3.3 如何推動安全策略

這是一個在安全負責人的面試中經(jīng)常被提及的問題，也是在現(xiàn)實生活中甲方團隊天天面對的問題。如果你不是正巧在面試，那怎么回答這個問題其實不重要。

1．公司層面

首先，推動安全策略必須是在組織中自上而下的，先跟高層達成一致，形成共同語言，對安全建設要付出的成本和收益形成基本認知，這個成本不只是安全團隊的人力成本和所用的IDC資源，還包括安全建設的管理成本，流程可能會變長，發(fā)布鏈條會比過去更長，有些產(chǎn)品可能會停頓整改安全，安全特性的開發(fā)可能會占用正常的功能迭代周期，程序員可能會站起來說安全是束縛，這些都是需要跟各產(chǎn)品線老大達成一致的，他們要認同做安全這件事的價值，你也要盡可能的提供輕便的方法不影響業(yè)務的速度。在規(guī)模較大的公司，只有自上而下的方式才能推得動，如果你反其道行之，那我估計安全團隊多半在公司是沒有地位的，頂多也就是在微博或者技術(shù)博客上有些外在的影響力。往下攻略去影響程序員和SA/DBA的難度肯定比往上攻略去影響CXO/VPs的難度小，但如果一開始就選擇一條好走的路，實際對安全團隊來說是不負責任的，作為團隊領(lǐng)導你必須直面困難，否則安全團隊就只能做些補洞、打雜、救火隊長的事。

2．戰(zhàn)術(shù)層面

在我過去的文章“CSO的生存藝術(shù)”http://bbs.chinaunix.net/forum.php?mod=view-thread&tid=1163970中提到一些因勢利導的方法，現(xiàn)在回頭看這些方法固然值得一用，但也不是最先應該拿出來的。很多時候我認為甲方安全團隊思路受限的地方在于：總是把安全放在研發(fā)和運維的對立面上，認為天生就是有沖突的。不信回顧一下開會時是不是經(jīng)常有人對著研發(fā)和運維說“你們應該如何如何……應該這么做否則就會被黑……”諸如此類的都反映出意識形態(tài)中安全人員覺得研發(fā)就是腦殘，運維就是傻叉。為什么我之前用了“合作”一詞，其實換個角度，你真的了解開發(fā)和運維嗎，是不是找到個漏洞就心理高高在上了？你是在幫助他們解決問題，還是在指使他們聽你行事，如果你是產(chǎn)品研發(fā)的領(lǐng)頭人，聽到下面的程序員對安全修改怨聲載道會怎么想？我的建議是從現(xiàn)在開始不要再用“你們”這個詞，而改用“我們”，自此之后便會驅(qū)動你換位思考，感同身受，真正成為助力業(yè)務的伙伴。其實有些問題處理的好，真正讓人感到你提的建議很專業(yè)，研發(fā)和運維人員不僅會接受，而且會認為自己掌握了更好的編碼技能或者安全配置技能而產(chǎn)生正向的驅(qū)動力。再通俗一點，如果安全跟研發(fā)的人際關(guān)系是好的，提什么建議都能接受，即如果我認可你這個人，那么我也認可你說的事；反之，如果人際關(guān)系不好，那不管你提的對不對，我就是不愿意改，僅僅是迫于CTO的壓力不得不改，但我心理還是有怨氣，我還是想在代碼里留個彩蛋。利用高層的大棒去驅(qū)動可能是一種屢試不爽的技巧，但我認為不是上策。

安全策略的推動還依賴于安全建設的有效性，如果大家都看到了安全策略的成效，都認為是有意義的，那么會支持進一步推動安全策略在整個公司的覆蓋率和覆蓋維度；反之，如果大家都覺得你只不過是在玩些救火的權(quán)宜之計，心理可能會覺得有點疲勞，后續(xù)自然也不會很賣力幫你推，因為沒有認同感。所以安全的影響力是不是完全依賴于高層的重視，我覺得有關(guān)系，但也跟自己的表現(xiàn)有很大的關(guān)系。CTO肯定要平衡開發(fā)、運維、安全三者的關(guān)系，不會一直傾向性為安全撐腰，而運維和研發(fā)的頭肯定都是希望有一個強有力的做安全的外援。在別人心中是不是符合需求且值得信賴這個只有自己去評估了。

至于程序員鼓勵師，我姑且認為那是一種實施層面的權(quán)宜之計，同時反映出安全行業(yè)比較缺少既懂技術(shù)且情商又高的人。