自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

企业安全治理时绕不开的事

     文 | 王忠惠

新人该如何在互联网企业的信息安全工作中游刃有余？面对门类繁多的信息系统，如何为不同的业务系统和办公系统实施恰当的防护手段？面对这些问题，相信每一位被分配安全工作的人，都想在自己的管辖领域内施展手脚，以证明自己的安全专业性。

然而在我看来，盲目地建立“大一统的防护”是得不偿失的。即使不考虑一次性的建设实施成本，后续通过长期的安全运营和策略优化获得的安全价值和产出是否足以覆盖公司的投入和个人的绩效，也都缺乏科学客观的衡量，难免有自卖自夸之嫌。

建立对公司有帮助、有价值的安全工作，第一步考量的还是个人的职业性。认识公司，了解业务，从公司的工作流程中发现安全需求和安全价值，是比立马着手实施一些安全管理措施和安全防护技术之前更需要通盘规划的工作内容。

有人会说，虽然我在当前公司入职不长，但我在信息安全和同类业务已经干了五六年，当下公司怎么开展同类业务早就一目了然。诚然，同类业务经历有利于我们更早地规划防御，但也需要重视当前组织与其他组织的差异，既要看业务构成、延伸上的不同，也要看部门、人员在内外协调合作的不同，这些异常会体现在同类业务建立了不同风格的业务系统，并由于不同时期的建设方式遗留不同的问题待解决。

公司的组织结构和动员能力最终会影响软件系统的技术架构和业务流程。比如今天一个垂直型部门，是不可能像扁平型部门那样建立高效的微服务体系和快速周期的业务迭代的；一个业务主导型的部门很难有深度的技术研究，而会更专注于如何高效地实现业务柔性管理。你所在组织的动员能力和业务差异会深刻影响信息安全工作的开展，因此一直很有必要熟悉公司的各项业务，了解各部门的职责分工，建立业务清单，明确业务归属，在业务价值之上寻求安全价值的落地。

通盘了解业务不能一蹴而就，要求做好手头的信息安全工作，就需要发挥专业性了。也就是全面地梳理各类信息系统，了解系统存储的数据，熟悉各部门如何用系统开展各项业务工作。

这里的重点是全面。技术手段和工程进步可以帮助我们进行更细颗粒度和更复杂关系的梳理，如将资产梳理到API接口级别或是业务流与数据字段一一关联的程度，但所有工具只是展示现状，都没有解决资产全覆盖和风险识别无遗漏的问题，因此在我看来，全面的感知比较重要。

这是一种可容忍的科学治理态度，适当接受部分已知的威胁和入侵一定会发生，但知道会在哪一处发生；不能估计危害及影响，但会做好应急和处置的准备，以及必要时的完全切割。有对业务的逐步熟悉了解，建立全面的系统梳理相对会清晰很多。

当然，今天的软件服务如此丰富，除了自研、外采的系统，部署在客户网络环境的应用，公共SaaS、专有SaaS以及供应商和合作伙伴所使用的各种系统工具，早就已经嵌入到我们的业务系统和工作流程内。因此我们要从广度和深度进行分别的梳理。对系统、数据进行梳理，也对上下游的技术关系进行梳理。防护什么、改进什么、响应什么、处置什么、熔断什么都是基于通盘感知下的治理手段，给业务方提供能力清单，承诺基于通盘梳理和安全评估能够给予的安全保障水平，提前准备必要的取舍和常规的应急资源。同时，信息安全团队也通过提高自身的能力，将感知和结果对应起来，建立长期可提升的价值。

信息安全的很多工作是常态的、可持续的。随着公司业务的发展扩容，技术的迭代演进，业务、产品、运营和技术都会发生改观，底层的安全逻辑也会发生变化。因此需要我们持续地改善网络安全架构，并从系统功能内建立安全措施。

从本文开头我就一直很反对“大一统的防护”，提倡因地制宜，而在长期的日常工作中，更提倡深入业务和技术，将安全能力内置于业务和技术，从而消除非必要的安全防护。

今天同行们都在关注怎么衡量安全产品的产出和价值，是发现了攻击数量和不同类防护产品占比，还是阻挡的入侵数量，亦或是具备N-day的防护能力。

在我看来，攻击对于没有漏洞的系统不过是无效请求，大规模产线本身具备处理大规模高并发流量的能力，何况类似的DDoS攻击；入侵更是发生在防御之后，是安全产品无效的表现；而最后的N-day、0-day，我看到的更多是厂商们事后夸张的公关宣传。怎么修补中间件的0-day风险？要不要修？怎么修？考验什么？关键还是信息安全团队的安全研究和风险研判能力，自身系统的防护水位和常态的处置能力，更是组织对信息安全部门提供的动员保障能力。

为了做好以上这些，我们需要持续改善安全架构，并将安全功能内置于各类应用系统之中。今天，越来越多的组织开始实践SDL就是比较好的现象，更有某类业务系统自身具备拦截恶意IP、封堵恶意请求以及全链路防控等方式，也有越来越多的部门配备安全响应人员协助动员，这些都是安全工作与业务、技术持续融合共进的方向，安全从业人员也将有更大更长的有作为、能作为的空间。

随着安全业务的分化和深入，今天的安全工作也有更多的差异，包括治理、合规、风控、技术、工程等角色，每一类角色既要掌握管理手段，也需要具备技术能力。

当下不必去想如何平衡技术与管理的比重，设计出好的技术方案与设计出好的管理规则都需要心智，需要每个人的专业性和职业性的结合，那些一成不变和总结成熟的领域终将会失去魅力。要去解决问题，而非引入概念，并通过建立系统性思考，利用积极因素和消极因素构建体系化防御的蓝图，并保持持续革新，让这些思考和方法保持有效。

最后，还要将个人成长与团队成员的共同成长结合起来，这其中我也有一些思考和认识，期待后续与大家的讨论。