安全之我见

这个标题有点大，随便写点。

有“安全”，自己有对应的“不安全”，什么叫“不安全”呢？

“不安全”，可以分为两类：一类是本身固有的缺陷、弱点，可能因为地心引力等自然因素，或者一个误操作而触发，并非是人为主动有意引起的；另外一类是有人因为各种各校的原因故意搞破坏，是人为因素。其中第二类存在有意利用第一类缺陷的可能性。

因此，对于一个国家、组织、个人来说，需要尽可能减少第一类不安全，同时尽可能防御住第二类不安全。

第一类不安全怎么防呢？这个问题涉及设计、系统、代码、外包等等各个方面的因素，这里先不讲了。

第二类不安全怎么防呢？安全圈里有两句话，“知己知彼，百战不怠”，“不知攻，焉知防”。

从这两句话里，最重要的一层意思，“站在攻击者角度来看自己”，这也是为什么很多公司的安全负责人是业界有名黑客的原因，如……（一堆），除了人脉震摄住一部分小黑外，最重要的就是TA能从攻击者的视角看待公司这个千疮百孔的破网，哪里需要补，怎么补，哪里需要改，怎么改，哪里需要防，怎么防。TA知道黑客的攻击趋势，有哪些工具，又出现了什么新工具，会怎样绕过，怎样渗透，喜欢用钓鱼还是喜欢用水坑，清楚攻击者的思路，才能更好地做好防护。

国内有许多安全公司，也有许多安全实验室，根据安全人员占比、素质、所处的地位，一定程度上能够判定一家安全公司的安全产品是否靠谱，一个安全实验室是真正在做安全还是只为了拿国家的钱。

讲了“不安全”，再讲点“安全”。

“安全”，是有有效期的，我本科是学密码学的，密码学里有一个理念，具体忘记了，大体是“要求加密算法在除密钥被公开的任何情况下，多少年不可破”，就是说这份信息的价值在这些年内已经被挥发怠尽，即使被泄露也没关系。

“安全”也是相对的，安全投入的成本与所保护目标的价值相关，同样，攻击的成本与力度，与目标所具有的政治、金钱等利益成正比。很多银行金融类公司的安全投入，据说都是上不封顶。腾讯吃鸡游戏一年那么高的营收，就会有很多黑客为了利益写外挂、搞事。

有点乱七八糟的，先到这吧，近一年来感觉做的不是安全的工作，安全实践有些少！