Question

对于信息安全工作目标和实现方案，每个企业可以根据自己的实际情况做出选择，可谓各有千秋，但有些普适性的基本原则是相通的。概括而言，信息安全原则主要有三点：持续改进、纵深防御和非对称。

1.持续改进

有没有办法确保一台服务器不被不明武装分子攻陷？有没有一个类似“照妖镜”的工具，一旦安装上就可以高枕无忧，让恶意的攻击者无所遁形？有没有一个万能的“上帝之手”，帮我们干掉所有安全问题？很遗憾，以上“神器”都不存在。

在解决安全问题的过程中，不可能一劳永逸。很多安全厂商在推销自己的安全产品时，吹得天花乱坠，似乎无所不能，从早期的防火墙、防病毒、入侵检测，到现在的态势感知、威胁情报、智能分析，安全防御技术本身并没有革命性的变化。一套入侵检测技术包装个名词，就能摇身一变从 IDS 到 IPS、SIEM，再到现在的威胁情报，但本质上，都还是开发检测规则，进行异常模式识别。安全产品、安全技术不能光靠名词的改变来实现转型升级，而是需要不断地随着攻击手段的发展而升级，也需要有人来运营，否则安全就是稻草人，在变化的攻击手段前不堪一击。

因此，持续改进，PDCA（plan，do，check，act）循环，螺旋式上升，是信息安全的第一个原则。

2.纵深防御

在典型的入侵案例场景中，攻击者利用 Web 应用漏洞，获得低权限 WebShell，然后通过低权限的 WebShell 上传更多文件，并尝试执行更高权限的系统命令，进一步在服务器上提权，再横向渗透，获得更多内网权限。在这个典型的攻击路径中，如果在任何一个环节设置有效的安全检测和防御措施，攻击都可能被检测和阻止。

因此，在安全防护技术没有革命性发展的当下，企业必须坚持纵深防御原则，从网络层、虚拟层、系统层、应用层，到数据层、用户层、业务层、总控层，进行层层防御，共同组成整个防御体系。这是信息安全的第二个原则。

3.非对称

对于攻击者来说，只要能够找到企业系统的一个弱点，就可以达到入侵系统的目的，而对于企业信息安全人员来说，必须找到系统的所有弱点，不能有遗漏，不能有滞后，才能保证系统不会出现问题。这种非对称性导致攻击者和安全人员的思维方式不同，也是企业信息安全工作难做的根本原因，因为破坏比建设要容易。战争中发明的各种反舰、巡航导弹、潜艇属于非对称作战武器。

该怎么扭转这种劣势呢？答案就是，安全防护人员也需要非对称思维。

那么，在信息安全领域，应该发展哪些非对称的安全防护“武器”呢？在这种情境下，各种“蜜”的产品应运而生了，蜜网站、蜜域名、蜜数据库、蜜表、蜜字段、蜜数据、蜜文件……如果企业在面对攻击时进行安全反制，恶意攻击者就很难全身而退。据我所知，很多企业已经进行了商业化大规模部署，并在实际对抗中取得不错的效果，这应该是未来安全防护发展的一个有益方向。

认识到非对称，并找到解决非对称问题的方法，这是信息安全的第三个原则。