NO.5观星术聂君《金融业企业安全建设之路》（上）

前言

关于「观星术」。

Chapter5 2017/12/11

本文部分截取自聂君先生的作品，

已获作者本人授权。

全文探讨的内容包括三个方面，安全观安全、安全运营建设和企业安全建设的一些思考。

因为聂总这篇文章比较长，干货满满，全都是来源于甲方企业安全建设一线的实战经验，既有原理又有方法论，这样总结性的文字对全行业的从业者来说都是非常宝贵的。所以我们决定以三篇观星术的篇幅跟大家进行全文完整的分享，推送时间和内容分别为：

周一（本期）7:30AM——安全观安全

周三7：30AM——安全运营之路

周五7：30AM——企业安全建设的思考

一、安全观安全

安全人员最重要的一点是安全问题解决的思路，以及看待安全问题的角度和高度，而不是掌握多少漏洞，拿下多少权限，这就是安全人员的安全观。

（一）安全本质

（二）安全原则

1、持续改进。

如何让一台服务器不被不明武装分子攻陷，有没有一个类似“照妖镜”的工具，一旦安装上就可以高枕无忧，让恶意的攻击者无所遁形，有没有一个万能的“上帝之手”，帮我们干掉所有安全问题？很遗憾，没有。在解决安全问题的过程中，不可能一劳永逸。

安全产品、安全技术需要不断的随着攻击手段的发展而升级，也需要有人来运营，否则安全就是稻草人，在变化的攻击手段前不堪一击。

2、纵深防御。

目前在安全防护技术没有革命性发展的情况下，坚持纵深防御原则，从网络层、虚拟层、系统层、应用层，到数据层、用户层、业务层、总控层，进行层层防御，共同组成整个防御体系。

3、非对称。

对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的，而对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题。

这种非对称导致攻击者和安全人员的思维方式不同，也是企业信息安全工作难做的根本原因，破坏比建设要容易，怎么扭转这种劣势呢？安全防护人员也需要非对称思维。

很多企业已经进行了商业化大规模部署并在实际对抗中取得不错的效果，这应该是未来安全防护发展的一个有益方向。

（三）安全世界观

（四）正确处理几个关系

1、科学与技术。安全既是一门科学，也是一门艺术。

2、管理与技术。安全管理和技术更像是灯芯与灯油的关系，谁也离不开谁。

3、业务与安全。安全是为业务服务的，安全更是业务的属性之一。

我经常问自己和团队，如果公司不是只有我们一个安全团队，我们安全团队在公司这个范围内不是垄断的，而是有其他安全团队也提供安全服务，在共同竞争的情况下，我们提供的安全服务还能被用户认可买单吗？

如果安全团队能和业务、开发运维一道剖析，站对方立场设计方案和执行要求，用户从心里是认可安全团队和安全服务的。实际中，我遇到很多这种情况，坚持安全服务的做法，会让安全团队之路走的更为顺畅。

*更正：上一期观星术的标题应该是NO.4【观星术】凌晨《威胁情报价值：北美和英国公司的第二个年度研究报告》，小编我粗心大意，写成了NO.3，有负组织对我的信任，本该一条白绫以谢天下，但我们郭总格外开恩说通胀时代白绫价贵，想想也就罢了，让我将功赎罪继续为大家服务。再次感谢各位粉丝对观星术的支持，我爱你们~

下期预告

聂君《金融业企业安全建设之路》（中）

我是主播尚书，咱们下周一再见啦~