本文作者：信安之路知识星球成员

在不同的学习阶段以及不同安全岗位对于安全的理解是不一样的，知识星球新推出一个作业功能，我在知识星球提出了一个作业也就是一个问题，问题如下：

大家对于安全的理解是什么？你是怎么看安全的？

我们来看一看大家的回答是什么样的。

myh0st 说

安全是相对的，企业做安全不可能做到百分之百的安全，有名人说过，国内的企业分两种，一种是知道自己被攻击的，一种是不知道自己被攻击，也就是说没有什么系统是百分之百安全的，那么我们为什么 还要做安全?

因为安全是相对的，如果你任何安全都不做，那么会降低攻击成本，那么被攻击的可能性就增加了，如果我们做的相对安全，提升攻击成本，就有抵挡很大一部分的攻击，让攻击者放弃对我们的攻击，所以我们要明确我们的对手是谁，我们做安全要防御的是谁。

我认为企业安全最有效的手段一个是做好边界的安全，然后提升入侵检测的能力，及时发现攻击及时 制止，最后就是提升员工的安全意识，在自己不制造威胁的同时能够及时发现威胁，那就厉害了。当然由 于自己的经验问题，对于安全的理解有所局限，希望在未来的工作中能让我对于安全的理解更加深入更加准确。

M 说

大佬说的安全的本质就是信任

kong 说

有时候觉得安全是为了维护规则，但有时候又觉得是在打破规则，因为你不知道这个规则是否安全……有时候觉得安全是防御，但有时候觉得也是要适当“攻击”，因为一味的挨打也不是长久之策……安全啊，这个相对的东西，站在不同的角度会有不同的理解，还是默默做个吃瓜群众，看看最后会怎么演变。

方块K 说

攻防无绝对！没有绝对的安全，在未来的安全攻击，攻击成功本会越来越大！像一些 SQL 注入呀！存储型的 xss 呀！会越来越少在一些门户网站几乎是遇不到了。反而一些逻辑的漏洞确是可以挖一挖，像验校不严格导致用户被任意修改、越权、短信轰炸、敏感信息泄露。。。。等等！

安全还得有个安全意识的人员去做维护，不能光看着乙方呀！白帽子去给你找！首先知道自己服务器上开了什么端口，什么端口是应该关闭的，哪些是可以做登录限制的（为了自己可以远程登录，比如22端口做登录限制）、服务器的补丁有没有按时打、自己用的是什么中间件，自己的网站用什么脚本语言写的，用的是什么cms。在第一层增加WAF，对后台地址限制ip访问！删除robots.txt类似这样的网站文件！从而达到增加攻击者成本。内网主机中间件，即使打补丁！用户密码大于八位包涵大小写特殊字符！对于有写的权限不给予读的权限，对于有读的权限不给写的权限。做到权限最小化。各位大佬如果有说不对！麻烦指点

empty_xl 说

安全的本质我认识是划分可信区域 在可信的区域里面去处理不可信的数据

s9mf 说

我对安全的理解是一个不断对抗的过程，技术更新很快，不努力学习如图。。

forever 说

安全就是攻守有道，必须不断学习新的技术，研究未来的趋势

Alummox bbm 说

安全就像盔甲，没有安全就相当于裸奔，隐私、弱点暴露无遗，做好这身盔甲也不那么容易，没有安全意识就更难；我第一次接触安全是一个安全框架的项目，一开始很懵懂，现在弄懂攻击原理，就明白防御了，运维期间，大都是支撑不懂安全的，有些更是连自己产品的情况都不是很了解，感觉这样就是套框架，根本没有分析自身产品。我自身渗透经验很少，后期就觉得防御还是要懂攻击，只有懂攻击才能更好的进行防御，现在都是在各种学习，虽然还是很菜。

Mr.周 说

安全就是没事干的人整出来的！

Cherishao 说

互联网本来是安全的，自从有了研究安全的人以后，互联网就变得不安全了。[

安全是相对的，不是绝对的，攻防本应是一体] 安全问题的本质是信任的问题。

一切的安全方案设计的基础，都是建立在信任关系上的。

我们必须相信一些东西，必须有一些最基本的假设，安全方案才能得以建立；如果我们否定一切，安全方案就会如无源之水，无根之木，无法设计，也无法完成。

安全是一个持续的过程。[未知的才是最可怕的，现在很多APT攻击便是如此,如何防御：及时发现，及时预警] 互联网安全的核心问题，是数据安全问题。

Facebook、Uber、雅虎等公司数据泄露问题]

