认识的正确性，安全性是没有绝对100%的，这句老话成了许多“明明能做好，却做不好”的

差事的挡箭牌。SINESAFE有一句经典名言，在安全圈老一辈的从业者中很受欢迎，叫做“你真

的尽了全力吗？”努力不努力，并不完全取决于个人是否努力。以前有个鸡汤段子，是说小男孩

被要求处理一块明显超出他能力范围的石头，但是大人们说他还没有尽力，因为小男孩至少没

有向大人求助。

 

 

比如，在处理公司安全漏洞时，经常有人说我一打开扫描器，商务部就闹起来了，弄出事故了

，不让我扫，所以我不敢扫。可是公司有漏洞，明明扫描器可以发现，他们不让我扫，却怪我

没用。因此，我抱怨安全工作不够好。那是经典的一句话：“明明能做好，却做不好”。

 

 

当我刚刚加入现在的团队时，扫描器安全运营的同学都是这样跟我反馈的，所以扫描器研发成

功后，我才在入职前2个月，做了一次临时安全扫描。实际上，如果对“变更管理”有一些了解，

上面的工作就可以遵循变更流程，进行风险提示，了解变更，然后灰度进行，牵扯到业务变更

监控逻辑，事情就可以进行下去了。

 

 

最后，我们很快完成了“黑盒子扫描器”的日常启动操作，就像许多做得好的同行一样。最后，

当SRC反馈新的漏洞时，公司才能拥有相应的漏洞检测能力，而复盘的基础就是——如果不

能按常规操作，我们甚至不能复盘。其他情况也有许多相似之处：例如，MS17-010补丁发

布时，微软对其严重性的评价是清晰的，但立即部署到全公司最快应用补丁的团队并不多，

他们在Wannacry风波后，更喜欢宣传自己如何紧急加班。现在现在急着加班一个周末可以

完成的工作，四个多月的时间，前几天做了什么？

 

 

又如，agent主机在部署时，很容易造成资源占用过多、bug导致主机崩溃，所以很多安全

工程师都写了agent，但agent在公司却没有100%的普及。由于不能安装太多，一次事故就

会让业务排斥拒绝部署，导致企业根本没有主机入侵检测能力。但是，既然知道这件事是

必然的结果，是否就有了熔断降级设计，能让公司95%以上的机器首先具备相应的能力？

缓慢地反复重复拾长尾难题？又如，白盒审计工具清除了一大堆错误报告，以致无法运行

，这是否想过只让错误报告较低的规则运行，逐个增加和优化规则，在错误报告较低的情

况下，提升白盒的能力？

 

 

 

所有这些，都是没有经验的同学一上来就会“畏难”，你说这件事做得好，只是当时他做的

方法不对，他还是会觉得委屈。迫不及待要“妥协”的做一些费力可能还是没有什么效果的

事情，至少是不能正常运转下去的事情，暂时应付表现出自己的顺从和尽责。

 

所以我认为，评估安全工作好坏，其实是对当事人“认知”能力要求最高的，起码知道这件

事，是可以做好的，要有客观的认识。

 

而且这种“认识”能力除了自己探索学习，其实还有很多捷径可走。这是行业标准啊。对于

同一问题，把国际、国内、同规模的企业的现状摸一遍，多多少少会有一个合理的判断，

当然，由于安全行业的成熟度一般，有许多“实际上可以做好”的事情，国内同行不做好，

造成误判，也是很常见的。