■本刊記者 郭濤

“人是安全要素”，換個中國人習(xí)慣的說法——以人為本的安全，既是本屆RSAC大會的主題，也是大會歸納出的十大趨勢之首。人在信息安全及社區(qū)中的價值，以及如何從人入手實(shí)現(xiàn)更好的信息安全保護(hù)等焦點(diǎn)問題，重又?jǐn)[上桌面，引人深思。

增強(qiáng)安全意識，讓安全成為一種企業(yè)文化

近年來，網(wǎng)絡(luò)安全技術(shù)的發(fā)展日新月異，但各項(xiàng)技術(shù)的發(fā)展，最終都是以人為推動力的。雖然有很多自動化的工具可以幫助人們完成眾多流程化的工作，但是在關(guān)鍵環(huán)節(jié)，還是需要人來決策和協(xié)調(diào)。

談到人在信息安全中的作用和價值，青藤云安全的專家表示，今天，網(wǎng)絡(luò)威脅和防御方法處于不斷變化之中，對企業(yè)內(nèi)的所有員工進(jìn)行安全意識培訓(xùn)，增強(qiáng)員工的網(wǎng)絡(luò)安全意識，可以更好地應(yīng)對網(wǎng)絡(luò)安全威脅。很多企業(yè)的高管認(rèn)為，網(wǎng)絡(luò)安全完全是IT人員的職責(zé)，但實(shí)際上，網(wǎng)絡(luò)安全的防御是每個人必須共同承擔(dān)的職責(zé)，員工良好的安全意識始終是企業(yè)數(shù)字化資產(chǎn)防御的第一道防線。

隨著各種技術(shù)的快速發(fā)展，人們很可能會忽視一個關(guān)鍵要素，那就是人。很多時候，人們專注于研究技術(shù)，而忽視了人在技術(shù)發(fā)展中所發(fā)揮的重要作用。2017年舉行的第五屆中國互聯(lián)網(wǎng)安全大會（ISC 2017）就是以“萬物皆變，人是安全的尺度”為主題，而RSAC 2020大會則包含了關(guān)于人的更多主題要點(diǎn)。這些再次說明，人始終是安全的一個永恒主題。

RSAC 2020以“人是安全要素”為主題，是在我們愈來愈依賴技術(shù)的情況下，讓我們重新審視人與技術(shù)的關(guān)系，告訴我們該如何改變固有的思維和行為，這對未來的網(wǎng)絡(luò)安全發(fā)展將起到非常重要的啟示作用。

隨著網(wǎng)絡(luò)安全面臨的威脅越來越大，對網(wǎng)絡(luò)安全人才的需求也與日俱增。在中國，網(wǎng)絡(luò)安全專業(yè)人才極為短缺。在很多情況下，因?yàn)閱T工的安全意識不強(qiáng)，出現(xiàn)人為操作失誤或是惡意行為，最終導(dǎo)致企業(yè)面臨安全風(fēng)險。近期，微盟研發(fā)中心運(yùn)維部一名核心運(yùn)維人員的惡意破壞，導(dǎo)致微盟宕機(jī)36小時。

近年來，DevSecOps在概念上被炒得火熱，但真正能夠落地的卻很少。青藤云安全專家認(rèn)為，其中很大原因在于組成DevSecOps的三駕馬車——開發(fā)、安全和運(yùn)維之間還不能夠保持有效的溝通，從而導(dǎo)致很多安全工作還處于事后打補(bǔ)丁的狀態(tài)，嚴(yán)重阻礙了產(chǎn)品交付的速度。因此，更應(yīng)該將安全內(nèi)嵌到開發(fā)中來，從源頭上就開始把握好安全問題。

回歸本質(zhì)，嚴(yán)防禍從“口”出

RSAC將今年大會的主題定為“人是安全要素”，并且在今年的創(chuàng)新沙盒競賽中，專注于隱私數(shù)據(jù)防護(hù)的創(chuàng)新廠商SECURITI.ai最終獲得冠軍。大家仿佛從中看到隱私防護(hù)、合規(guī)、關(guān)鍵鏈條等成為必然趨勢。但是，綠盟科技首席技術(shù)官和國際業(yè)務(wù)首席運(yùn)營官趙糧卻有不一樣的看法。他認(rèn)為，今年的主題是在之前5年甚至10年基礎(chǔ)之上一種“被迫”的回歸。

