Question

在企业做信息安全会遇到很多困惑，企业信息安全到底应该怎么做？管理、技术、流程和人员哪个更重要？安全团队和安全人才该怎么建设、培养和激励？笔者带着这些问题。

与各种安全圈内各种安全人士交流过，笔者发现长期以来一直困扰的问题与信息安全的本质有关，或者说，需要了解信息安全问题的本质是什么？

互联网本来是安全的，自从有了“研究安全”的人，就变得不安全了。比如 SQL 注入攻击，自从 1999 年首次出现后就成为互联网应用安全的头号大敌，SQL 注入攻击的本质是把用户输入的数据当作代码执行，而开发人员设计用户输入的功能时，本意只是提供一个用户交互功能，根据用户的输入返回动态页面结果，以便提供更好的用户体验。这个好的出发点，很不幸被恶意的人滥用了。再比如，钓鱼网站目前已成为很多金融企业的首要安全威胁，而在 2011 年以前，很多金融企业的安全人员甚至都没有考虑过这个问题。时至今日，他们仍会觉得很无辜，因为企业的网站并没有任何安全漏洞，是钓鱼网站的“狡猾”和用户的“傻”，才让攻击者有机可乘。

上面两个例子中，开发人员信任用户输入，用户信任钓鱼网站，从而导致信息安全问题。所以说，信息安全问题的本质是“信任”。计算机用 0 和 1 定义整个世界，而企业的信息安全目标是解决 0 和 1 之间的广大灰度数据，运用各种措施，将灰度数据识别为 0（不值得信任）或 1（值得信任）。信任是信息安全问题的本源。比如，某些普通企业设计信息安全方案时，会假设安全人员、开发人员、运维人员是默认被信任的；比普通企业安全要求更高的金融企业、国家机构等设计信息安全方案时，安全人员、开发人员、运维人员可能就是默认不被信任的。不同的信任假设决定了安全方案的复杂程度和实施成本，安全需要找到某个自己可以接受的“信任点”，并在这个点上取得成本和效益的平衡。