再谈技术与管理

停笔半年，顺带着也想了不少问题，虽然大多数还没结果。那就先讲讲有结果的事情，虽然可能也挺有争议。

这半年当中，听到很多这样的言论：“安全领域，能用技术解决的，就尽量用工具或系统解决”；“三分技术、七分管理不太适用了，现在应该是七分技术、三分管理，至少也是对半开”；“你还是要钻研技术啊，这才是立家之本，最终都是需要靠技术去落地的”，促使我重新去审视技术和管理的关系。难道我以前的认知有错？技术和管理到底是什么关系？以下是我的思考所得，说的不对之处，请多多指正。

观点一、技术和管理都是为了目标服务，在这个维度看，两者是平等的。

企业经营的本质是什么，是盈利、增长；因此所有的企业活动都应该为了盈利、增长服务，信息安全工作也不例外。据此，信息安全工作应该有自己的目标（也就是做到什么状态，才可以直接为企业的盈利和增长服务）；基于目标，信息安全团队会识别&发现风险、评估风险，并制订一系列技术措施和管理措施，以达到控制风险、直接或间接服务于企业经营目标。

从这个角度看，无论技术措施还是管理措施，没有轻重之分，都是为了信息安全的目标服务，进而支撑实现企业的经营目标。同时，为了实现信息安全目标和企业经营目标，团队应该选择投资收益比最恰当的手段，而不应该在技术手段和管理手段上有所偏颇。

观点二、“三分技术、七分管理”的说法依然适用，但是要明确其内涵。

这里说的“管理”指的是：从事信息安全工作的人要有管理思维。“技术”只是支撑信息安全目标、管理思维的工具、手段之一，只是解决问题的手段之一，我的个人观感下，至少50%的场景下不是唯一手段，甚至不一定是最佳手段。在我见过听过的中小企业信息安全工作，甚至80%都不是技术手段的问题，而是管理问题。

那么，什么是管理思维？我概括了如下几点：

（1）以客户为中心

信息安全团队的核心客户是谁？是老板。信息安全工作是帮谁解决问题？老板。所以安全团队要站在老板的角度思考问题、解决问题，做到“没有私心”，做到公司利益最大化、客户利益最大化，而不是安全团队利益最大化。

有时候安全团队会遇到这样的情况：人少、活多、杂事多而琐碎，为了改变这种状态，于是想着是不是把一些自己不喜欢的工作扔出去给其他团队做。乍看上去，自己是轻松了、可以做更有价值的工作了，但实际上交出去的工作并没有得到很好的落实与执行，自身也缺乏足够的能力管理和驱动其他团队，结果反而给公司造成了一个安全的大窟窿。这就是“私心大于公心”，没有以客户为中心。

（2）找到问题的根源、确立目标并解决

信息安全工作推进过程中会遇到各种问题，要善于找到问题的根本原因（而不是直接原因）并予以解决。

不能说要做数据安全就上DLP，不能说因为联软的桌面管控工具不在自己手上管理、就要把它替换成奇安信的天擎，不能因为自己喜欢腾讯IOA就要把现在的防病毒软件替换掉，不能说没有做统一身份管理就要上一个IAM系统，不能因为别人说趋势防病毒用的不好、不问原因的就弃用趋势，不能说别人的ArcSight用得好、我也得用ArcSight。有的人情愿天天灭火杀毒，也不愿意推动解决公司盗版操作系统泛滥、恶意软件丛生的问题。我还是那句话，在绝大多数企业里面遇到的信息安全问题80%其实都是管理问题，要先找到原因，而不是一下子就跳到解决方案。找到原因之后，也不是马上定解决方案，而是要确定目标、也就是解决问题之后达到什么样的状态和效果。我们往往在不同的方案之间难以选择，其实就是因为（1）原因没找到、没找对；（2）不知道目标是什么、要做成什么样子；（3）成本投入没有算清楚。

（3）有体系、框架和套路

信息安全体系这个东西说复杂其实一点都不复杂，不就是PDCA加上一堆控制点么，不就是一套文件体系加上执行、检查、改进么。在组织架构、流程机制上做到就是了，一点都不难。

信息安全架构和规划要提前立好，以便和管理层、团队成员统一目标、统一行动。架构就是包含了输入、输出和怎么做的方法论，而不只是应用系统架构、技术架构。具体应该包括（1）做什么；（2）怎么做（流程或者是逻辑）；（3）具体工作内容、模块之间的关系。

信息安全工作（尤其是难点任务）推进的时候，也需要一些套路：首先和管理层达成一致，然后开项目启动会，然后周报月报跟踪管理，坚持做好干系人沟通，项目完成之后论功行赏（即便是个表扬，那也可以啊），再做个宣传培训让众人皆知。末了，加个审计项、定期审计，确保有效执行。

