安全的价值与安全度量

前言

在一次谈论中被问到了这样一个问题“你认为安全对于企业的价值是什么以及你如何评价你们公司目前的安全状态？”

虽然做了好多年的安全，可突然问这样的问题还是有点不知所措，因此就有了这篇文章。

安全的价值

道哥说过“在早些年，我最早在阿里做安全的时候，遇到的最大的挑战，就是讲不清楚安全的价值。我想这可能依然是今天大多数CSO所面临的难题”。

作为一名安全负责人以及安全工程师，首先就是要搞清楚安全能给企业带来什么样的价值。讲不清安全的价值，又如何能让上面的领导重视安全呢，就会导致安全始终游离在业务以外，成为一个可有可无的部门。

那么安全究竟能为企业带来什么样的价值呢？

1）保护公司核心资产，包括数据，计算资源等等

企业的数据、客户信息、财务记录、研发资料等都是企业的核心资产。信息安全能够确保这些资产不被非法获取、篡改或破坏，从而保障企业的正常运营和持续发展。

2）保护业务稳定运行

信息安全有助于确保企业信息系统的稳定运行，防止因数据泄露、网络攻击或系统崩溃而导致的业务中断。一个安全的信息环境可以为企业提供稳定的支持，确保业务持续进行，避免因安全问题导致的损失。

3）避免因合规问题导致的审查

随着数据保护法律的日益完善，企业在处理、存储和传输个人信息时必须遵守相关规定。信息安全能够确保企业合规经营，避免法律风险和处罚。

4）维护公司声誉

一旦企业的信息安全受到威胁，客户数据泄露、敏感信息被滥用等情况可能导致客户信任度下降，甚至可能引发法律纠纷。因此，信息安全有助于维护企业的声誉和客户关系，保持市场竞争力。

安全对于一家企业重要吗？这要看企业处于什么样的状态以及以后相处于什么样的状态。如果企业没有盈利，那么说实话，安全不是那么重要，企业的首要目标是要生存下去。

如果企业目前处于盈利状态并且盈利状态还会继续扩大，那么花费一定的成本去做安全是非常有必要的。

安全是产品的一个固有属性，如果一家企业想要做大做强，那么必然不能脱离安全这种属性。

信息安全的本质是什么

信息安全问题的本质是“信任”。开发人员信任用户输入，用户信任钓鱼网站，从而导致信息安全问题。

互联网本来是安全的，自从有了“研究安全”的人，就变得不安全了。比如SQL注入攻击，自从1999年首次出现后就成为互联网应用安全的头号大敌，SQL注入攻击的本质是把用户输入的数据当作代码执行，而开发人员设计用户输入的功能时，本意只是提供一个用户交互功能，根据用户的输入返回动态页面结果，以便提供更好的用户体验。这个好的出发点，很不幸被恶意的人滥用了。再比如，钓鱼网站目前已成为很多金融企业的首要安全威胁，而在2011年以前，很多金融企业的安全人员甚至都没有考虑过这个问题。时至今日，他们仍会觉得很无辜，因为企业的网站并没有任何安全漏洞，是钓鱼网站的“狡猾”和用户的“傻”，才让攻击者有机可乘。

企业安全的好坏如何评价

安全这个东西很微妙，不像业务可以用销售额和用户数来衡量，也不像运维可以用稳定性指标（比如故障数）来衡量，也不像研发可以用bug数、服务器台数（体现成本和性能）、扩展性、专利等来衡量。

安全往往是事件性的，很可能你什么都不做，但一年都不出问题；也有可能你花了很大力气，买了很多设备，却还是问题频出。所以我们很难用单一的事件性指标来衡量安全做的好还是不好。

公司一年都没出安全事故，可以说明安全做得好吗？也有可能是别人根本没有攻击你。

公司一年都没有爆出新的漏洞，可以说明安全做的好？也有可能是自身发现能力不足。

企业做安全，最终还是要对结果负责。对于安全效果，有两个最关键的核心指标：一个是漏洞数，一个是安全事件数。

因此我们可以从下面的几个方面来回答我们的安全做的怎么样？

1）每年的安全事件数是否可控，与上一年相比是否有进步

2）发生安全事件时我们的响应时间

3）请外部供应商进行渗透测试评估企业的安全情况

4）安全建设程度与行业的对比，找出差距以及优势

5）规则制度是否完善

6）外部src报告的漏洞数

如何回答领导要求的“不出安全问题”

