1.3.2 面向应用系统

在白环境理念中，安全工作的开展是面向应用系统的，是以应用系统为单位进行考虑的，这主要有以下三个原因。第一，安全的前提是不影响应用系统的正常运行，安全的目标是保障应用系统的可靠运行，既不能因噎废食，也不能过度保障，因此开展安全工作需要对被保护对象（即应用系统）有充分的了解。第二，以应用系统为单位，这个环境是相对封闭的、固定的、静态的。白环境的建立需要有一个范围，即可以梳理出确切的白名单范围并可以最终收敛，而不是漫无边际地发散，带入无穷无尽的不确定因素。第三，以应用系统为单位，场景相对简单清晰，因此白名单的梳理更容易，结果也更准确。

无论是梳理白名单，还是安全工作左移，或者是日常安全运营，我们都应该以应用系统为单位。现在很多安全项目和工作是以设备为核心的，认为只要看好各种安全设备、安全产品就可以解决所有安全问题了。其实不然，如果不了解应用系统，不是从应用系统出发，安全工作很难做好，防护效果也很难体现，这也是白环境要面向应用系统的主要原因。

举一个生活中的例子。我们每个人在采购衣服的时候，如果是去品牌店，所选购的都是成衣，即便是一线品牌，也只有几个可选的尺寸，未必合身。最好的方式是去裁缝店，量体裁衣，定制衣服，这样才能找到最适合自己的衣服。这和我们所讲的面向应用系统的理念是一样的，首先需要了解自己的身材，然后定制适合自己的衣服。

对于一些超大型企业、集团型企业，它们涉及的应用系统数目众多，有些甚至涉及几千个应用系统。针对如此大量的应用系统，可以根据应用系统的重要程度排定优先级，最为重要的系统，例如关基系统、靶心系统，可以先行实施白环境。还是以上面选衣服的场景为例，关基系统要去裁缝店定制，普通系统可以先去品牌店选成品，然后再考虑把普通系统逐步转向裁缝店。

除了应用系统数目众多，有些应用系统自身规模也非常庞大，针对这些超大型应用系统，可以根据业务逻辑和功能模块做拆分，把一个超大型应用系统拆解成多个小型应用系统，先对小型应用系统实施白环境，然后再结合业务逻辑，完成超大型应用系统的白环境实施。

要面向应用系统还有另外一个原因。我们的最终目的是在不影响应用系统正常业务的前提下，以最好的投入产出比（Return On Investment，ROI）来保障应用系统的可用性、机密性、完整性。也就是说，不能为了安全无休止地、不计成本地投入，或者大规模地修改应用系统的架构，这些都是不可取的，也是应该避免的。