深度解析“人是安全要素”

■本刊记者 郭涛

“人是安全要素”，换个中国人习惯的说法——以人为本的安全，既是本届RSAC大会的主题，也是大会归纳出的十大趋势之首。人在信息安全及社区中的价值，以及如何从人入手实现更好的信息安全保护等焦点问题，重又摆上桌面，引人深思。

增强安全意识，让安全成为一种企业文化

近年来，网络安全技术的发展日新月异，但各项技术的发展，最终都是以人为推动力的。虽然有很多自动化的工具可以帮助人们完成众多流程化的工作，但是在关键环节，还是需要人来决策和协调。

谈到人在信息安全中的作用和价值，青藤云安全的专家表示，今天，网络威胁和防御方法处于不断变化之中，对企业内的所有员工进行安全意识培训，增强员工的网络安全意识，可以更好地应对网络安全威胁。很多企业的高管认为，网络安全完全是IT人员的职责，但实际上，网络安全的防御是每个人必须共同承担的职责，员工良好的安全意识始终是企业数字化资产防御的第一道防线。

随着各种技术的快速发展，人们很可能会忽视一个关键要素，那就是人。很多时候，人们专注于研究技术，而忽视了人在技术发展中所发挥的重要作用。2017年举行的第五届中国互联网安全大会（ISC 2017）就是以“万物皆变，人是安全的尺度”为主题，而RSAC 2020大会则包含了关于人的更多主题要点。这些再次说明，人始终是安全的一个永恒主题。

RSAC 2020以“人是安全要素”为主题，是在我们愈来愈依赖技术的情况下，让我们重新审视人与技术的关系，告诉我们该如何改变固有的思维和行为，这对未来的网络安全发展将起到非常重要的启示作用。

随着网络安全面临的威胁越来越大，对网络安全人才的需求也与日俱增。在中国，网络安全专业人才极为短缺。在很多情况下，因为员工的安全意识不强，出现人为操作失误或是恶意行为，最终导致企业面临安全风险。近期，微盟研发中心运维部一名核心运维人员的恶意破坏，导致微盟宕机36小时。

近年来，DevSecOps在概念上被炒得火热，但真正能够落地的却很少。青藤云安全专家认为，其中很大原因在于组成DevSecOps的三驾马车——开发、安全和运维之间还不能够保持有效的沟通，从而导致很多安全工作还处于事后打补丁的状态，严重阻碍了产品交付的速度。因此，更应该将安全内嵌到开发中来，从源头上就开始把握好安全问题。

回归本质，严防祸从“口”出

RSAC将今年大会的主题定为“人是安全要素”，并且在今年的创新沙盒竞赛中，专注于隐私数据防护的创新厂商SECURITI.ai最终获得冠军。大家仿佛从中看到隐私防护、合规、关键链条等成为必然趋势。但是，绿盟科技首席技术官和国际业务首席运营官赵粮却有不一样的看法。他认为，今年的主题是在之前5年甚至10年基础之上一种“被迫”的回归。

从2010年、2011年开始，安全行业就非常关注0 Day、APT高级持续威胁这样的高精尖攻击技术。但是，十年下来人们发现，其效果还是不够好。这让企业不得不进行反思，到底怎样才是更安全的？这就要回到更本质的问题上来。

大家经常讲，祸从口出，病从口入。赵粮认为，在网络安全领域，这个“口”就是人。在行业中，当出现安全问题时一般有三种可能：一是软件和IT系统开发过程中出现的脆弱性和漏洞；二是软件或App应用在使用过程中，由于使用不当或配置不当而出现问题；三就是人，比如说社会工程攻击，以及人的滥用、误用、不合理使用和欺骗等，这些都是围绕着人出现的安全问题。

说到人，又包括安全管理员和安全团队、IT管理员和IT团队、企业员工，以及企业的最终用户。这四大群体就构成了“人是安全要素”中的“人”。这四个层面中的任何一个环节出现纰漏，都会给最终的安全结果带来影响。

因此，赵粮建议：企业要不断提高安全管理员、安全团队的安全能力和安全意识；不断提高IT管理员、IT团队的安全技能和安全事件处置效率；而企业员工和企业用户要在安全产品、工具和服务方面不断变革。

