儒墨道之争儒家墨家道家玄学千万要不得法家、兵家和纵横家
闲谈百家争鸣
在春秋战国时期出现的百家争鸣局面可谓是中国文化的黄金时期 ,成为了中国思想的象征或代表。当时共有十家:阴阳、儒、墨、名、法、道、纵横、杂、农、小说。”汉武帝”罢黜百家、独尊儒术“以后”儒、道、墨、法“和外来的佛学对中国后世影响最大。这几种理论广大精微、包罗万象,是中华文明的源头活水。
理论是灰色的,唯有文化之树常青。这些文化无不可套用在我们生活工作中的方法面面。笔者发现在我们所处的网络安全领域也可以套用一些儒道墨的理论解释,关联的基础是笔者将诸子百家要治理的"天下"指代网络安全困难的局面,“民众”指和安全打交道的各业务方,是组织的全部利益,“圣人和君主”指代向上管理的安全负责人,某些论点是一家之言姑妄言之,读者们也请姑妄听之。
儒家
儒家最早是孔子提倡“仁”,孟子提倡“义”,荀子提倡“礼”。这三个标准是越来越低的。孔子是春秋时期大家表面上已经对周王朝越来越不恭敬了,所以孔子最担心的是礼乐崩坏。
礼乐是“仁德”的根本。是可忍孰不可忍的典故就来源于鲁国的大夫公然僭越了天子的礼乐规则“八佾舞于庭”。礼乐可以类比为我们要求业务方做的一系列规章制度和规范。我们有时候会对业务方说:你为何违反了《机房安全管理制度》,将下线的主机没有物理销毁而是直接卖给闲鱼呢?实际上安全性是业务的基础。没有遵从制度并不是制度有问题,而是根本的安全认知有问题,套用一句经典的话语“网络安全和信息化是一体之两翼、驱动之双轮”。要让业务明确知道安全是所在业务稳定性的重要保障,这样安全制度就符合做事的人性了。不要纠结制度不能得到落实,根本原因是需要改造业务对安全活动的认知。
如何实施好仁呢?据《论语》记载:哀公问曰:“何为则民服?”孔子对曰:“举直错诸枉,则民服;举枉错诸直,则民不服。”。樊迟问仁,子曰:“爱人。”问知,子曰:“知人。”樊迟未达,子曰:“举直错诸枉,能使枉者直。”把正直的人选举出来,安置在邪枉者之上,就能使邪枉的人学得变正直。
如果说对于不懂安全人视为枉者的话,更要多引导不出现安全问题的君子的德,这样不懂网络安全人也就学着君子、效法君子,慢慢也能变成君子,这是有教育的内涵在里面,所谓上行则下效。我们晾晒安全漏洞是一味堵塞而不是引导,正确的做法是更应该多奖励有好的安全实践的团队,这样不懂安全的人也有样学样,业务团队也就心服口服了。
墨家
士农工商,士在古代是介于贵族大夫和务农农民之间的特殊阶层,分为文士和武士,文的以孔子为代表叫儒,武的以墨子为代表叫做侠。“儒以文乱法,侠以武犯禁”。墨家所处的时期是礼乐崩坏、战乱征伐的时期,墨子提倡了“兼爱非攻”,强调集体的互帮互助。现世墨家理论还在,但是实践信徒已经消亡了。在安全圈里,乌云网站的关闭代表着以前“以武犯禁”的时代已经过去,统治者不希望有不受约束的网络安全力量,收为正统的是各家SRC,避免了不受控制的纠纷。
默安科技有本宣传册叫做《上医治未病》,而《墨子》也说“圣人以治天下为事者也”。墨家的药方是兼爱。安全的理念是墨家的鬼神论吓唬,业务的理念是儒家的天命论。依靠研发的天性道德是靠不住的,所以兼爱很难,推广宣传意识是仁爱的手段。
孟子有个理念是“老吾老以及人之老,幼吾幼以及人之幼”。这是将别人的老人,像对待自己的老人一样对待。而相应墨子的理念是“视人之家若视其家”。儒家的爱是有亲近疏远的,墨家的爱是不分彼此的。在安全行业,我们做事要考虑对待安全能力的投入,一定不要不分重点,全部投入,做任何项目都面临是资源不足的,但是项目做完总是发现会有资源浪费的,要学会区分重点。现在的安全政策监管从后置向前置转变,从监督向指导转变,安全思维从被动防御到主动规划,这都需要我们灵活转换投入,不能一味追求大而全的最佳实践。
道家
