如何缓解内部对抗情绪

安全工作的意义其实不用多说，理性上大家都能理解。但不得不说在很多时候，配合安全工作是一件反直觉的事，毕竟要为未知的风险增加工作量。所以我们一直在思考一个问题：安全团队如何避免公司内部其他部门的对抗情绪？

如果你的公司安全与运维和开发都很和睦，那恭喜你，你的生存环境很好，下面的文章基本可以当故事看。没那么幸运的朋友可以思考一下对策，下文笔者尽量用中立的态度分析一下安全团队和业务团队之间的不同视角导致的对抗情绪，和我们的一些缓解方法。

业务角度怎么看安全？

找茬：密码要求动辄十几位，一被入侵就重装系统；

增加负担：修不完的漏洞，打不完的补丁，做不完的自查；

要求不合理：不理解业务需求，安全加固方案不合理；

事情搞不定：按照安全要求还是会出事。

安全部门怎么看业务？

执行力差：安全建议不执行，安全漏洞修的慢；

安全意识淡薄：“低级错误”不断，不是技术层面的问题；

屡教不改：同样的问题反复发生；

甩锅：出了问题安全背锅。

写到这我自己都感觉到一股火药味了，虽然在一个企业里不太可能遇到上述所有问题，但部分问题还是难免的。其中根源主要是安全部门和业务部门之间的关注点不同导致的。业务部门主要考虑，快速部署，快速上线，简化流程；安全部门则主要从减少攻击面、提高入侵门槛以及合规的角度考虑问题。

其实这也是安全领域的一个重要话题—简单和安全之间平衡点的选择。我们都希望在简单的环境中完美实现安全的所有需求，可惜这是不可能的。经过一系列实践，我们整理了三个层面的工作：

01

制度保障

合理性的底层保障，为了师出有名

安全管理方面的工作无论怎么做，都不太可能脱离管理制度。脱离制度保障，任何安全工作都师出无名。但制定过信息安全管理制度的朋友们肯定知道，按照标准搞一套管理制度，是一个相当庞大的文档集。就算是安全部门的工作人员也不太可能把所有文档阅读一遍，更不用说充分理解了。

这方面，我们参考了国家对法律的宣传，国家的法律更是一个宏大的文档体系，不是所有公民都能充分理解的，但我们经常能遇到的场景还是知道的，比如：杀人放火、小偷小摸、打架斗殴都是不同程度违反法律的。这得益于各类媒体对各类案件的宣传。参考这类方法，我们的做法是这样：

1、全套的制度文档建设，这是基础，遇到任何问题都要从这些文档找到合理依据或违规依据；

2、根据实际经验提炼出大部分员工经常能遇到的一些场景，再对应出相关条款进行重点宣传；

3、通过一些运营手段，对上述场景进行宣讲，加深理解（运营方面在下面的会有详细讨论）。

02

客观评估

公正、公平、公开的评估

日常管理工作中，有些事情催的急了对方反感，不催的话安全风险又迁延日久。我们目前正在实践的方法是“客观评估”。就拿漏洞通告来说，我们会对各系统的安全风险进行综合评估（元素包括：漏洞数量、威胁程度、修复超时时间等），然后得出一个安全评分。这本身没什么稀奇的，但最核心的是，评分规则要公开透明，让业务管理员知道如何能降低风险，也要让业务负责人知道为什么自己的安全评分是看到的这样。

有一个客观的评分后，这个评分排名就可以在公司内比较显眼的地方实时显示，既起到督促修复漏洞的作用，又避免了各业务对安全部门的质疑。因为评分标准是公开的，任何人都可以算出来。

利用系统客观评估的方法是我们目前能想到的，最能避免内部对抗情绪的被动方式，最后介绍一下主动的方式--安全运营。

03

安全运营

提高意识，互相理解

笔者所在企业从今年（2018）开始启动了安全运营工作。主要是希望安全工作能得到全公司的领导和员工的重视，针对非技术部门来说主要就是安全意识的提高。打个比方：如果你知道721事件（不了解的朋友可以自行百度），再到暴雨天就不会开车到低洼处（避免安全风险），也不会因为要在车里准备破窗锤而感到厌烦（增加安全手段）。

同样的道理，我们通过各类可以提高安全意识的活动，让大家对安全风险有一个直观的认知，尽可能理解安全部门相关工作的意义。针对安全运营，笔者会在相关的文章中详细论述，这里仅仅提出一个思路。

写在最后