养成这7种观念，将对你的安全从业大有好处

关于网络安全，最阴险的潜意识暗示可能是：“安全具备终点，并且是一个我们可以到达的地方；安全可以被完成，可以被完全掌握。”很多时候，这种类似的想法会无意识地被灌输在脑海，即使安全人员知道保护数字业务是需要持续付出、持续维持的，但微妙的是，他们下意识地会认为自己能够“完成”组织的安全部分，或至少在某段时间内能将安全“达标”，然后就能够放松下来了。

而这样的想法往往只会给安全人员带来不必要的压力。国外知名CSO Matthew Tyson表示：“当我们认为安全工作具备终点，而结果总是会有更多的事情要做时，我们会感到失望和挫败。我们会自我暗示，觉得从未到达那个终点是我们的错，但事实上，这是极其错误的想法，也是自我灌输压力的源头。”

Tyson提出，安全工作的本质是一段旅程，是一个需要持续输出的过程，它没有终点，所以享受其中就行，根本不需要额外的压力刺激自己，安全不像业务，业务才需要达标、需要业绩，安全的目的是护航，所以只要攻击不断，安全就没有“完美”的一天，因此不要在任何无终点的旅途上承受“何时能到达”的压力，相反我们要它看作是一场穿越各种地形的冒险，有时上坡，有时下坡，有时费力，有时轻松，一路上有很多可以稍作休息、观赏风景的地方，然后在下一秒，我们会继续开始旅程。

大多数人通常会认为，安全人员是安全的所有者，而其实这是大错特错，这样的思想会导致两个恶性的结果，首先是免除了其他人的责任，就好像只有安全人员需要管理安全，其他人都可以无所谓；其次，这样的思想巧妙地隔离了安全团队，使他们只好孤军奋战。

举个例子，软件开发人员应该在生命周期的每一个阶段都考虑安全性，而不是在交付之前一直忽视安全。其他部门的工作人员也应该如此，因为只有牢记了安全的重要性，企业内部才能随时发现网络钓鱼和黑客攻击。

当然，从组织层面来看，安全人员也应该是领导者和向导，负责将安全意识和安全文化落地在组织上下，引领大家更好地遵守安全规则，而相对应的，每个员工都应该背负起自己在安全上的责任，并为组织的整体安全态势做出贡献。Tyson表示，只有将安全视为每个人的所有，企业内部才能维持更好的合作关系，各行各业才能建立起更安全的社区。

没有什么比“本就无休止的任务还变得越来越困难”这事更令人沮丧的了。Tyson说，安全工作有时就像西西弗斯把巨石推上山，且这块巨石每天都会变得更大。从现实来看，犯罪分子的手段变得越发复杂，他们会使用更好的工具和团队，同时安全人员所必须保护的数字基础设施也在变得庞大、复杂且相互关联。

“而事实上，白帽和黑客之间的战斗犹如潮水，是有来有回参差交错的，有时是白帽子在前，有时是黑客在前。勒索软件攻击就是一个很好的例子，之前那一段时间里，犯罪分子似乎掌握了主动权，各行各业都在被勒索软件荼毒，但目前来看，安全团队和白帽们已经做出了回应，并取得了可衡量的成果。当然，这种反复会不断持续，但总的来说，安全人员的处境要稳定得多。”

Tyson表示，通过接受事物变化的这种周期性，我们可以采取这样的态度，即当威胁增加时，我们可以加快自身的应对速度，而当威胁下降时，可以适当地调整自己，但不要放下警觉性。“我们可以一直保持警惕，但并不总是处于Defcon-1红色警戒水平。保持心理平衡是取得长期成功的关键。”

安全通常被视为一种独立的功能或附加的产品，安全的概念被固定在了实际的基础设施上，或者是某个需要最终确定、交付的硬件和物品。Tyson指出，这是软件开发中的一个长期观点，类似于我们曾经对质量的看法，觉得质量只是事物中一个独特、独立的组成部分。

亚里士多德曾优雅的表达过：“质量不是一种行为，而是一种习惯。”和质量一样，安全也不是一件成品，而是一项需要持续发展的学科。当我们将安全视为一种实践，需要不断完善和磨练时，它会释放参与其中的能量，并能让所有人都见证到。

