團隊設(shè)計安全方案和要求時，不是以業(yè)務(wù)和服務(wù)出發(fā)點，而是以安全團隊省時省事，盡量少承擔(dān)責(zé)任為出發(fā)點。后者設(shè)計出的安全方案當(dāng)然是阻礙業(yè)務(wù)發(fā)展、降低效率。如果一套安全方案和要求，能夠在少降低甚至不降低業(yè)務(wù)發(fā)展的情況下，又能保障安全，業(yè)務(wù)團隊，開發(fā)運維當(dāng)然是歡迎的，誰愿意冒著巨大的風(fēng)險強行上線新的業(yè)務(wù)呢。如果安全團隊能和業(yè)務(wù)、開發(fā)運維一道剖析，站對方立場設(shè)計方案和執(zhí)行要求，用戶從心里是認(rèn)可安全團隊和安全服務(wù)的。實際中，我遇到很多這種情況，堅持安全服務(wù)的做法，會讓安全團隊之路更順暢。

4、甲方與乙方

乙方是指給企業(yè)提供安全產(chǎn)品和服務(wù)的一方，包括安全產(chǎn)品原廠、代理商、集成商和外包公司。甲方和乙方的關(guān)系我理解為燈芯和燈油的關(guān)系，誰離開誰都會失敗。有好的燈芯和燈油，也會有差的燈芯和燈油，關(guān)鍵在于各守本分，各盡其責(zé)。見的較多的乙方老板是貴公司是我們的大客戶，我們一定會服務(wù)好。乙方銷售在旁邊配合，我們的產(chǎn)品和服務(wù)是最好的，用我們絕對不會有問題。我再稍微問下，貴公司怎么服務(wù)好我們?你們的產(chǎn)品和服務(wù)好在哪?你們了解我們的實際問題和需求嗎?基本上90%的就接不上話了，更有甚者，有的老板和銷售的回答啼笑皆非，我們的產(chǎn)品和服務(wù)就是最好的，不用你們會后悔的。我還要保持心情平靜的答復(fù)，你們的產(chǎn)品和服務(wù)我都了解了，挺不錯的，希望有機會合作。聽到較多的乙方抱怨甲方，主管啥也不懂，就知道不能出事，出事背鍋。安全人員啥也不會，只知道指揮我們干活，把我們工程師不當(dāng)人用。乙方眼里90%的甲方都是這個印象。

我無意為任何一方辯護，包括我做為甲方自己，因為甲乙雙方都是站在自己立場處理問題，無可厚非。甲方和乙方都需要檢討。我理解的甲方應(yīng)該是對自己承擔(dān)的職責(zé)負(fù)責(zé)，不管用什么方法方案搞定安全問題，要能識別什么是能搞定的方案和方案中靠譜一員的乙方，和乙方的關(guān)系挺簡單，如果乙方能為甲方創(chuàng)造安全價值，那匹配等量的安全回報給乙方，如繼續(xù)長期合作，否則對不起，多聽你一秒都是浪費生命。我理解的乙方應(yīng)該是對自己的承諾負(fù)責(zé)，要了解你的客戶，不是簽單成功就萬事大吉，合同落地才是剛開始，甲方的辨識能力和社會的口碑傳播效應(yīng)越來越強的今天，做一錘子買賣只能讓自己的路越走越窄。誰都不傻，不是嗎?

0x02 若干問題

1、什么樣的安全是安全的？

企業(yè)負(fù)責(zé)人和IT部老總，以及安全人員都會問：什么樣的安全是安全的?這個拗口的問題轉(zhuǎn)化下就是：什么樣的安全是有效的。我見過一些企業(yè)做安全，部署了各種安全設(shè)備，設(shè)計了各種安全管理措施和流程，領(lǐng)導(dǎo)也很支持，雷厲風(fēng)行，安全預(yù)算和安全人員也都給足，結(jié)果還是出問題，安全有效性出了問題。設(shè)備部署了，規(guī)則做好了嗎?告警正常嗎?設(shè)備依賴的條件，比如鏡像的流量一直正常嗎?了解你保護的業(yè)務(wù)嗎?更重要一點，能看到告警日志的人有嗎?很多安全技術(shù)人員，其實就是安全設(shè)備運維人員，每天要監(jiān)控設(shè)備正常，處理各種安全流程，寫各種安全報告，填各種管理要求的系統(tǒng)，參加各種培訓(xùn)教育，還有時間研究究竟怎么管理好自己的這些設(shè)備和落實安全管控措施?以入侵檢測系統(tǒng)管理為例，安全人員要根據(jù)后面保護的系統(tǒng)和網(wǎng)站做規(guī)則調(diào)優(yōu)，要對所有安全有效性依賴的條件進(jìn)行監(jiān)控，對告警進(jìn)行安全流程化處理，最重要一點，要做穿透性檢測，比如在互聯(lián)網(wǎng)上嘗試攻擊系統(tǒng)和業(yè)務(wù)，看入侵檢測系統(tǒng)報不報警，不做安全穿透性檢測，安全監(jiān)測有效性就是個概率，靠運氣活著。要將安全性當(dāng)做可用性來運營，安全才是有效的。在這個前提下，我建議將安全劃分成幾個框架：安全防護框架、安全安全驗證框架、安全反制框架、安全運營框架，安全支撐的人、制度流程都包含在安全運營框架中。四個框架的功能分工看名字就清楚了，四個構(gòu)成安全體系，這樣的安全才是安全的。

