悟网络安全之道 – 作者:yoursshun

前言

无论是企业网络安全规划、还是网络安全团队文化建设，亦或是网络安全中各项举措的落地，这些工作在开展时，或多或少都会遵循一些原则和道理。这些原则和道理能更好的指引安全工作。本文对网络安全中常见原则和道理做了一些总结，仅供参考。不当之处欢迎指正，遗漏之处欢迎补充！

不以支撑业务目标达成的安全都是“耍流氓”

企业设立的每个部门都有其存在价值，每个部门的目标都应是为了支撑企业的经营发展，支撑业务目标的达成。安全部门绝非例外，安全部门在规划愿景目标时不能在一个小格局里“自嗨”，务必要与企业业务目标相贴合，时刻以支撑、服务企业业务目标达成为己任。否则，安全很可能会成为“找麻烦”、“限速器”的代名词。届时，安全工作的价值会被否定，安全部门会被质疑，安全将始终处于企业“最底层”。

名医启示：神医防微杜渐

“君有疾在腠理，不治将恐深。君之病在肌肤，不治将益深。”

安全从业人员应该具备扁鹊的“医术”，在风险和威胁处于“苗头”时，在安全事件没有造成重大损失时，能通过有效的管控、审计等手段，把“疾病”及时识别出来。

同时，在让大王接受“风险”方面，安全从业人员需要比扁鹊做的更好。否则，最终结果可能是“扁鹊已逃秦矣”，在面试下一家企业被问到离职原因时，只能说“大王不重视安全”。

温水煮青蛙

如果把一只青蛙扔进一锅滚烫的水中，它会立刻拼命从水里跳出来逃生；而如果把它放进一锅冷水中，然后慢慢加热，青蛙会一直呆在水里直到最终被烫死。

企业安全建设应居安思危，没发生安全事件不代表没有安全风险，应通过风险评估，及时发现隐患和威胁，早作预防。

面对层出不穷的新型技术，面对日趋严峻的攻防趋势，网络安全从业人员也应居安思危，持续学习提升。

KISS原则

“Keep It Simple, Stupid!”直接翻译过来就是“保持简单、傻瓜！” 越是复杂的事情越容易效能低下和资源浪费。解决问题应把握主流，抓住根本，不要人为地复杂化。

网络安全也适用于KISS原则。在系统安全设计时，应尽可能保持系统简单，从而实现稳定、高效和安全；尽量保持管理制度的简明，从而实现明确、可行和安全。

独眼鹿寓言：不要想当然的认为哪里是安全的

一只独眼鹿正在河边吃草，它用一只眼睛看着陆地，留意着猎人，另一侧瞎了的眼睛则对着河流，因为她从未见过猎人从河里出现，恰巧有个猎人乘船从河上经过，一箭射倒了它。

不要想当然的认为哪里是安全的，“想当然”本身就是一种大风险。

安全首先应以“怀疑一切”的角度假设风险存在，然后在去验证风险是否真实存在。比如，不能想当然的认为企业内部就是安全的，其实90%的网络安全事件都是由企业内部引发。

木桶原理

用木桶来装水，如果组成木桶的木板参差不齐，那么木桶能盛多少水不是由最长板子决定，而是由最短板子决定，因此又被称作“短板效应”。

木桶原理决定了企业网络安全建设绝非易事，无论哪个方面存在薄弱，都会给企业整体网络安全带来隐患。因此在开展企业网络安全建设之前，一定要进行整体的安全规划，评估各个领域的现状和风险，全面、有节奏的开展安全体系建设。

死狗原理：没有人会去踢一只死狗

没有人会去踢一只死狗！没有攻击者会攻击无价值的资产！

对于网络安全来说，威胁和风险是与高价值资产紧密关联的，安全的资源绝不是无限的，有限的资源首先要投入到高价值、高风险的领域。什么是高价值信息资产？通过数据分类分级，我们会知道，哪些数据泄露后影响范围广、影响危害大。通过风险评估，我们会知道，企业核心业务依赖的是哪些人、哪些终端、哪些信息系统。