Tyson说：“什么是安全？好比定期锻炼，每天控制自己的饮食，让自己变得更健康，这就是安全。如果我们想学好吉他或武术，我们每天必须不断地练习并加以改进，这样才能开发出更多的技术和花样，而安全也是一样。”

事实上，在一个始终有增长空间，并能充分发挥自身能力的工作上成长，这可算作一件幸事，而这种观点也应该与整个企业分享，这样每个人都能拥有“我们正在实践安全、更新安全”的心态。因为无论是专业人士还是“安全大师”，我们总是在一起互相学习，谁也不曾领先于谁，谁也不曾到达过彼岸。

安全永远不应该被视为一种产品，安全应该是一种习惯。产品和工具只是安全的推论和辅助，我们真正应该建立的是安全文化、安全态度和安全意识，简而言之，安全是我们每天都在更新的认知。

Tyson说，安全团队有时给人感觉就像是在和罪犯玩打地鼠游戏，罪犯不时冒出，安全人员不断灭火，一方找到危害系统的漏洞，另一方不断弥补。“所以我们自己先要明确，安全工作不只是为了应对犯罪分子的活动，我们并不由犯罪分子所掌控。接下去我们还要让更多的人知道这一点。”

其实逻辑是这样的，首先企业的价值和创造力是一个诱人的目标，这会驱使那些不道德的人试图偷取或利用，但价值之所以存在，是因为合法的商业模式和自然的市场发展，而罪犯则是寄生的。因此，从这样的逻辑来看，安全是由业务驱动的，也就是说如果没有某项业务，网络犯罪也就没了目标，犯罪分子不再犯罪，安全也就失去了意义。“所以，安全人员是企业的守护者，我们的目标是阻止所有犯罪分子的偷盗行为和攻击行为，我们要采取主动措施，如运行渗透扫描等，这是为了明确我们并不由犯罪分子所驱使，而是为了业务，为了发展。”

可衡量因素对良好的安全性至关重要，比如平均检测时间（MTTD）等指标能使企业有效监控系统情况，并衡量安全工具的有效性，但这些指标并不意味着企业就该无止尽的接近“完美数据”，在安全上以数据为终点是毫无意义的。

Tyson表示，指标是指导我们的风向标，而不是需要完成的目标，其关键在于发现问题时要采取相应的措施，使事态朝正确的方向发展。因此，安全需要诚实地接受测量结果，同时在安全人员关注KPI时，应该将其视为监控仪表板，好比医生在观察免疫系统的健康状况。“在安全上提出完美是不切实际的要求，连提出‘走向完美’四字也是十分可笑的，这就好比指望世上再无犯罪。所以安全人员当谨记，‘诚实的指标和评价’是关键。”

以往大多数人的想法是，只有当安全失效、系统被攻击时，安全部门才会被注意到，更糟糕的是，安全有时会被视为是一种必要的障碍，是创新或成功路上的绊脚石。Tyson说：“很多人肯定觉得，如果企业没有网络安全的概念，没有那些所谓的防火墙、测试、隐私保护和客户满意度，企业一定能更快地发展。这其实听起来很荒谬，就好像在哀叹‘为啥发展的每个阶段都需要考虑安全’一样。”

很显然，现实生活永远不会一帆风顺、天下太平，当出现安全事故或发现重大漏洞时，要怎样才能不引起骚动？删帖？隐藏？贿赂？还是找替死鬼？或者纯粹指望犯罪分子别再犯罪了？一直以来，当社会运作顺利时，我们都会忽视那些促成这结果的人，而更糟的是，许多人还表现得像是安全人员在挡道。

“只在安全性失效时才注意到安全的观念需要改变，这是许多企业需要警醒的，安全始终应该受到重视。如果谁实在理解不了，可将安全看作是‘为了让每个人尽可能在好的条件下完成自己的工作’。”