道家自“杨朱学说”提倡“消极无为”,老庄提倡“积极无为”,道家在历史上一直是和“隐士文化”相关的。道家认为天下已经大乱,只有“治大国如烹小鲜”才能实现太平。而对士人应该“贵以身为天下,若可寄天下”。要爱护自己的人才可以托付天下。在做安全方案时,我们可以思考下是否重视自己的产品安全,打铁是不是自身硬,自己的SDLC方案有没有使用在自己的扫描器?自己敢不敢将重点业务托付给IPS看护吗?对于和业务的关系,如果各个团队做好自己的安全事情,做到安全不出问题,这样所有的安全事务不就都稳妥了吗?一味推行外挂式的安全措施,不就是“乱政”一样,打扰了业务的发展吗?最合适的安全,一定是简单无侵入卡点的。
庄子的理论认为安全的管理者寡欲。最好的情况是没有人感觉到安全团队的存在;再差一点的,就是“亲而誉之”,安全和业务的关系比较融洽;安全团队威胁业务,出现漏洞要承担如何如何责任,做为东厂,是“畏之”。再差的是安全团队轻视业务,说他们什么都不懂,业务对安全团队遮遮掩掩甚至引发矛盾,是“侮之”。
为什么现在提起道家都觉得虚无缥缈不适合现代社会呢?因为过去的是回不去的,网络安全局面复杂,新的风险和攻击面层出不穷。再也不是之前防火墙就隔离大多蠕虫的时代了。但是未来还是可期的,安全乱象的由来就是瞎折腾,新名词和技术都是要废除的,只有老老实实回归到传统的技术层面,才是“无为而治”。不要以为无为是贬义词,治病也有“保守疗法”,基于投入了性价比,不要想到牛逼的方案就想套用在自己实践中,要寡欲清净。
玄学千万要不得
玄学是对老庄和周易的研究和解说。是魏晋时期的主要哲学思潮,是道家和儒家融合而出现的一种哲学、文化思潮。这里说的并未是学术上,而是我们时下流行对不懂的事情经常调侃称之为“玄学”,实际开展网络安全工作切不可“玄学”而论。我们要批判性地吸收玄学。
网络安全是一门实践的科学,是一门科学的赛博空间理论,也请诸位专家院士切不可将什么《安全经络图》套用在安全研究上。做安全基础工的工作对于漏洞和技术细节也切不可人云亦云,流于“玄之又玄,众妙之门”,更应该多一些矛盾论和实践论的哲学探究。
比方说从事跨部门的沟通协调时,自身对业务提出安全方面的要求时,要尊重技术的自然规律,不然双方难以对短期或中长期工作达成共识。要提前想清楚每一项需要业务配置的事情的实际结果、工作量,让短期工作意义更明确,不然长期拘守于自身的片断经验,不了解实践的重要性,看不见工作的全局,虽然也是辛苦地——但却是盲目地在工作。
再比如说要抛弃想象力,立足实际。安全工作不迷信过去的胜利经验,算法、机器学习、AI、落地在实战来就知道效果了。各种厂商的牛逼产品拿到客户线下POC打一打再看虚实。不要想着自己有什么大招或者银弹,踏实学好别人家的实践,做安全实施方案量力而行。不要臆想着自己啥也不做就可以高枕无忧,网络安全就是谁的攻击强,POC多,防守方就落下风,被打进之后没啥说的,直接复盘吧。
法家、兵家和纵横家
也许我们认为法家是不是和安全实际工作关联更多一些呢?比如韩非子的“行罚,民利且畏;行赏,民利且爱”,诸葛亮的“科教严明,赏罚必信,无罪不惩,无善不显”,都有点像我们订立安全规范制度,大家依令而行。兵家的“故其疾如风,其徐如林,侵掠如火,不动如山”不就是我们攻击和防御方的策略吗?纵横家鬼谷子的“察其事,论万物,别雌雄,虽非其事,见微知类。”不就是我们的溯源应急和分析安全漏洞在追求细节吗?
这些理论和工作的关系问题留给大家思考,因为我自己对更多的知识基本不了解,上面的胡说一气已经是我的极限了。:)
谈谈开展信息安全工作的四个权力
如何有效阅读安全类文章
基层安全管理者需要具备的素质
176
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