從2010年、2011年開始，安全行業(yè)就非常關(guān)注0 Day、APT高級持續(xù)威脅這樣的高精尖攻擊技術(shù)。但是，十年下來人們發(fā)現(xiàn)，其效果還是不夠好。這讓企業(yè)不得不進(jìn)行反思，到底怎樣才是更安全的？這就要回到更本質(zhì)的問題上來。

大家經(jīng)常講，禍從口出，病從口入。趙糧認(rèn)為，在網(wǎng)絡(luò)安全領(lǐng)域，這個“口”就是人。在行業(yè)中，當(dāng)出現(xiàn)安全問題時一般有三種可能：一是軟件和IT系統(tǒng)開發(fā)過程中出現(xiàn)的脆弱性和漏洞；二是軟件或App應(yīng)用在使用過程中，由于使用不當(dāng)或配置不當(dāng)而出現(xiàn)問題；三就是人，比如說社會工程攻擊，以及人的濫用、誤用、不合理使用和欺騙等，這些都是圍繞著人出現(xiàn)的安全問題。

說到人，又包括安全管理員和安全團(tuán)隊(duì)、IT管理員和IT團(tuán)隊(duì)、企業(yè)員工，以及企業(yè)的最終用戶。這四大群體就構(gòu)成了“人是安全要素”中的“人”。這四個層面中的任何一個環(huán)節(jié)出現(xiàn)紕漏，都會給最終的安全結(jié)果帶來影響。

因此，趙糧建議：企業(yè)要不斷提高安全管理員、安全團(tuán)隊(duì)的安全能力和安全意識；不斷提高IT管理員、IT團(tuán)隊(duì)的安全技能和安全事件處置效率；而企業(yè)員工和企業(yè)用戶要在安全產(chǎn)品、工具和服務(wù)方面不斷變革。

“我之所以說今年大會的主題是在之前五年、十年話題基礎(chǔ)上的回歸，是因?yàn)槲覀儼l(fā)現(xiàn)，并不是完全依靠高精尖的技術(shù)和工具就能搞定安全問題，最后還是要解決人的問題，才能把安全的短板補(bǔ)上?！壁w糧表示。

網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民

既然安全問題對企業(yè)業(yè)務(wù)的發(fā)展如此重要，而人又是解決安全問題的最關(guān)鍵的一把鑰匙。那么，如何才能真正做到“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”呢？

事實(shí)上，“以人為本”早已成為國內(nèi)信息安全建設(shè)的關(guān)鍵基因，而這與騰訊安全護(hù)航產(chǎn)業(yè)安全的做法不謀而合。

騰訊安全的一項(xiàng)戰(zhàn)略性前瞻是，安全是企業(yè)CEO一把手工程。在RSAC 2020上收到的2400份發(fā)言申請中，眾多針對“數(shù)據(jù)、威脅、風(fēng)險、隱私、管理和團(tuán)隊(duì)”的內(nèi)容均涉及安全方面的人為因素。尤其是在數(shù)據(jù)安全方面，大量數(shù)據(jù)顯示，企業(yè)員工有意或無意的行為是致使企業(yè)數(shù)據(jù)資產(chǎn)泄露的罪魁禍?zhǔn)住?/p>

CIO網(wǎng)站的調(diào)查數(shù)據(jù)，25%的受訪企業(yè)擁有CISO，11%擁有CSO，17%擁有另一位頭銜不同的高層安全管理人員。這意味著近一半的企業(yè)并沒有為安全團(tuán)隊(duì)任命任何高層管理人員。企業(yè)必須將安全置于最高等級的戰(zhàn)略高度，體現(xiàn)在企業(yè)的管理責(zé)任上，就是需要企業(yè)CEO親自抓。

