深度解析“人是安全要素”

■本刊記者 郭濤

“人是安全要素”，換個中國人習慣的說法——以人為本的安全，既是本屆RSAC大會的主題，也是大會歸納出的十大趨勢之首。人在信息安全及社區中的價值，以及如何從人入手實現更好的信息安全保護等焦點問題，重又擺上桌面，引人深思。

增強安全意識，讓安全成為一種企業文化

近年來，網絡安全技術的發展日新月異，但各項技術的發展，最終都是以人為推動力的。雖然有很多自動化的工具可以幫助人們完成眾多流程化的工作，但是在關鍵環節，還是需要人來決策和協調。

談到人在信息安全中的作用和價值，青藤云安全的專家表示，今天，網絡威脅和防御方法處于不斷變化之中，對企業內的所有員工進行安全意識培訓，增強員工的網絡安全意識，可以更好地應對網絡安全威脅。很多企業的高管認為，網絡安全完全是IT人員的職責，但實際上，網絡安全的防御是每個人必須共同承擔的職責，員工良好的安全意識始終是企業數字化資產防御的第一道防線。

隨著各種技術的快速發展，人們很可能會忽視一個關鍵要素，那就是人。很多時候，人們專注于研究技術，而忽視了人在技術發展中所發揮的重要作用。2017年舉行的第五屆中國互聯網安全大會（ISC 2017）就是以“萬物皆變，人是安全的尺度”為主題，而RSAC 2020大會則包含了關于人的更多主題要點。這些再次說明，人始終是安全的一個永恒主題。

RSAC 2020以“人是安全要素”為主題，是在我們愈來愈依賴技術的情況下，讓我們重新審視人與技術的關系，告訴我們該如何改變固有的思維和行為，這對未來的網絡安全發展將起到非常重要的啟示作用。

隨著網絡安全面臨的威脅越來越大，對網絡安全人才的需求也與日俱增。在中國，網絡安全專業人才極為短缺。在很多情況下，因為員工的安全意識不強，出現人為操作失誤或是惡意行為，最終導致企業面臨安全風險。近期，微盟研發中心運維部一名核心運維人員的惡意破壞，導致微盟宕機36小時。

近年來，DevSecOps在概念上被炒得火熱，但真正能夠落地的卻很少。青藤云安全專家認為，其中很大原因在于組成DevSecOps的三駕馬車——開發、安全和運維之間還不能夠保持有效的溝通，從而導致很多安全工作還處于事后打補丁的狀態，嚴重阻礙了產品交付的速度。因此，更應該將安全內嵌到開發中來，從源頭上就開始把握好安全問題。

回歸本質，嚴防禍從“口”出

RSAC將今年大會的主題定為“人是安全要素”，并且在今年的創新沙盒競賽中，專注于隱私數據防護的創新廠商SECURITI.ai最終獲得冠軍。大家仿佛從中看到隱私防護、合規、關鍵鏈條等成為必然趨勢。但是，綠盟科技首席技術官和國際業務首席運營官趙糧卻有不一樣的看法。他認為，今年的主題是在之前5年甚至10年基礎之上一種“被迫”的回歸。

從2010年、2011年開始，安全行業就非常關注0 Day、APT高級持續威脅這樣的高精尖攻擊技術。但是，十年下來人們發現，其效果還是不夠好。這讓企業不得不進行反思，到底怎樣才是更安全的？這就要回到更本質的問題上來。

大家經常講，禍從口出，病從口入。趙糧認為，在網絡安全領域，這個“口”就是人。在行業中，當出現安全問題時一般有三種可能：一是軟件和IT系統開發過程中出現的脆弱性和漏洞；二是軟件或App應用在使用過程中，由于使用不當或配置不當而出現問題；三就是人，比如說社會工程攻擊，以及人的濫用、誤用、不合理使用和欺騙等，這些都是圍繞著人出現的安全問題。

說到人，又包括安全管理員和安全團隊、IT管理員和IT團隊、企業員工，以及企業的最終用戶。這四大群體就構成了“人是安全要素”中的“人”。這四個層面中的任何一個環節出現紕漏，都會給最終的安全結果帶來影響。

因此，趙糧建議：企業要不斷提高安全管理員、安全團隊的安全能力和安全意識；不斷提高IT管理員、IT團隊的安全技能和安全事件處置效率；而企業員工和企業用戶要在安全產品、工具和服務方面不斷變革。