如果缺少这些体系、框架和套路，信息安全工作看着不够高大上，也很难落地。

（4）管理策略、机制流程要配合技术工具

为了解决一个安全问题，有时候既要技术工具，也要管理策略和机制流程。举个例子，为了解决互联网资产识别不全面的问题，上了一个互联网资产扫描&发现工具，但是这个工具也有所依赖啊，你得把公司互联网出口的IP地址段告诉它。那么，如果网络团队没有把互联网出口的IP地址段及时更新给安全团队，这个工具的有效性就会降低。这时，就要有配套的管理措施，保证IP地址段可以及时更新。怎么办？（1）流程上，可以在IP地址采购后加一个动作，通知安全团队；也可以在网络策略变更之后加一个自动检查动作，发现新IP地址则通知安全团队；（2）策略上，可以明确网络团队必须及时把信息及时更新给安全团队的及时性、准确性要求，以及达不到要求之后的罚则；（3）机制上，如果网络团队可以做到100%的及时、准确地更新信息，则给予一定的奖励。

有了以上的管理思维，在解决问题的道路上会非常顺利，技术手段的高效、严格不易出错的特性也将保障最终目标的达成。

观点三、“企业、金融企业里面，技术才是立家之本？”互联网我80%不认可。

在互联网、金融企业里面，攻防双方在技术上的对抗异常激烈，其场景与科技类企业的场景截然不同。因此，在互联网、金融企业里面做安全，对技术能力的要求很高，这个完全可以理解。但是说技术才是立家之本，我80%不认可。原因如下

（1）如上所说，绝大多数企业里面遇到的安全问题，80%应该都是管理问题，不是技术问题；

（2）如果把基础工作做扎实，80%的安全风险其实是可以控制的。打好补丁和安全基线、做好安全域的隔离和访问控制、管好资产、切实做到权限最小化、减小风险暴露面，高精尖的技术可能用不到那么多；

（3）唯技术论会让信息安全工作陷入盲目追求先进技术的地步，不看投入产出比、不看解决问题的实用性是一个非常危险的状态；

（4）之所以同意20%，是因为无论团队leader还是成员，都必须技术功底扎实、或可以互相补足。团队leader如果只懂管理、不会做技术判断，那肯定不行；团队leader也要与时俱进，消化吸收先进的攻防体系、模型理论，并为我所用。同时，攻防对抗确实有很多技术点上的较量，需要运用或探索新技术、新工具、新方法。

观点四、“能用技术工具或系统实现的，尽量就用技术实现”。我70%不认可。

本来这个观点我很纠结，结果最近碰到的2个例子让我豁然开朗。先声明下，如下例子有虚构成分，只是为了让大家更好理解我的观点。

例子一：网络团队跑来跟我说，因为现在都是手工设置防火墙策略，量大耗人工、而且手工设置容易出错，要建个系统、把这个过程自动化，申请人按照模版要求填好网络策略申请，主管审批之后、网络管理员审批，然后系统到时间就下发变更任务、设置防火墙策略，并将结果反馈给申请人，既提高效率节省时间、又减少出错几率，还符合了“尽量用技术实现”的原则，建这个系统只要花10万，多么完美！我就问他们，为什么1年有2000单网络策略变更，然后巴拉巴拉讲了一堆原因；我把2000单变更申请拿过来分析，发现90%的策略变更都是用户终端访问某个业务域，再一分析，原来是网络域的划分不合理、访问控制策略不合理导致的。接下来怎么办？方案A：建个系统，把防火墙策略审批和设置自动化；方案B：调整网络域和访问控制策略，可以将每年2000单的策略变更降低到每年200单。综合比较下各自的投资收益比，答案自然就出来了。

例子二：有个员工跑过来跟我说，要求提交ITIL服务请求之后增加催办功能，而且要通过邮件、短信、OA每天提醒。技术层面看，实现这个需求一点都不难，换别人转身就干了，偏巧他遇到我。我就问他：“技术实现没问题，但是为什么要这么干”？他说我在前东家就是这样的，都是根据邮件来处理请求的，2天不处理请求要扣绩效的，咱们公司太拖沓，提交了ITIL服务请求、3天才完成，得催！我又问：“催完之后怎么办呢？如果还是3天才完成，怎么办呢？处理人为什么会3天才处理呢？3天处理是否符合我们的规范？”一下子问倒了他。我其实还有个问题没问他：“如果没有绩效、奖惩举措，催办就一定能达到你的期望吗？”

举这2个例子是想说明，如果没有搞清楚原因和目标，没有算清楚投资收益比，如果没有想好配套的管理措施，如果没有合适的文化支撑，就直接用技术方案解决问题，是不恰当的。而且“能用技术实现就尽量用技术实现”这个提法本身就容易产生这个错误的导向。这是我80%不认可的原因。

对这个提法还是有30%认可，原因在于如果工具和系统用对地方，确实可以提高效率、节省时间、降低失误率，而且也不是每个需求都会遇到我上面说的管理问题。比如，SIEM和SOC的合理运用，不但可以把数据、情报、日志的分析更加自动化、更加高效，而且可以通过整合多种数据源、多个相关系统，使得安全工作更加高效、有效，使得更多场景下的应对措施标准化，使得可以解放更多的人力投入到应对复杂威胁场景中。 还有就是，研究各种对抗场景下的技术运用，确实可以很大程度地推动技术进步，攻防对抗的能力也必须在对抗中得以提升，你要是用管理手段（比如把网线拔了、强行物理隔离），看似安全，却同时也降低了自身的安全能力。