对于安全业里有哪些观念是需要改变的，该如何摒弃错误的观念，又该如何塑造正确的观念，国内安全专家如此建议。

猪八戒网齐迹认为，“安全部门不应该是成本部门”以及“安全技术和安全合规同等重要”，这两个观念对企业来说影响重大。通常而言，企业会把安全部门定性为成本中心，觉得在安全上投入是看不到回报的，而其实安全所带来的回报就是安全本身，企业只有在安全的环境中办公才不会被攻击，才不会被监管罚款，在往后日益复杂的数字时代，此点将更为突出，如此说来，安全还是成本中心吗？安全应该是“最能节约成本”的中心，没有之一。但就目前而言，齐迹认为要想让企业意识到这点，可能还需要事件驱动，即不管是公司内部，还是外部的事件，只有通过事件影响才能反过来向公司说明安全不是成本部门，就像业内常说的那句口号：“看到没有？没有安全迟早会付出代价！”

关于为何“安全技术和安全合规一样重要”，齐迹指出，业内有些观点认为技术重要合规没用，而还有一些观点说只要合规了就出不了大问题，但其实这两种说法都是有失偏颇的。首先技术的目的是为了保证系统尽可能不出问题，所以没有技术肯定不行，现代科技比拼的就是技术，没有技术就只有被动挨打的份，而合规则更多是为了体系化的建设，以及出了问题后，合规能够帮助企业规避监管风险，这在法治社会也是必不可少的一环，所以此两者缺一不可。

知乎安全专家Jery表示：

1. 不可取的观念

① 安全只是一种产品。很多企业会认为网络安全只是一个产品，只要购买高质量的防火墙或者其他安全产品就能保证公司的安全。然而这个想法过于简单化，网络安全不是一次投资问题，而是一个需要持续投入的过程。在网络安全领域里，最核心的是安全人员和安全文化，需要持续的培养和加强，单纯的购买软硬件并不能保障网络安全。

② 安全只是安全人员的职责。在一些公司里，只有安全部门才负责网络安全的问题，其他部门并不对此负有责任。这种想法是错误的，网络安全是全公司的问题，所有员工都需要参与进来，并且需要定期的培训和测试。否则，一旦发生安全问题，责任不应该只由安全部门承担，其他部门也应该分担责任。

2. 需要改变的观念：

① 网络安全应该是一个持续改进的过程。网络安全是一个不断变化的过程，攻击者的技术和手段也在不断提高，保护网络安全需要持续投入和跟踪变化。公司需要建立一个完善的网络安全体系，为网络安全投入足够的资源，实施持续的改进。

② 网络安全是全员参与的问题。保护网络安全不仅需要安全人员的技术支持，还需要全员参与。公司需要为每个员工提供网络安全培训，让员工了解安全的基本知识和安全意识，提高整个公司的安全文化。

③ 网络安全需要与业务需求相结合。在保证网络安全的前提下，还需要与业务需求相结合，防止炮打蚊子的问题出现。比如在一些高安全要求的场合下，需要严格控制入侵的可能性，但是过于严格的安全策略又会影响到业务的正常运作。公司需要平衡好安全和业务的关系，以确保网络安全的同时，不影响业务的正常运作。

为此，Jery总结：“企业应该转变对网络安全的观念，不仅要将其视为一种产品或者是单纯的安全人员职责，而是应该将网络安全看作一个持续改进的过程，并且让全体员工参与其中。企业需要平衡好安全和业务的关系，在保障网络安全的同时，也要不影响业务的正常运作。”

在观念塑造方面，Jery认为：

1. 建立网络安全意识。网络安全意识是塑造网络安全观念的第一步。需要通过推广网络安全知识、展开相关教育宣传和加强个人信息保护意识等相关活动来提高公众对网络安全的认识。

2. 强化网络安全法律法规。政府应加强网络监管，完善现有的网络安全法律法规，明确网络安全违法行为的种类和罚则。同时，制定相关法律，加强对网络暴力、网络欺诈等行为的打击力度。

3. 提高组织和企业网络安全意识。组织和企业要通过专业的人员培训、完善的安全管理体系、建立信息安全意识教育计划等手段来提升员工的安全意识。此外，加强对机密数据的保护和信息交换的安全加密等措施更应得到重视。

4. 加强网络安全技术。对于网络安全技术的研发和应用应该加快步伐，提高网络防御和攻击监测技术水平，避免网络攻击的发生或及时发现并处理安全隐患，提高网络系统的可靠性。

