安全到底还会不会存在？SAFE架构让我想通了这些！

如果加星标，可以及时收到推送

《安全到底》第196篇，锐安全总第277篇原创，

本文810字，阅读时长3分钟

今年是网络安全行业发展的历史最低谷，于是有人产生了“安全行业到底还会不会存在？”的悲观情绪。

之前网络安全行业里流传一个非常广的“威胁恒定”结论：世界上只有10种人（注：二进制）：一种是知道自己被黑的，一种是不知道自己被黑的。

图：威胁恒定结论

但是只有结论，没有原因。

甚至我的《构建新型网络形态下网络空间安全体系》一书中也提出了一个威胁绝对性与安全相对性的“安全相对性原理”，依然是只有结论，没有原因。

图：安全相对性原理

结合思科的SAFE架构与奇安信提出的“四大安全假设”，我想到了一个“安全恒定理论”，可以解答上述问题。

图：安全恒定理论

下面是推理过程：

【1】漏洞恒定公理

漏洞永远存在，这是个行业公理：

漏洞数量与软件规模和软件复杂度成正比。软件规模越大、软件复杂度越高，则漏洞数量越多。

【2】攻击面4A定律

有了漏洞之后，企业的安全现状必然符合思科SAFE架构提出的“攻击面4A定律”：

任何人（Any human）、使用任何设备（Any device）、在任何网络上（Any network）、访问任何应用程序（Any application）都有可能被攻击。

【3】四大安全假设

从而产生了奇安信于2017年提出的“四大安全假设”：

• 假设一：系统一定有未被发现的漏洞。

• 假设二：一定有已发现但仍未修补的漏洞。

• 假设三：系统已经被渗透。

• 假设四：员工不可靠。

【4】两大失效推论

从而可以推导出“两大失效推论”：

• 一切违背人性的技术与管理措施一定会失效。

• 一切没有技术手段保障的管理措施一定会失效。

【5】安全相对性原理

然后就得到“安全相对性原理”：

• 威胁是绝对的，在网络空间里威胁必然永远存在。

• 安全是相对的，绝对的安全是不存在的。

【6】威胁恒定定理

最终得出“威胁恒定定理”：

世界上只有10种人：一种是知道自己被黑的，一种是不知道自己被黑的。

综上所述，就得出了完整的安全恒定理论：

由于漏洞永远存在、企业攻击面必然永远存在，由于四大安全假设与两大失效推论存在，所以威胁是绝对的、安全是相对的，因此安全必然永远存在。

最后，想以此文，与所有安全同路人同勉！

如果对我描述的安全世界感兴趣，可以翻翻“没有名人作序和题词”的我为你写的一本“纯粹的安全认知之书”：

欢迎来到安全的大航海时代！

参考资料：

[1]奇安信集团.齐向东：基于“四个假设”构建网络安全防护体系， 2017年09月05日.https://mp.weixin.qq.com/s/-NRtuZmyt38pPJIVwXCAUg

[2]奇安信集团.微课堂｜【走近安全】之“两大安全的失效定律”,2018年12月11日.https://mp.weixin.qq.com/s/zpv9CLvZuo1ceNDeyimXQw

[3]锐安全.真的没有人，能把攻击面讲得如SAFE这般清晰！,2024年09月27日.https://mp.weixin.qq.com/s/n9YehOBwaTqKJ6Q60a1U_A

[4]张晓兵.构建新型网络形态下网络空间安全体系.机械工业出版社，2023-06

题图：SAFE回忆

题图创作者：晓兵与AI小助手

算法提供：FLUX