信息化、智能化社会形势下,信息安全问题不仅与企业自身利益息息相关,更是上升为关系国民发展的社会性问题。大量的安全从业人员活跃在企业和社会中,他们的价值是什么呢?我们不妨从“评”和“建”两个角度来看看。
一、评者
评者是促进企业和社会信息安全的神奇角色,这个阵营融入了各路黑客、白客和灰客,他们利用既有的方法并融合自己独特的智慧去挖据各种不安全的因素。
1. 黑客
作为游离在任何组织外的独立个体,向来都被打上了“神秘”、“高冷”、“特立独行”等富有个人主义色彩的标签,他们当中有那么一大批人会把发现的漏洞通过专业的平台和渠道汇报给企业和厂商,其中原因或是出于对社会的使命感和责任感,或是出于对自身能力的证明,亦或只是出于一个技术狂热爱好者希望通过自身探索发现去不断完善产品的偏执。
他们中还有那么一批人,他们会入侵到你的系统,留下“到此一游”的标记后便消失不见,这些人意不在破坏系统,也不在盗取数据,而是在通过自己特有的“乖张”方式希望能引起相关方对漏洞的重视。
黑客中还存在着另一股势力,他们投身黑产来获取利益,或为组织或为个人,各种动机终使自己成为难在阳光下行走的人。
2. 白客和灰客
白客和灰客们受雇于企业或专门的安全公司,他们是专业的安全研究员或评估者,被打上了“正规军”、“国家队”等标签。他们喜欢用夸张的、劲爆的、甚至让人难以理解含义的名词装饰自己的团队,以此制造神秘和吸引目光,个中目的是人性的使然,亦是为利润驱使。
二、建者
建者是创建安全系统的人员,更需要体现安全的综合性学科特征。他们在构造某个安全系统中,需要分析各种风险,综合运用策略、技术和管理手段保证系统的运行时安全。在大多数情况下建者要直面评者的挑战,系统百密一疏皆为失败,就好像建者铺满一片沙滩时,评者只要在其中发现一个瓦砾就够了。
安全人员是技术工作者,他们和所有的分析员、架构师、程序员……一样,是系统健壮性、完备性的守护者,这个职业只是因为多了一份执着和具有不同的视角而获得了过誉。
对整个安全行业来说,没有酷酷的标签一样能评估风险,一样能建设系统。大浪淘沙,留下来的不是那些标签,而是维护了业务生产力的安全策略和系统,这些策略和系统是评者、建者和业务共同促进发展的。