2、安全團隊和安全人

企業(yè)信息安全建設(shè)需要什么樣的團隊和個人?我們從西游記中尋找答案。

唐僧這個西天取經(jīng)五人組，先看團隊成員組成：

唐僧，其領(lǐng)導(dǎo)能力有限，業(yè)務(wù)能力(降妖擒魔)更是等于一個零，但他是師傅，有個“領(lǐng)導(dǎo)位置”，可以拿“權(quán)力”制裁不聽話的徒弟，使得三個“下屬”不得不聽，不敢不聽。但他一心向佛，目標(biāo)明確，任爾千般說萬般阻，向西天取經(jīng)的決心始終不動搖。

孫悟空，“業(yè)務(wù)能力”最強，疾惡如仇，敢說敢做，但性情脾氣不好，西天取經(jīng)不是他的目的，而是他的承諾，為了工作快速開展，盡快完成目標(biāo)任務(wù)，委曲求全，甚至不惜與“領(lǐng)導(dǎo)”和“同事”決裂，貢獻(xiàn)最大，在這個工作團隊里卻差一點無立錐之地，只因工作(擒妖降魔)離不開他，才被留在這個團隊。

八戒，能勝任一般工作;好吃懶做，還有點色。溜須拍馬、見風(fēng)使舵、善于權(quán)謀、忍辱偷生、會溝通懂協(xié)調(diào)。但整個取天過程中他事情做的最多的，什么找住的啊、找吃的啊、探路啊、打水啊都是他的事情。這現(xiàn)也體現(xiàn)了他業(yè)務(wù)能力的全面與多樣性，他雖然不如孫悟空在關(guān)鍵領(lǐng)域的能力那么突出，但他比孫悟空好用，這就是他的優(yōu)勢。他還有個最大的優(yōu)點就是知道領(lǐng)導(dǎo)的心思。他是最能讀懂唐僧想法的人，每次附和都是順著唐僧的話音往下走。這極大的滿足了唐總作為領(lǐng)導(dǎo)的優(yōu)越感，所以他最受唐僧喜愛。不過唐僧畢竟是管理大師，他不是只喜歡聽好話的人。他知道誰能幫助他實現(xiàn)目標(biāo)，所以每次孫悟空鬧情緒回花果山的時候都是讓豬八戒去把他找回來。當(dāng)然豬八戒動不動遇到師傅被妖怪抓走鬧散伙的時候，又是孫悟空來穩(wěn)定軍心。所以這2個業(yè)務(wù)骨干起到非常好的相互牽制的作用。

沙僧，業(yè)務(wù)能力與八戒不相上下，忠厚老實，有自知之明，在團隊里能夠知道自己的位置，老老實實做事，不上竄下跳，不做小動作。

白龍馬，背景很硬，低調(diào)，不說話，一個踏實堅定的執(zhí)行者。任勞任怨、不計得失，與唐僧有著同樣的信念，除非死在路上。

這師徒五人，都有明顯的缺點，但是，他們組成一個團隊后，卻爆發(fā)出強大的戰(zhàn)斗力，西天路上九九八十一難，妖魔鬼怪都被他們一一戰(zhàn)勝，最終完成“西天取經(jīng)”大業(yè)。我們從中可以悟出這樣的道理：一個團隊的成功，不能靠單打獨斗，團隊中每個人都有其長處，必須發(fā)揮團隊每個人的作用，才能實現(xiàn)團隊的目標(biāo)。

