08-25：安全方法论总论：安全方法论到底有什么用？

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第164篇、总第220篇原创文章《安全方法论总论：安全方法论到底有什么用？》，今天大约需要4分钟时间，希望能给你带来启发。

行业里有产学研一体化的说法，产是企业，负责工程实现；学是高校，负责理论研究；研是科研机构即各类研究所，负责开发、设计。从而形成研究、开发、实现一条完整的创新链条。

安全方法论正常情况下是学、研的疆界，于是安全行业就被分化成两大思想阵营：学术界和工程界。学术界以逻辑思考出发进行推导，而工程界以实际问题出发进行思考，一个是天上宫阙、一个是人间烟火。

于是就出现了另外两种情况:工程界里的牛人想成仙，学术界里的仙人想下凡。一些学术派成立了公司搞产品，一些工程派的思想家开始搞理论。

安全方法论是安全行业的思想至高点，如果能定义安全范式，就等于定义了安全理论；如果能定义安全理论，就等于定义了安全的未来。

无论是安全架构全景图还是安全方法论版块，有几个高频“概念词汇”：方法（Method）、模型（Model）、框架（Framework）、架构（Architecture）、系统（System）、体系（System of System）。

这些词汇在平时使用中会互相交叉和嵌套，因此边界是模糊的。这里按照抽象层次做一个边界排序约定：体系里有系统、系统里有架构、架构里有框架、框架里有模型、模型里有方法。

安全方法论有三个作用：

一是实践的理论支撑。虽然安全行业是一个“亡羊补牢”式的产生过程，但是“未雨绸缪”却是整个行业的期望。

二是统一话语体系、降低沟通成本。一些专业术语被大家贬称为：行业黑话，但其实这些“黑话”可以极大地降低沟通成本、提高沟通效率，让沟通双方有更多的时间来关注更核心的问题。

三是开阔视野、体现专业性。安全方法论是一种集体智慧，可以帮你快速看清事物的核心逻辑，同时当你基于方法论来阐述观点时，也能体现出专业性。

方法论的来源有四种途径：

一是国际知名机构或组织。如NIST（National Institute of Standards and Technology U.S.Department ofCommerce，美国商务部国家标准与技术研究院）、DHS（DepartmentOf Homeland Security，美国国土安全部）、DISA（Defense Information Systems Agency，国防信息系统局）、ISO（International Standard Organization，国际标准化组织）等。

二是市场咨询或研究公司。如Gartner（高德纳公司）、IDC（国际数据公司）、Forrester（福雷斯特研究公司）等，他们会基于行业技术现状进行理论化抽象和趋势预测。

三是行业领导厂商。如微软（Microsoft）、谷歌（GOOGLE）、思科（Cisco）等，他们会根据自身实践和安全理解进行提炼和总结。

四是学术领军人物。当安全成为国家战略，一些院士、教授、博士也都“纷纷下海”，为安全行业的方法论体系添砖加瓦。

方法论因为足够抽象，在指导安全实践时需要根据自身条件进行适配，效果好坏取决于对安全实践体系和理论体系的双重理解。

因此更常见的用法是成为安全厂商市场营销话述，借此提升自己的安全格调。

恭喜你，又看完了一篇文章。从今天起，和我一起洞察安全本质，这里是锐安全，今天就到这里，咱们下周四再见。

[1]  张晓兵.新型网络形态下的底层安全逻辑与企业安全建设指南,2023-06

[2]  锐安全.我们应该知道的安全框架到底有哪些？,2023-10-12.https://mp.weixin.qq.com/s/aVL3uj6yL_HKtsSy5D_XRg