“我之所以說今年大會的主題是在之前五年、十年話題基礎上的回歸，是因為我們發現，并不是完全依靠高精尖的技術和工具就能搞定安全問題，最后還是要解決人的問題，才能把安全的短板補上。”趙糧表示。

網絡安全為人民，網絡安全靠人民

既然安全問題對企業業務的發展如此重要，而人又是解決安全問題的最關鍵的一把鑰匙。那么，如何才能真正做到“網絡安全為人民，網絡安全靠人民”呢？

事實上，“以人為本”早已成為國內信息安全建設的關鍵基因，而這與騰訊安全護航產業安全的做法不謀而合。

騰訊安全的一項戰略性前瞻是，安全是企業CEO一把手工程。在RSAC 2020上收到的2400份發言申請中，眾多針對“數據、威脅、風險、隱私、管理和團隊”的內容均涉及安全方面的人為因素。尤其是在數據安全方面，大量數據顯示，企業員工有意或無意的行為是致使企業數據資產泄露的罪魁禍首。

CIO網站的調查數據，25%的受訪企業擁有CISO，11%擁有CSO，17%擁有另一位頭銜不同的高層安全管理人員。這意味著近一半的企業并沒有為安全團隊任命任何高層管理人員。企業必須將安全置于最高等級的戰略高度，體現在企業的管理責任上，就是需要企業CEO親自抓。

騰訊高級執行副總裁、云與智慧產業事業群總裁湯道生曾在第五屆CSS互聯網安全領袖峰會上表示：“安全不再只是CTO、CIO們的工作范疇，也需要CEO的戰略關注。產業互聯網時代，安全正成為CEO一把手工程。”

在企業從上到下給予安全足夠重視的前提下，如何將安全策略、措施執行到位也是一項十分艱巨的任務。在終端安全方面，騰訊安全通過終端無邊界訪問控制系統（iOA）提供內網和辦公終端的安全防護，讓運維人員更加方便、高效地對內網龐大的終端進行管理。

安全從本質上是人與人之間的對抗，扎實的安全人才體系是開展安全工作的基礎。騰訊安全凝聚了超過3500人的服務團隊，支撐起騰訊安全提供安全服務的“前臺、中臺、后臺”。僅在2019年，騰訊安全就輸出了覆蓋多個領域的研究成果。與此同時，騰訊安全還著眼于整個產業安全“人才池”的儲備，通過發起騰訊信息安全爭霸賽（TCTF）、攜手發起極棒國際安全極客大賽（GeekPwn）等安全競賽，“以賽代練”培養適應當下安全形勢的安全人才。

從頂層的安全價值上升到企業CEO，再到底層的3500人服務團隊，加上獨具特色的安全專家服務模式輸出，騰訊安全全方位打造了“以人為本”的戰略安全體系。

人與技術協同，打造以人為本的安全生態

早在2017年5月，360董事長兼CEO周鴻祎在一次談及勒索病毒的演講中回答“網絡安全最關鍵的因素是什么？”這個問題時曾明確回復：“是人。”

人是最大的安全漏洞。如果人不遵守安全規定，沒有安全意識，即使企業擁有再好的安全架構，也抵不過公司內部有一臺不受控制的服務器。對于企業來說，最有效的武器就是安全專家。在未來的網絡安全戰中，表面上是技術之間的較量，其實背后是人與人的較量。

在ISC 2017大會上，周鴻祎曾談到，在大安全時代，人是一切安全問題的根源，也是安全生產力。以前，我們習慣依賴各種各樣的技術體系，依靠不斷堆疊的軟件和硬件。但實際上，這些看上去固若金湯的安全防線很可能不堪一擊。在實踐中，我們必須通過人與技術的協同，建立以人為核心的安全體系和安全生態。

周鴻祎親自參加了RSAC 2020大會，并全程參與了時長三個小時的RSAC創新沙盒大賽。在眾多參賽企業中，周鴻祎發現ForAllSecure的理念和產品與大會的主題較為契合。ForAllSecure此次展出的產品是一款名為ForAllSecure Mayhem的機器人。ForAllSecure Mayhem并不打算代替人類安全分析師，而是通過分析自動化，甚至以線速修補常規類別的漏洞，從而讓人類分析師能夠更專注于解決真正棘手的問題。

在周鴻祎看來，如今的網絡安全已經不能只依靠設備和系統維護，未來需要更多的安全專家和安全運營商，對數據進行分析、挖掘并深入追蹤，只有這樣才可能真正解決安全問題。