3.4 安全需要向業務妥協嗎

1．業界百態

在安全行業5年以下的新人得到的灌輸基本都是“安全不可或缺”，老兵們可能也有點“看破紅塵”的味道，覺得高層重不重視安全也就那么回事。對乙方來說高聲呼吁安全的重要性哪怕是強調的有點過頭也可以理解，因為是賴以生存的利益相關者，靠它吃飯，影響股價。而對于甲方，實際上要分幾種，第一類認為安全壓倒一切，且心口一致。持有這類想法的實際又可以細分為兩種人，第一種對安全行業涉獵不深，還停留在原始的執念階段，第二種人的思想可以表達為“業務怎么樣與我無關，只要不出安全問題，業務死了都無所謂”，這兩種從表象上看都屬于第一類，但本質上不同；而第二類人口頭唱安全重要，但心里還是會妥協。可見甲方安全團隊是形形色色的。

2．安全的本質

撇開上述業界百態，先看安全管理的本質是什么？安全的本質其實是風險管理，絕對的安全可能嗎，說絕對安全本身就是個笑話。就像知名黑客袁哥說的，哪怕是Fireeye這樣的公司也一樣會被APT，原因是攻防不對等，防御者要防御所有的面，而攻擊者只要攻破其中一個面的一個點就可以了，公司幾千人的客戶端行為不是安全管理員能決定和預測的。在所有的面上重兵布防可不可以，理論上可以，但實際絕對做不到。接近于絕對安全的系統是什么樣的？盡可能的不提供服務，提供服務也只提供最單調的數據交互模型，盡可能少的表現元素，那樣的話還是互聯網嗎，還有用戶體驗可言嗎？而且安全和成本永遠要追求一個平衡。假設一個大中型互聯網公司的安全建設成本從0～60分需要1000萬， 60～80分需要2000萬，80～90分需要5000萬，90～95分需要2億，這種邊際成本遞增是很多公司無法承受的，只能追求最佳ROI，雖然最佳ROI難以衡量，但絕大多數人不會拿出收入的50%去投安全建設。

3．妥協的原則

既然安全建設的本質是以一定的成本追求最大的安全防護效果，那一定是會有所妥協的。于是反過來揣摩一下那些說寧可業務死也要做安全的觀點的初衷是什么呢，也許你猜到了，怕擔責任！因為業務死了安全團隊不擔責任，他們可以說“你看安全不是沒出問題嘛！”這固然是一種保護自己的方法，但是從公司的角度看這就有待商榷了。我認為安全本質還是為業務服務，如果業務死了，即使安全做得再好也沒價值，更準確一點說，安全需要為業務量身定制，如果業務要輕裝上陣，你給他重甲也不行，只能穿防彈背心。安全做得過于重度都是不合適的。相對而言第二類人擁有更加積極的心態，堅持原則又懂得給業務讓路，只是要把握好分寸，避免自己的好心被人利用，成為安全問題不整改的免責窗口，那樣就事與愿違了。

安全做得不稱職的表現，除了“無視業務死活”，還包括：用戶體驗大打折扣，產品競爭力下降；公司內部流程大幅增加，嚴重影響工作效率；限制太多員工滿意度嚴重下降，人員流失；規章制度太多，以至于公司文化顯得不近人情……這些都屬于安全做過頭的表現。

有的人出發得太久，以至于忘了初衷是什么。

那么哪些可以妥協，哪些必須堅守呢？高危漏洞，有明顯的利用場景，不能妥協。重要的安全特性，比如公有云中的VPC，底層缺少一個安全特性，直接會導致安全建設的上層建筑失去了“地基”，整個都不牢靠了，這種還是要堅持，可以不精致，但必須有。

對于不痛不癢的漏洞，以及待開發的安全功能，如果開發周期很長，受眾群體很少，使用該功能的用戶比例極少，邊緣性產品，只影響某個中間版本到下個版本被其他機制完全取代了，諸如此類的情況可以考慮酌情妥協。當然這還會涉及另一個話題在不同的維度解決問題，這個之后再展開。

妥協并非退讓，而是大局觀，試想公司業務沒有競爭力時，做安全的一樣面臨窘境，無論如何都要看主營業務的臉色，與其被動跟隨不如快出半個身位。

最后補充一點：妥協不應該發生在工程師層面，而是應該在Leader和安全負責人這個層面。如果在安全工程師自己提的整改方案這個層面上，自己主動開始妥協了，那后面很多事情就沒法做了。