5. 完善网络安全管理制度。建立统一的网络安全管理体制，相关管理人员要进行周期性演练，建立应急响应机制。同时完善侵入事件的记录与分析，以便更好的发现漏洞、强化网络安全措施。

“总的来说，塑造网络安全观念是一项长期而复杂的工程。只有通过全社会的共同努力，建立起全面、科学、有效的系统性网络安全管理机制，才能有效地保障国家、组织和人民的网络安全。”

另一方面，知乎安全专家李敢敢表示，自己在接触到的客户里经常会产生以下这些不可取的观念：

1、安全仅仅是技术问题：尽管技术在信息安全中扮演着重要角色，但人员和物理安全同样重要。企业需要确保员工接受安全意识培训，以便识别并防范钓鱼邮件、社交工程等安全威胁。同时，企业还应实施物理安全措施，如访客登记、门禁系统等，以保护关键设施。

2、小型企业不会成为攻击目标：事实上，小型企业往往成为攻击者的目标，因为它们通常缺乏足够的安全措施。因此，无论企业规模如何，都需要重视信息安全。

3、遵循法规和标准就足够了：遵循法规和标准固然重要，但企业仍需结合自身实际情况进行安全评估，并根据风险情况采取合适的安全措施。

4、只关注外部威胁，忽略内部威胁：内部员工可能无意中泄露敏感信息，或故意进行恶意行为。企业应实施内部审计，确保员工遵守安全政策，同时制定相应的惩戒措施。

5、安全是一次性投入：信息安全是一个持续的过程，需要定期更新软硬件、审计安全策略、对员工进行培训等。企业应将信息安全视为一项长期投入，以应对不断变化的威胁环境。

在观念塑造方面，李敢敢认为，想要减少客户产生观念的误区，需要从多方面入手，来提高他们的安全意识和认知。例如：

1、增强安全意识培训：定期为客户提供安全意识培训，包括基本的网络安全概念、安全风险、防范措施等内容。通过培训，客户可以更好地理解网络安全的重要性和面临的威胁。

2、定期沟通与分享：与客户保持紧密沟通，定期分享最新的安全动态、案例分析和最佳实践。这有助于客户及时了解安全领域的发展趋势，提高安全意识。

3、提供定制化解决方案：针对客户的实际需求，提供定制化的安全解决方案。通过深入了解客户的业务和风险，可以帮助客户更好地认识到网络安全的重要性和紧迫性。

4、制定清晰的安全策略和指南：帮助客户制定清晰的安全策略和操作指南，确保他们在日常工作中遵循安全规范，减少安全风险。

5、实施安全审计和评估：定期为客户进行安全审计和风险评估，发现潜在的安全漏洞和威胁。通过审计结果，客户可以更加明确自身在网络安全方面的不足和需要改进的地方。

6、案例教学：通过具体的安全事件案例，向客户展示网络安全的重要性和潜在风险。案例教学可以让客户更加直观地认识到网络安全问题，从而提高安全意识。

7、建立长期合作关系：与客户建立长期的合作关系，持续关注他们的安全需求和问题。在合作过程中，不断为客户提供支持和指导，帮助他们提高网络安全水平。

最后，某科技公司实验室负责人王延辉表示：观念中，安全措施不应该是一种无条件的执行，而应该是在保障企业或组织目标的同时，降低风险和提高安全性。企业或组织需要辩证地看待安全与目标之间的关系，以实现守底线、降风险、助业务的目标。

守底线是企业或组织在看待安全问题时要遵守法律和道德规范，不能违反相关规定。只有在合法合规的基础上，才能实现企业或组织的长期稳定发展。

降低风险是企业或组织在保障目标的同时，通过管理或技术手段来降低风险。不能盲目追求安全，而忽视企业或组织的实际情况。要通过灵活的方式来修复漏洞，保证风险可控可接受。

助业务是通过安全措施来增强客户和合作伙伴的信任感，从而助力业务发展。同时，在风险处置的过程中，也要通过灵活的手段和方法来降低安全对业务的影响。这样才能实现企业或组织的长期稳定发展，行稳致远。