墨菲定律：怕什么，来什么

如果事情有变坏的可能，不管可能性有多少，它总会发生。

如果网络安全方面存在一个风险，不管风险有多小，它总会发生。

网络安全人员应该要有“洁癖症”，面对风险要“零容忍”，“零容忍”不是要我们彻底解决风险，而是要确保风险一直处于我们的可控范围之内。

冰山理论：露出水面的仅仅是冰山一角

一座浮于海面的冰山，露在水面以上的只是其十分之一，而另外90％是看不见的！

日常发生的安全事件、暴露的安全问题也仅仅是“冰山一角”，网络安全决不能总是充当“救火队员”，应该尽快过度到以风险为导向的主动、全面安全体系建设，通过风险的识别评估，尽早发现水面以下的冰山，尽早发现隐患和威胁，积极防御，确保风险可控，防患于未然。

破窗效应：破窗会带来更大的麻烦

如果有人打坏了一幢建筑物的窗户玻璃，而这扇窗户又得不到及时的维修，别人就可能受到某些暗示性的纵容去打烂更多的窗户。

网络安全规范制度中，会要求员工的口令应具备一定的复杂度，但弱口令仍然存在，会要求应用系统日志中禁止包含敏感信息，但仍屡禁不止。如果网络安全人员对此熟视无睹，不以为然，那网络安全规范制度将变成“破窗”，会有越来越多的人违反安全要求。所以，安全要有红线，安全人员要坚持“底线”，违反红线的行为绝不姑息。

篮子理论：别把所有鸡蛋放在一个篮子里

篮子理论首先是作为一个金融投资理念被提出，用以降低投资风险，但它具有更广泛的适用性，可以用在其它风险管理领域中。比如，“9.11”事件中，上千家公司和机构的重要数据随着世贸大厦一同葬身火海，有的公司就此消失，但还有公司却能在第二天就恢复业务，这就是有没有把鸡蛋放在不同篮子的区别（有些公司做了异地灾备）。

对企业来说，做好数据备份是确保业务连续的重要手段。除了信息和数据，相关的人员、设备、服务等，都需要基于冗余和备份的思想，将其纳入到统一的业务连续性管理当中。如果条件允许，安全设备的异构也是把鸡蛋放在不同篮子的一种方式。

懒蚂蚁效应：资源优化出“懒蚂蚁”

一个蚁群中，在辛勤忙碌的工蚂蚁背后，总有一定数量的懒蚁，它们“无所事事”，“游手好闲”。这些从不干具体事务、看似好吃懒做的蚂蚁，实际上担负着开辟食源、危险预警、组织分工等特殊使命。懒蚂蚁把大部分时间都花在了“侦察”和“研究”上。它们能观察到组织的薄弱之处，防卫预警，拥有让蚁群在困难时刻仍然存活的本领。一旦蚁群遭遇危机，懒蚂蚁就会挺身而出，指挥全体蚂蚁寻找出路、渡过难关。

网络安全负责人切忌整天都忙于上传下达、沟通协调等琐事，久而久之就变成了“近视眼”，只着眼于眼前具体事务，一定要拿出一定的精力用来观察和思考方向性的东西。团队资源优化出“懒蚂蚁”是有必要的，“懒蚂蚁”可以为团队发现问题、并提出优化建议。

没有卡点、管控、审计的安全要求等同于没要求

如果仅仅是提出一项安全要求，而没有在管理上设置卡点、没有在技术增加管控措施、没有在审计上设立检查机制，那这项安全要求基本上不会被很好的执行，等同于没有要求。

Talk  is cheap ,  Show  me  result ,  And let  me check !

如果你不能度量它，你就无法改进它

网络安全工作非常重视PDCA，在Check检查工作中，每项工作都应有明确的目标，目标要尽可能量化，这样才能确保目标是可度量的，工作完成后要对比结果与目标的差距，看到差距后才能改进优化。

比如防病毒工作，要设定量化的工作目标，如防病毒客户端安装率、病毒查杀率、病毒库更新成功率、病毒降低率。

比如SDLC工作，要设定量化的工作目标，如SDLC需求覆盖率、安全分析及时率准确率、安全开发漏洞引入率、安全测试漏洞漏检率等等。

来源：freebuf.com 2021-06-24 06:48:27 by: yoursshun