蓝盟-系统集成-蓝盟官网

蓝盟IT外包观点：安全建设也要不忘初心

发布者：上海IT外包来源：www.linemore.com

安全和业务可能天生就存在矛盾，绝对的安全即彻底切断一切网络连接，业务完全中断，业务如果要把体验做到极致，一定需要安全做一定程度的妥协，当然如果你拥有无限资源无限开火权另当别论。
安全建设的本质就是以一定的成本追求最大的安全防护效用，这一定是会有所妥协的。对于某些不停叫嚣着宁可业务中断也要做安全的观点本质是什么？答案可能比较暗黑，就是不想承担责任，不想担当。
业务完犊子了安全团队不用承担责任，可以腆着脸说“你看安全不是没出问题嘛！”这诚然是一种保护自己的方法，但是从公司的角度来看这就是一种混账逻辑。安全本质一定是为业务服务，如果业务完犊子了，即使安全做得再好也没有用，确切的说，安全必然要为业务量身定制，如果业务要轻装上阵，你给他重装机甲就纯属扯淡，只能配置钛金属防弹背心。安全做得过重显然是不合适的。好的安全团队需要拥有更加积极的心态，坚持原则又明白给业务让路，但是要注意把握好分寸，避免自己的好心被人利用，成为安全问题不整改的免责窗口，铁锅满天飞，这就事与愿违了。
安全做得不称职的表现，除了“无视业务死活”，还包括：用户体验大打折扣，产品竞争力下降；公司内部流程大幅增加，严重影响工作效率；限制太多员工满意度严重下降，人员流失；规章制度太多，以至于公司文化显得不近人情……这些都属于安全做过头的表现。
有的人走的太久，以至于忘了初心是什么，我从哪里来，要哪里去？难道我迷路了吗？
那么哪些可以妥协，哪些必须坚守呢？高危漏洞，有明显的利用场景，坚决不能妥协。重要的安全特性，比如公有云中的VPC，底层缺少一个安全特性，直接会导致安全建设的上层建筑失去了“地基”，整个都不牢靠了，这种还是要坚持，可以不精致，但必须有。
对于不痛不痒的漏洞，以及待开发的安全功能，如果开发周期很长，受众群体很少，使用该功能的用户比例极少，边缘性产品，诸如此类的情况可以考虑酌情妥协。
妥协并非退让，而是大视野，大局观，看眼前更要看到未来，试想公司业务停滞不前的时候，安全建设如何能体现自己的价值？与其被动跟随不如主动走在前面。
无论公司处于何种阶段，安全建设都只是手段，而不是目的，安全建设始终只是为业务服务的一种必要手段，我们使用任何一种手段，都意味着获得了某种通向自由之路的快捷方式，但反过来也会把你带向奴役之路，你最终会被手段绑架，忘记了自己的初衷到底是什么，只有不忘初心，才不会迷失方向。

微软云

IT采购

弱电工程

系统集成

客户故事

蓝盟IT外包观点：安全建设也要不忘初心

400-635-8089