大多数网安行业的从业者喜欢把“没有绝对安全,只有相对安全”、“安全是动态的平衡”等这些话挂在嘴边,还声称要多给客户洗洗脑。如果从整体安全的角度来谈,这些话没有太大毛病,但是如果以这些话为安全产品质量问题或安全服务不到位等找借口进行开脱的话,就非常有问题了。
安全就应当是尽最大努力做到绝对安全,类似香农定律,同时更应当避免出现常见安全问题,网络安全领域一句至理名言是“三分技术,七分管理”,可见网络安全管理的重要性,大多数安全问题根源在于管理、执行和监督上的缺位。此次广东省教育厅安全事件主要还是来自于管理、执行和监督上没有到位。
当抱着“没有绝对安全”这个思想,就会放松警惕,得过且过,不出事就好,反正安全建设没法完全度量,只要找等保公司过测评就行了,证明做过等保就行了,至于日常安全运营和管理无所谓啦,成为了部分企事业单位安全建设和运营上的挡箭牌,似乎慢慢变成了等保公司要么和甲方单位同流合污,要么双方耍无赖了,一个说我做了等保了就没问量了,一个说等保测评没问题是他们没按照要求持续安全运营。
部分安全厂商在开发安全产品的时候,也会抱着“没有绝对安全”这个思想,从安全功能点出发,至于安全产品本身的开发安全问题缓一缓放一放,产品要抓紧做出来,能卖钱就行,或者等产品测评的时候再改,基本上没有软件安全开发的理念。一旦以这种态度对待安全产品,就会出现各种意想不到的安全问题,这几年已经有部分安全厂商的安全产品出过很严重的问题了。
“两高一弱”的整治工作,其实是对网络安全工作不到位的一个细化监督工作,高危漏洞、高危端口、弱口令本来就是网络安全工作中必须要重视的,现在拿出来当口号喊,可见得网络安全基础工作很多并没有执行到位、执行到底,都是能盖则盖,没办法,只能不断抠细节加强监督重点问题了。资产、漏洞、身份、权限这些基础工作都没做到位,三天打鱼两天晒网,不持续跟进运营,会留下很多网络安全隐患。
总之,网络安全就是要求以100%努力去做到100%的绝对安全,只有这样才能真正地做好安全,安全产品功能不求多,但是一定要做到保护的对象或场景是趋于绝对安全的,自身也一定要绝对安全的,以实战实用为目的。一个好的解决方案,一个好的产品,一定是朝绝对安全的目标前进的,而不是常把“没有绝对安全”挂嘴边的,说多了还真自己相信了,反正没有绝对的安全,那就躺平吧,目前很多安全厂商、测评机构、安全厂商都是这种心态,怕的是借口太多了,连正常话都不会说了。