唐僧的團隊，實際上是互補型團隊。每個人都有自己的特點，關(guān)鍵是領(lǐng)導(dǎo)是否有識人用人的能力。德者—唐僧領(lǐng)導(dǎo)團隊，能者—孫悟空攻克難關(guān)，智者—孫悟空出謀劃策，勞者—沙僧、白龍馬執(zhí)行有力。豬八戒較特殊，但也具備自己的優(yōu)勢：善于權(quán)謀、忍辱偷生、會溝通懂協(xié)調(diào)。首先是性格互補，大智若愚、信念堅定的唐僧，敢作敢為、剛直不阿的悟空，油頭滑腦、自私自利的八戒，實實在在、立場堅定的沙僧。其次優(yōu)勢互補，方向明確，掌控悟空的掌門唐僧，本領(lǐng)高強，降妖除魔的先鋒悟空，懂溝通會協(xié)調(diào)的八戒，踏實肯干、任勞任怨的員工沙僧。，最后技術(shù)互補，有人緣，會念咒的唐三藏，會打架，千里眼順風(fēng)耳的悟空，會算計、耍聰明的八戒，肯吃苦、有力量的沙和尚。這確實是個優(yōu)勢互補，能力極強的團隊。

安全團隊的構(gòu)建亦需如此。安全團隊建設(shè)目標(biāo)是所有安全人員均具備攻防兼?zhèn)涞哪芰?。目前存在的問題是攻擊的人員不具備防護思路，防護的人員不具備攻擊的能力和思維，都無法做到知己知彼。安全人員三個發(fā)展方向，安全防護、安全運營、安全開發(fā)，安全人員均需具備攻防兩端技能以及掌握一門開發(fā)語言，CCIE、CISSP、CISA、CEH、Python高級將成為安全人員上崗證。

非互聯(lián)網(wǎng)企業(yè)頭疼問題之一是安全人才的招聘和培養(yǎng)問題。非互聯(lián)網(wǎng)企業(yè)CSO頭疼的是即使招了一個綜合能力很好的人才，可由于非互聯(lián)網(wǎng)企業(yè)的性質(zhì)決定，安全團隊人數(shù)很少，投入有限，如何留住人才?我的實踐和建議通常是適合自己就是最好的，理由參見唐僧師徒五人西天取經(jīng)團隊的組成。一個良性發(fā)展的團隊，不可能個個都是孫悟空，也不可能個個是豬八戒，而是不同特長和特質(zhì)的成員互補，用人所長，實現(xiàn)團隊和個人的共發(fā)展。我從不要求團隊成員在團隊內(nèi)一直待下去，這不現(xiàn)實也不科學(xué)，我只是希望團隊成員從加入團隊那刻起，恪盡職守，為團隊做貢獻(xiàn)，自身又能成長增值，這是我一直追求的團隊和個人共贏目標(biāo)。作為團隊長，長期以來的實踐告訴我，無論是講情懷還是給予貢獻(xiàn)相匹配的收益都是重要的，留住人才沒有捷徑，走近員工，了解員工，幫助員工，十二字口訣而已。

3、企業(yè)信息安全發(fā)展趨勢

（1） 安全度量

安全度量一詞太書面，翻譯一下就是如何衡量企業(yè)安全的效果。做安全的人，遇到的最大的挑戰(zhàn)，就是講不清楚安全的價值。安全這個東西很微妙，不像業(yè)務(wù)可以用銷售額和用戶數(shù)來衡量，也不像運維可以用可用性指標(biāo)(比如故障數(shù))來衡量，也不像研發(fā)可以用bug數(shù)、項目完成率、擴展性、專利等來衡量。安全往往是事件性的，很可能你什么都不做，但一年都不出問題;也可能你花了很大力氣，花了很多錢，卻還是問題頻出。所以我們很難用單一的事件性指標(biāo)來衡量數(shù)據(jù)安全做的好還是不好，到最后就變成了拼運氣。