騰訊高級執(zhí)行副總裁、云與智慧產(chǎn)業(yè)事業(yè)群總裁湯道生曾在第五屆CSS互聯(lián)網(wǎng)安全領(lǐng)袖峰會上表示：“安全不再只是CTO、CIO們的工作范疇，也需要CEO的戰(zhàn)略關(guān)注。產(chǎn)業(yè)互聯(lián)網(wǎng)時代，安全正成為CEO一把手工程?！?/p>

在企業(yè)從上到下給予安全足夠重視的前提下，如何將安全策略、措施執(zhí)行到位也是一項(xiàng)十分艱巨的任務(wù)。在終端安全方面，騰訊安全通過終端無邊界訪問控制系統(tǒng)（iOA）提供內(nèi)網(wǎng)和辦公終端的安全防護(hù)，讓運(yùn)維人員更加方便、高效地對內(nèi)網(wǎng)龐大的終端進(jìn)行管理。

安全從本質(zhì)上是人與人之間的對抗，扎實(shí)的安全人才體系是開展安全工作的基礎(chǔ)。騰訊安全凝聚了超過3500人的服務(wù)團(tuán)隊(duì)，支撐起騰訊安全提供安全服務(wù)的“前臺、中臺、后臺”。僅在2019年，騰訊安全就輸出了覆蓋多個領(lǐng)域的研究成果。與此同時，騰訊安全還著眼于整個產(chǎn)業(yè)安全“人才池”的儲備，通過發(fā)起騰訊信息安全爭霸賽（TCTF）、攜手發(fā)起極棒國際安全極客大賽（GeekPwn）等安全競賽，“以賽代練”培養(yǎng)適應(yīng)當(dāng)下安全形勢的安全人才。

從頂層的安全價值上升到企業(yè)CEO，再到底層的3500人服務(wù)團(tuán)隊(duì)，加上獨(dú)具特色的安全專家服務(wù)模式輸出，騰訊安全全方位打造了“以人為本”的戰(zhàn)略安全體系。

人與技術(shù)協(xié)同，打造以人為本的安全生態(tài)

早在2017年5月，360董事長兼CEO周鴻祎在一次談及勒索病毒的演講中回答“網(wǎng)絡(luò)安全最關(guān)鍵的因素是什么？”這個問題時曾明確回復(fù)：“是人?！?/p>

人是最大的安全漏洞。如果人不遵守安全規(guī)定，沒有安全意識，即使企業(yè)擁有再好的安全架構(gòu)，也抵不過公司內(nèi)部有一臺不受控制的服務(wù)器。對于企業(yè)來說，最有效的武器就是安全專家。在未來的網(wǎng)絡(luò)安全戰(zhàn)中，表面上是技術(shù)之間的較量，其實(shí)背后是人與人的較量。

在ISC 2017大會上，周鴻祎曾談到，在大安全時代，人是一切安全問題的根源，也是安全生產(chǎn)力。以前，我們習(xí)慣依賴各種各樣的技術(shù)體系，依靠不斷堆疊的軟件和硬件。但實(shí)際上，這些看上去固若金湯的安全防線很可能不堪一擊。在實(shí)踐中，我們必須通過人與技術(shù)的協(xié)同，建立以人為核心的安全體系和安全生態(tài)。

周鴻祎親自參加了RSAC 2020大會，并全程參與了時長三個小時的RSAC創(chuàng)新沙盒大賽。在眾多參賽企業(yè)中，周鴻祎發(fā)現(xiàn)ForAllSecure的理念和產(chǎn)品與大會的主題較為契合。ForAllSecure此次展出的產(chǎn)品是一款名為ForAllSecure Mayhem的機(jī)器人。ForAllSecure Mayhem并不打算代替人類安全分析師，而是通過分析自動化，甚至以線速修補(bǔ)常規(guī)類別的漏洞，從而讓人類分析師能夠更專注于解決真正棘手的問題。

在周鴻祎看來，如今的網(wǎng)絡(luò)安全已經(jīng)不能只依靠設(shè)備和系統(tǒng)維護(hù)，未來需要更多的安全專家和安全運(yùn)營商，對數(shù)據(jù)進(jìn)行分析、挖掘并深入追蹤，只有這樣才可能真正解決安全問題。