浅谈网络安全工作话语权

近日朋友圈广泛流传的配图，是网络安全工作的一个缩影。

安全之所以难做，在于它是几个方面的矛盾体：

一是资源不足与需求广泛的矛盾：

从学习路线来说，学习安全技术需要先了解大量IT基础知识，从应用到内核以及数不胜数的各种组件。从思维上说，安全并不是运用这些基础知识进行建设；正相反，安全站在了另外一个维度思考风险。从这两方面来说，安全并不是传统概念中循序渐进、所见即所得的成长过程；甚至可以说，这个技术流派比较小众。它需要时间、精力的投入和思维的沉淀。当前全国百万级的安全人才缺口，充分说明了网络安全人才培养的艰难。无论从整体还是局部来看，安全资源都是远远不足的。

资源捉襟见肘更反衬了需求的广泛。根据CNCERT《2017年我国互联网网络安全态势综述》，2017年我国有上千万台主机被控，约2万个网站被篡改。也许有人认为这只不过是技术人员在利益的驱动下选错了道路，其实即使在人员1:1的情况下，防御也远比攻击艰难，这是由攻守双方信息不对称决定的。更何况还存在境外政府“网军”这种超常规技术力量存在。

二是安全性与便捷性不可兼得的悖论：

这是老生常谈的话题了。安全自带成本中心属性，想要控制风险就需要投入。最终的结果，无非是在安全成本与攻击损失、资产价值与攻击成本之间做均衡。如果安全性与便捷性统一了，说明攻击根本没啥威胁，不需要做安全。而在现实中，这种情况是不存在的。只要资产价值高于攻击成本，攻击就会保持高威胁水准。

三是安全重要性与安全推广难度的矛盾：

在国家的强力主导下和一个又一个血淋淋的攻击案例面前，网络安全工作得到了空前的重视。很多机构，尤其是信息化体量较大或较重要的机构，坚决落实网络安全合规性和责任制不是问题了。

然而，由于安全性与便捷性的悖论存在，安全推广必定与业务生产存在矛盾。在安全应该服从业务、还是业务应该服务安全这个问题上，答案必然是前者，因为如果业务没有了，安全也就没有存在的必要。这就是安全的两难之处：做少了或者不做，业务可能被搞死；做多了或者做错了，则可能把业务搞死。

我们往往执著于具体问题谁对谁错，而忽视了对客观规律的考量。

人们会天然选择便捷性，除非便捷性自身收到危害。当攻击损失达到可以影响到业务的程度，人们自然会考虑安全。当然，攻击损失有那么大的时候就晚了。我们不能亡羊补牢，而是要未雨绸缪。因此，当前的问题在于，必须提升人们认知范围内的威胁严重程度，人们才能像当初选择便捷性的时候选择安全性，人们才能像解决系统、网络、应用问题一样解决安全问题。

威胁预警的方法有很多，渗透测试、红蓝对抗、“绵羊墙”等等。核心在于要有足够的威胁强度。企业日常接触的威胁都不严重，常规扫描和病毒而已。几年能够等到0 day或者高级木马已经算高概率了。平均下来，人们当然意识不到威胁的严重性。威胁预警必须保持在认知范围内的高级别，才能对安全工作产生有效的推动作用。

当攻击成本小于资产价值时，攻击者会倾向于从攻击中获利。然而攻击损失客观上不高于资产价值，当安全成本高于资产价值的时候，人们会选择直接放弃这部分资产，因为承受的损失要小于安全投入，就没有投入的必要了。

从收益角度，这没有错。但是从整体网络环境安全治理角度考虑，这是存在问题的，因为攻击者终究通过攻击获得了利益。资本家为了保护市场和公平性选择倾倒牛奶，企业也应保护整体网络环境而不要轻易放弃阵地。如果没有安全防护能力，或者不愿意采取防护，那么至少应该“坚壁清野”，不能让攻击者获利。这与技术能力无关，是每一个互联网参与者对网络环境的责任。