每个业务系统都应当有一个安全中心

每个业务系统都应当有一个安全中心

对，每个业务系统都应当有一个安全中心

不安全的业务系统，送给你都不能要。纯粹是给自己添麻烦。

写程序谁都会，但是要安全地写程序，很难。安全，从来都是比懂技术更懂技术。业务系统，永远不要等着别人来保护，不要以为别人会很安全的使用你的系统，一个弱密码就可以搞得大家鸡飞狗跳的，你要从各个技术保障，再辅以管理措施，只有每个业务系统自己安全了，整体才能安全。

没有金刚钻，别揽瓷器活

高校信息办部门现在的发展趋势趋向于统筹经费，信息化项目归口后，很多二级部门信息化需求就会冒出来，反正不是花我部门的钱，又能为我工作提供便利，让我升职，谁不想申请些经费来买个业务系统来玩玩。这时候内部平衡不过来了，就会请利益无关的外来的专家来评审。专家一般会从建设的必要性，紧迫性出发考虑。未来我觉得还得看历史，谁做得安全，就把有限的经费资源投给谁。

监管部门从来不想背阻挠信息化进程的锅，二级部门要建系统，他们会笑着说，我们鼓励你们建啊，只是，你要建的安全。

你不是申请经费买个系统或者请学生开发就完了，你自己也要配套技术人员，安全管理人员。这里还有一些等保的规定动作要做你也看一下。

我见到过，没有安全防护能力的部门，通过各种层级协调后拿到大量敏感数据，转身后就拱手给了开发公司去泄露。

“下线系统是为了保护你。”能把把人家系统关闭了还说得这么好听的，也没有谁了。

搞出事后有些人就畏难了，做得越多，攻击面越大，错得越多。但是信息化总是要发展的吧。

网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致、齐头并进，以安全保发展、以发展促安全，努力建久安之势、成长治之业。

————《在中央网络安全和信息化领导小组第一次会议上的讲话》（2014年2月27日），《人民日报》2014年2月28日

既然还是得干，怎么挑系统？

如何向等保三同步表达respect呢

等保三同步说到：同步规划，同步建设，同步使用。

安全关口要前移，安全要如影随形。

具体怎么做呢？在信息系统生命周期内，在项目立项论证之时，就要将安全要求写入论证报告，在招投标时，要求建设方有相关资质，要求有在其他有安全实施经验。在需求阶段，要归纳出“安全需求” ，实现在“安全中心”，并围绕业务系统自身的“安全中心”在上线后进行安全运营。

结果就是：每个业务系统都应当有一个安全中心！各个业务系统的安全中心就是全校整体“安全管理中心”一个分形的存在，是安全层层压实的体现。

安全中心，就是在研发已经知悉并解决了注入漏洞、XSS、CSRF、平行权限、访问控制、默认配置、供应链管理等用户无感的问题后，想要对外展示能力的需要。这个安全中心不应该是甲方要求的，不应该是系统部署人员想的，不应该是安全部门强制的，而是研发自发要做得，安全，如同天然就在这个业务系统的基因里面，并通过安全中心显性出来。

要选，就要选这样子的业务系统，对于我来说，我就不信，一个业务系统安全中心都有了，他的安全能差到哪里去？

安全中心长什么样

我们经常会在各个软件、业务系统内看到安全配置，但是藏得比较深，很多安全相关配置散落在各个不同的配置开关里，查找麻烦。

安全中心，就是在一级位置给安全留一个入口，这个入口可以放在最后面。在这个空间，整合所有安全相关配置。对于不同系统角色，都有一个安全中心，比如系统管理员，普通用户等等。而对于审计员，安全，本来就是中心。

再具体呢？系统配置方面，比如密码强度要求，双因素认证配置，第三方认证配置，防止密码暴力破解。等保要求的三员授权配置，系统管理员和审计员分开。备份，日志，加密，各种阈值限制等等等。

然后有一个动态的安全运营中心，比如监控，是一个链接，点击打开配套的监控系统；比如备份，能读取到自己的备份状态；比如日志，能知道自己扔给日志中心是否顺畅，有链接可以直接打开到日志中心；比如特权账号一页显示；比如能获知对自身的一些攻击记录；比如健康检查；比如对内部不正常状态的统计；比如异常登录日志；比如高危操作超水平线预警；比如上次第三方安全检查时间；比如显示自身部署资产架构，自身和系统和第三方组件版本信息和安全补丁等等。

用户方面，对账户的体检，配置的体检，登录日志聚合，各种“安全需求”集合等等。

再简单点，就是测评公司来干活，扔给他这个界面，你等保就过了。

最后

绿水青山就是金山银山

安全，有时候要学会克制。把隐私拿来换方便，类似人脸识别、Wi-Fi亿能钥匙等等的，从来都是伪创新。据说现在都得戴着头盔去看房了。

绿水青山和金山银山之间关系认识的三个阶段：第一个阶段是用绿水青山去换金山银山，不考虑或者很少考虑环境的承载能力，一味索取资源；第二个阶段是既要金山银山，但是也要保住绿水青山，这时候经济发展和资源匮乏、环境恶化之间的矛盾开始凸显出来；第三个阶段是认识到绿水青山可以源源不断地带来金山银山，绿水青山本身就是金山银山。这一论述的提出，从根本上更新了人们关于绿水青山无价的传统认识，打破了简单把发展和保护对立起来的思维束缚。

是不是跟我们信息化发展有点像？第一阶段开始一穷二白，大量兴建信息化系统，不管隐私不管安全，先污染一波再说。现在很多人还在第二阶段，等你突然领悟了看起来是束缚的安全可以带来信息化的价值，你就升华了。

真心希望看到未来每个应用都有一个安全中心，那些没有安全中心的，就慢慢让市场淘汰去吧。