企業(yè)做安全，最終還是要對結(jié)果負(fù)責(zé)，對于安全效果，有兩個指標(biāo)是最關(guān)鍵的核心指標(biāo)，一個是漏洞數(shù)，一個是安全事件數(shù)。這兩個關(guān)鍵安全指標(biāo)，卻沒有一個安全廠商愿意承諾，他們通常都只愿意承諾賣出設(shè)備的功能效果，或者是服務(wù)的響應(yīng)時間。由于漏洞數(shù)涉及到企業(yè)發(fā)現(xiàn)能力的問題，每年第三方漏洞報告平臺如烏云上，漏洞數(shù)量排前十的大多是互聯(lián)網(wǎng)公司，但不能因此而認(rèn)為互聯(lián)網(wǎng)公司安全能力靠后，相反，由于互聯(lián)網(wǎng)公司面臨安全威脅和自身發(fā)現(xiàn)能力(各種SRC雖然是白帽提交的安全漏洞，但可以理解為是自身發(fā)現(xiàn)能力提高導(dǎo)致)較強，所以發(fā)現(xiàn)的漏洞數(shù)量靠前。很多沒有爆出安全漏洞的企業(yè)不是因為做的有多好，而是自身發(fā)現(xiàn)能力不夠。在這種情況下，有必要把漏洞數(shù)分成兩類，一類是通過眾測與SRC，獲得的外部上報漏洞數(shù)量，一類是自身安全防護和檢測發(fā)現(xiàn)的安全漏洞數(shù)。某些金融機構(gòu)已引入專業(yè)的藍(lán)軍團隊進(jìn)行攻防，檢測紅軍安全防護和安全檢測能力，將是未來安全度量的發(fā)展趨勢。

（2）歷史問題免疫

運維管理目前事實上的標(biāo)準(zhǔn)是ISO20000服務(wù)管理體系，這套體系也叫ITIL運維流程管理，ITIL眾多流程中有個核心流程：問題管理。問題管理有個有意思的做法，通過問題管理的思維模式，對企業(yè)所有曾經(jīng)出現(xiàn)過的歷史故障進(jìn)行舉一反三的持續(xù)改進(jìn)，從而實現(xiàn)對歷史故障免疫。既然安全性要當(dāng)做可用性來運維，那么安全管理也應(yīng)該能做到對歷史問題免疫，而這也應(yīng)該會成為安全未來趨勢之一。我理解為有兩個含義，一是對企業(yè)曾經(jīng)出過的安全漏洞和安全事件做舉一反三的徹底整改，從人、技術(shù)、流程、資源四個維度分析問題產(chǎn)生根源，查找差距，并建立機制進(jìn)行防護，從而根本上解決已出現(xiàn)的安全問題，實現(xiàn)歷史安全問題免疫。二是對已部署的安全措施的有效性做100%確認(rèn)，比如已經(jīng)部署了防病毒客戶端，那么就一定要關(guān)注防病毒客戶端安裝率、正常率另個指標(biāo)，這兩個指標(biāo)能做到99.99%的應(yīng)該算執(zhí)行力和安全有效性不錯的企業(yè)了。類似的指標(biāo)也同樣應(yīng)該在已部署的安全措施中得到確認(rèn)。第二點其實不能算安全趨勢，應(yīng)該是常識，在各種安全概念層出不窮的今天，希望越來越多的甲乙方能回歸常識。

（3）安全成為屬性

越來越多的企業(yè)重視信息安全，這種重視可能是主動的，但仍然被動居多，不管怎樣，今天的安全人員面對的安全環(huán)境越來越惡化，但得到的資源和支持卻比任何時候都多，這一點體現(xiàn)在：安全將成為各類系統(tǒng)甚至人才的關(guān)鍵屬性之一。舉個例子，十年前，很少看到有系統(tǒng)需求階段就會有安全需求，測試階段有安全測試，開發(fā)人員需要接受專業(yè)的安全編碼開發(fā)規(guī)范培訓(xùn)。十年后，這些都很常見自然了，甚至是標(biāo)配(Default默認(rèn))。對安全知識和技能的掌握也從單純安全人員必備變成了開發(fā)人員的必備技能，實際上，安全意識和安全開發(fā)能力較強的開發(fā)人員薪酬水平和發(fā)展空間已高于技能單一的程序員。程序員在用代碼改變世界的同時，也有義務(wù)更好的保護世界。安全將成為越來越多的需求品，將是安全發(fā)展趨勢之一。

（4）安全人才缺口增大

安全人才缺口越來越大，各位CSO們都深有體會吧。甚至越來越多的企業(yè)甲方要求乙方建立自己的專業(yè)安全隊伍。從市場經(jīng)濟的角度，需求增大，必將導(dǎo)致更多的優(yōu)秀人才投身安全行業(yè)，這對原有安全人也必將是個挑戰(zhàn)，安全行業(yè)是典型的活到老，學(xué)到老。逆水行舟，不進(jìn)則退，各位安全人也感同身受吧。