“我之所以说今年大会的主题是在之前五年、十年话题基础上的回归，是因为我们发现，并不是完全依靠高精尖的技术和工具就能搞定安全问题，最后还是要解决人的问题，才能把安全的短板补上。”赵粮表示。

网络安全为人民，网络安全靠人民

既然安全问题对企业业务的发展如此重要，而人又是解决安全问题的最关键的一把钥匙。那么，如何才能真正做到“网络安全为人民，网络安全靠人民”呢？

事实上，“以人为本”早已成为国内信息安全建设的关键基因，而这与腾讯安全护航产业安全的做法不谋而合。

腾讯安全的一项战略性前瞻是，安全是企业CEO一把手工程。在RSAC 2020上收到的2400份发言申请中，众多针对“数据、威胁、风险、隐私、管理和团队”的内容均涉及安全方面的人为因素。尤其是在数据安全方面，大量数据显示，企业员工有意或无意的行为是致使企业数据资产泄露的罪魁祸首。

CIO网站的调查数据，25%的受访企业拥有CISO，11%拥有CSO，17%拥有另一位头衔不同的高层安全管理人员。这意味着近一半的企业并没有为安全团队任命任何高层管理人员。企业必须将安全置于最高等级的战略高度，体现在企业的管理责任上，就是需要企业CEO亲自抓。

腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生曾在第五届CSS互联网安全领袖峰会上表示：“安全不再只是CTO、CIO们的工作范畴，也需要CEO的战略关注。产业互联网时代，安全正成为CEO一把手工程。”

在企业从上到下给予安全足够重视的前提下，如何将安全策略、措施执行到位也是一项十分艰巨的任务。在终端安全方面，腾讯安全通过终端无边界访问控制系统（iOA）提供内网和办公终端的安全防护，让运维人员更加方便、高效地对内网庞大的终端进行管理。

安全从本质上是人与人之间的对抗，扎实的安全人才体系是开展安全工作的基础。腾讯安全凝聚了超过3500人的服务团队，支撑起腾讯安全提供安全服务的“前台、中台、后台”。仅在2019年，腾讯安全就输出了覆盖多个领域的研究成果。与此同时，腾讯安全还着眼于整个产业安全“人才池”的储备，通过发起腾讯信息安全争霸赛（TCTF）、携手发起极棒国际安全极客大赛（GeekPwn）等安全竞赛，“以赛代练”培养适应当下安全形势的安全人才。

从顶层的安全价值上升到企业CEO，再到底层的3500人服务团队，加上独具特色的安全专家服务模式输出，腾讯安全全方位打造了“以人为本”的战略安全体系。

人与技术协同，打造以人为本的安全生态

早在2017年5月，360董事长兼CEO周鸿祎在一次谈及勒索病毒的演讲中回答“网络安全最关键的因素是什么？”这个问题时曾明确回复：“是人。”

人是最大的安全漏洞。如果人不遵守安全规定，没有安全意识，即使企业拥有再好的安全架构，也抵不过公司内部有一台不受控制的服务器。对于企业来说，最有效的武器就是安全专家。在未来的网络安全战中，表面上是技术之间的较量，其实背后是人与人的较量。

在ISC 2017大会上，周鸿祎曾谈到，在大安全时代，人是一切安全问题的根源，也是安全生产力。以前，我们习惯依赖各种各样的技术体系，依靠不断堆叠的软件和硬件。但实际上，这些看上去固若金汤的安全防线很可能不堪一击。在实践中，我们必须通过人与技术的协同，建立以人为核心的安全体系和安全生态。

周鸿祎亲自参加了RSAC 2020大会，并全程参与了时长三个小时的RSAC创新沙盒大赛。在众多参赛企业中，周鸿祎发现ForAllSecure的理念和产品与大会的主题较为契合。ForAllSecure此次展出的产品是一款名为ForAllSecure Mayhem的机器人。ForAllSecure Mayhem并不打算代替人类安全分析师，而是通过分析自动化，甚至以线速修补常规类别的漏洞，从而让人类分析师能够更专注于解决真正棘手的问题。

在周鸿祎看来，如今的网络安全已经不能只依靠设备和系统维护，未来需要更多的安全专家和安全运营商，对数据进行分析、挖掘并深入追踪，只有这样才可能真正解决安全问题。