Security Ethics 安全伦理

安全从业者做决策时遵循的伦理准则。在安全行业格外重要 —— 你的技术能让你看到/控制别人看不到的东西,怎么用这种能力是个伦理问题。

核心原则

• 合法性(Legality) —— 永远不做法律禁止的事,即使技术上能做
• 保密性(Confidentiality) —— 工作中接触到的数据必须保密,即使离职后
• 最小权限(Need-to-Know) —— 不主动看不该看的
• 诚信(Integrity) —— 不为了短期利益歪曲事实(夸大风险吓客户、压低风险讨好上级)
• 负责任的披露(Responsible Disclosure) —— 发现漏洞先报给厂商,给他们时间修,而不是直接公开
• 避免利益冲突 —— 不能同时给两家竞争公司做安全咨询

常见伦理困境

• 意外发现漏洞 —— 在做合法工作时碰到别家的漏洞,要不要告诉他?
• 被要求做监控 —— 老板让监控员工聊天,该不该?
• PoC 发布 —— 写了漏洞利用代码,公开能帮防御方,也帮攻击者
• 越权报告 —— 发现领导自己违规了,要不要往上反映?
• 白帽 vs 灰帽 —— “我没授权但是出于好心测试” 算不算合法?

行业认证伦理守则

大多数认证(CISSP、CISM 等)有强制的伦理守则,违反可吊销证书:

• CISSP Code of Ethics —— 4 大原则:保护社会 / 行为光明正大 / 服务客户 / 提升行业

跟 Security Governance 的关系

Security Governance 是组织层面的规范设计,Security Ethics 是个人层面的判断标准。两者互补 —— 制度不能覆盖所有情况,人的判断很关键。