{

如何保护数据安全？

1、信任域划分 完成资产等级划分后，对要保护的目标已经有了一个大概的了解，接下来就是要划分信任域和信任边界。

2、威胁分析 威胁分析就是把所有的威胁都找出来（STRIDE 模型）。

3、风险分析 风险由以下因素组成： Risk = Probability * Damage Potential 影响风险高低的因素，除了造成损失的大小外，还需要考虑到发生的可能性（ DREAD 模型）。

4、设计安全方案 安全评估的产出物，就是安全解决方案。解决方案一定要有针对性，这种针对性是由资产等级划分、威胁分析、风险分析等阶段的结果给出的。 设计解决方案不难，难的是如何设计一个好的解决方案。设计一个好的解决方案，是真正 考验安全工程师水平的时候。 好的安全方案对用户应该是透明的，尽可能地不要改变用户的使用习惯。

}

安全、业务与产品： 从产品的角度来说，安全也应该是产品的一种属性。一个从未考虑过安全的产品，至少是不完整的。

对于互联网来说，安全是要为产品的发展与成长保驾护航的。

我们不能使用“粗暴”的安全方案去阻碍产品的正常发展，所以应该形成这样一种观点：没有不安全的业务，只有不安全的实现方式。

产品需求，尤其是商业需求，是用户真正想要的东西，是业务的意义所在，在设计安全方案时应该尽可能地不要改变商业需求的初衷。好的安全产品或模块除了要兼顾用户体验外，还要易于持续改进。一个好的安全模块，同时也应该是一个优秀的程序，从设计上也需要做到高聚合、低耦合、易于扩展。

安全人员应该让自己跟业务绑定，人的作用在于优化和扩展业务

上述：大多引用《白帽子讲 Web 安全》作者对安全的一些认知，内容比较宏观，对于安全我了解的还比较浅显，希望今后在工作及生活中多思考，多与同仁分享交流。

Zmo 说

安全，是相对的，所谓安全无绝对，世上没有不透风的墙，要想安全，就要无时无刻关注墙的变化，尤其在边界处，墙无疑是保障安全的一道强有力的壁垒。安全分内外，现在很多单位只注重外部的安全，反而忽略了内部安全，从而导致了很多其实一开始就能避免的安全事件。

我最初了解的安全是网络安全，最直观也最直接的就是各种安全设备，防护墙、WAF、国内各种厂商的安全设备，到后来又知道了信息安全，信息安全涉及的面更广，其中最为大家熟知的就是数据了，数据安全，保护数据的安全，其中又包括数据的完整性和保密性，这大概也是目前最能体现其价值的一部分了，从各大知名大厂子的数据泄露事件就能反映出来。可能目前对安全的理解还相对狭隘，以后还要多动手，多学习，多看书，理论知识也需要充实起来。

d4m1ts 说

没有绝对的安全，只有相对的安全

从我的角度来说，安全就是防止网站被恶意攻击并窃取敏感数据和进行其他敏感操作

爱故生忧 说

首先这是很大的领域

对安全的理解

网络安全是保障互联网，物联网的产物的 没有网络安全的建设，我们可能会遭到网络入侵。

对网络安全的看法

这是一个新兴行业，正在成长期，目前也有一定的基础。

另外网络安全的岗位明显高于其他岗位 人才缺口也大于其他行业。

我觉得学会了高超的网络安全技术是非常有趣的，同时也要知道攻与防。

我本身也是从事这方面的工作，有比较浓厚的兴趣，也就有驱动力。

目标是想掌握非常高超的技术，就像传说中的黑客一样

一帆风顺 说

安全，需要我们对此持有足够的兴趣，这样才能够当成日后坚持的动力。否则也只是三天打鱼两天晒网，进步的很慢。

我觉得所具有的精神应该是兴趣，探索，持续学习还有坚持。

战狼 说

国家安全

APT对抗 商业情报为目的

企业安全 获取商业情报，企业数据为目的

个人安全 勒索软件 盗号，盗取卡号为目的

安全的本质是信任问题。

所以总shu记在世界互联网大会上提成 网络安全命运共同体，强调互联网是人类共同家园，各国英共同构建网络安全命运共同体，才能真正解决安全问题

这么远 那么近～ 说

我觉得安全最基本是为了隐私保护

3s_NwGeek 说

我对安全的理解是学不完的，我刚学 web 渗透的时候，发现大佬还会 python。当我学 python 的时候发现大佬还会 app 渗透。当我学 app 渗透的时候，大佬还会应急响应。当我学应急响应的时候，大佬还会智能设备渗透，还有很多当我...但是还有无尽的大佬还会

总结

看了这么多小伙伴对于安全理解，你是否也有自己的理解，请不要吝啬你的才华，分享出来，大家一起成长，也欢迎加入知识星球，我们一起努力，在自己提升的同时为安全圈做点力所能及的贡献。