如果遇到一个不懂安全的领导，那么他们对安全的要求的可能就是“不出安全问题”，这个是非常正常的，领导认为投入了这么多资源，目的就是不出安全问题。

可作为安全人员来说，这里面的问题就大了，进入安全行业的时候，就一直被前辈教导，没有绝对的安全。我们能够保证一定不出安全问题吗？恐怕任何一个人都不能这样说。即使你在技术上做的再好，还有社工等各个手段可以攻破你。

但是面对领导这样的问题，我们可以直接说“没有百分之百的安全”吗。这类回答在道理上是对的，但对方不一定听得进去，很容易引发后续的低效沟通甚至心理上的冲突。

其实这类问题可以从另一个方面去回答，那就是ROI（投资回报率）。可以这样去说完全实现这个目标需要投入巨大的资源，尤其是在一些影响比较小的问题上，ROI（return on investment，投资回报率）会特别低。因此我会平衡投入与收益，尽量以尽可能少的投入，来获取更大的收益。这样会忽略一些比较小的风险，你看这样行吗？

安全原则

在进行企业安全建设的过程总，有一些共同的原则需要遵守

1）持续改进

在解决安全问题的过程中，不可能一劳永逸。安全产品、安全技术不能光靠名词的改变来实现转型升级，而是需要不断地随着攻击手段的发展而升级，也需要有人来运营，否则安全就是稻草人，在变化的攻击手段前不堪一击。因此，持续改进，PDCA（plan，do，check，act）循环，螺旋式上升

2）纵深防御

在安全防护技术没有革命性发展的当下，企业必须坚持纵深防御原则，从网络层、虚拟层、系统层、应用层，到数据层、用户层、业务层、总控层，进行层层防御，共同组成整个防御体系

3）非对称

对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的，而对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题。这种非对称性导致攻击者和安全人员的思维方式不同，也是企业信息安全工作难做的根本原因，因为破坏比建设要容易。战争中发明的各种反舰、巡航导弹、潜艇属于非对称作战武器。

安全成熟度模型

看到网上有人根据CMMI将安全的成熟度划分成了下面的6个渐进过程

●0级，能力缺失阶段。无法识别企业的安全风险。

● 1级，混乱无序阶段。虽然可以识别安全风险，但专职安全人员不足，没有建立相应的制度、标准、流程，也没有用安全事件来驱动技术保护策略措施的完善，依靠个人经验处理相应安全事务，安全能力尚处于混乱无序的状态。

● 2级，被动应对阶段。虽然被安全事件或合规驱动，也采用了部分安全技术管理措施，建立了基本的管理制度，出现安全事件时有相应的措施，而安全控制措施的有效性还存在较大不足，安全能力建设刚刚起步。

●3级，体系化阶段。虽然针对风险采取大多数安全技术措施，建立相应安全体系，并定期对安全技术措施进行优化，安全控制措施的执行已经达到标准化和文档化，但无有效的评估措施，无法评估安全技术措施的有效性。安全能力有规划地发展。

● 4级，主动防御阶段。建立了有效的企业信息安全体系，明确保护目标，全面识别风险，并制定了相应的安全控制措施和安全管理要求，拥有成熟技术支撑平台，有初级评估措施，有专人使用PDCA（Plan即计划、Do即执行、Check即检查、Act即处理）循环法对安全体系进行优化，定期评估安全控制措施的效果。安全能力得到全面提升，为业务更好地赋能。

5级，持续改进阶段。与业务高度融合，并保持安全技术措施、安全管理措施等方面的能力持续提升，将安全控制指标量化，提出SLA（Service Level Agreement，服务等级协定）承诺，并基于SLA采取安全技术措施和管理要求，产品、技术全部映射到服务交付，建立安全服务管理要求和标准，实现SOC（Security Operation Center，安全运营中心）平台化安全运营等。

总结

上面简要说了安全对于企业的价值以及如何评估企业安全的好坏。作为安全从业人员，我们也只有搞清楚了我们所从事行业的价值，才能去实现自己的意义以及真正的热爱该行业。

原文始发于微信公众号（信安路漫漫）：安全的价值与安全度量