安全建设当中的冷门知识

      今天说点有趣的话题,也是因为在安全建设过程中,安全员也不太可能都按照最理想的状态去工作,有资源的问题,有管理惰性问题,当然也有管理者本身决策的问题。

      安全行业起步较晚,16年才施行网络安全法,21年数据安全法才出炉,虽然经历过乙方厂商的大量宣传,但是你要说五六十岁的管理者很熟悉它,那也是不可能。甚至四五十岁的中层都不一定有多少了解。但是他们掌握着最终的决策权。

一.为什么安全做不好,高级管理者要承担主要责任?

1.管理者不知道“假想敌”是谁

      大多数企业决定设立安全岗位,不是被相关部门通知了,就是自己中了勒索这种导致业务受影响。再不就是和同级别的人交流过程中,有人说安全很重要。

       管理者大多数都不知道企业的信息安全的真正敌人是谁,曾经有老板和我说他想防御APT攻击,其实他的企业根本没有APT攻击的痕迹,但是当时(2022年)某工大遭受APT的新闻报出来,结果他就觉得很重要,我跟他说防御APT的建设可以做,先给我300万的前期预算。结果他就不说话了。后来经过深入了解,该老板说他担心的其实是数据泄露,我说那你的“假想敌”就是你的员工本身了,主动或者被动泄露企业数据。

         安全建设一般情况不太可能因为有具体的安全隐患才要建设,所以“假想敌”建设就尤为重要,不同的假想敌,安全建设的方式可以有不同,这一点的管理者要注意。

  2.管理者不会选安全人才

      首先安全也是一个相对庞大的领域,工作内容来分可以分为安全管理,安全技术,安全审计。这些都需要不同的特性人才,也许有一个人同时具备这些能力,但是还是比较凤毛麟角,企业再选择人才的时候,也不要盲目的信任所谓大厂出来的,因为每个公司的“假想敌”并不一致,换一个公司,他的那套经验不一定合适,要选择能举一反三的人才,可惜大多数人都是经验工作者,反三对他们来说太难了。

      关于如何选择人才我也说不出一二,因为我如果谁哪家企业出来的管理者不行,人家也可以说我不行。这就成踢皮球了,那么怎么才能评价这个人行不行?接着看!

3.管理者不会评估自己企业安全做的好不好

       我当然不是说高级管理者需要亲自去评估企业安全状况是不是优秀,而是说高级管理者所知所得皆是下属汇报。如果一个安全员擅长向上管理,只说好话,作为高级管理者,是不是就认为自己的企业安全建设很优秀?是不是就高枕无忧?

        目前的情况是,几乎100%企业的高管不懂得判断自己企业的安全做 的好不好,这就给安全负责人留下了很多操作空间,出了安全事故不问缘由的惩罚,不出事故则不管不问。当然也有管理者角度如何评估企业安全建设好不好的方式,看我以后的文章!

4.不会花钱

        我看到过不少企业花钱买一堆设备扔着不上电,也见过不少企业买的安全设备太辣鸡无法使用,也见过重复购买安全设备,或者安全设备没买到点子上。或者就买最低配,结果只有最基本的杀毒功能,浪费钱。如何花钱采购设备其实也是一门学问,花多了可惜,花少了解决不了问题。怎么花钱以后也会进行讨论

二.安全建设应该一视同仁吗

我相信大家看到这个问题,都会说不应该,因为作为辩证法来分析问题,都知道这是正确答案。但是实际的安全建设,安全策略过于单一,一视同仁的事比比皆是。是能力不够吗,肯定不是。是管理惰性吗,多半是。举个例子:

   某公司为了防止公司资料泄露,要求所有员工电脑的文件落地加密。这可苦了公司的业务人员王经理,因为他经常需要给客户提供资料,而且资料解密申请时间又不固定。于是他和同事行政小李吐槽加密策略太难受,小李则说完全没影响啊,你就是要求高。王经理感觉老板不信任自己。

更多的例子比比皆是,大家可以自行思考。那么安全策略要怎么设置呢

1.分人

研发人员,业务人员,职能人员,人事,财务人员等等要进行建设区分,杀毒策略,数据安全策略,互联网访问策略等等,

2.分类

完全可公开数据,部分可公开数据,研发数据,经营数据,其他数据、业务系统、对外服务系统、内部系统等等,要分类进行安全建设

3.分级

信息化系统要分级、数据要分级、员工要保密分级、部门要分级、不同级别采用不能的安全建设策略和手段。

具体建设以后会有相关文章

三.总选择单一供应商来源的安全产品有没有猫腻?

先来看个案例:

公司新招来一个安全员小李,小李看到公司使用供应商A家的防火墙,直接做采购计划预采购供应商A家的杀毒,流量探测,数据安全产品等等,采购部的张经理感觉不太正常遂告知老板,老板也开始怀疑起小李是否有个人利益夹杂在里面。

   实际上大家在日常工作中,涉及到采购,都比较避讳这个事情,连续采购同一个供应商的东西谁也不敢呐。

   但是如果你作为安全员中途入职一家公司,你做安全建设,肯定要在之前的安全建设上进行增量补充,这个时候,如果他们采购了某个公司的产品你还真没有太多的选择。为什么?

1.同一家厂商的安全产品具有更好的联动效果

      防火墙,态势感知,EDR,杀毒如果是同一家的厂商的设备往往具备最优的联动效果,事件响应可以达到秒级,人工则最快30分钟,企业日常管理一般为4个小时。不同家的产品因为数据孤岛,甚至都不能有效使用。

2.更好的事件聚合

      安全事件分析的好坏取决于事件聚合,同厂家的各种设备从架构设计上具备最好的事件聚合能力,不同厂家人工聚合,时间消耗极大,甚至根本做不到聚合,尤其是行为告警,比如EDR,XDR这种行为,单一的事件来看,很大概率是误判,需要聚合很多信息综合判断,这个时候,人工就显得很无力。

四.安全建设和信息化建设的目标一致吗?

      肯定是不一致的,毋庸置疑,但是安全部门往往在信息化部门下面,有点奇怪吧,其实很多厂商安全部门已经不在信息部下面了,因为他们清楚,两个部门的目标根本不一致。

      信息化建设的目标是提高工作效率,节约环保,提高信息资源利用率等等,但是信息安全建设主要是是通过损失一定比例的资源或者提高一些资源的消耗,来预防可能会发生的重大风险。这就导致安全建设一定会降低工作效率(不要反驳,反驳就说明工作没干到位)增加业务复杂度(各种签批),增加资源消耗(各种设备)提防各种非预期的数据传播等等。

     如何做好信息化和信息安全两者之间的平衡,其实需要很高的水平,如果能平衡好,绝对是大师级人才

五. “少说多做”这样干安全行不行?

      行,非常行,现在各种OKR ,KPI,导致大家恨不得每分钟都在做输出,而闲聊则被老板视为偷奸耍滑,开会则是浪费大众时间。看个案例:

      员工A干活踏实少说多做,领导甚是喜欢,面对用户矛盾总是耐心解释,就这样还经常有用户投诉,努力维持平衡的他感觉身心俱疲,领导也觉得员工A好是好,就是很多问题解决不了。 员工B则是多说少做,在领导眼里天天开会,不干啥事,同事也觉得他总是不做事,但是员工B职责内的工作,几乎不和用户部门产生矛盾。

      安全建设的宣传意义,在我的眼里是大于做产品,大于做安全策略的意义。首先企业最大的漏洞风险来自于弱口令,不信可以去查。其次企业最大的数据安全风险来自于员工泄露,不信也可以去查。这两项可都是人是主导因素的,什么黑客攻击,网络攻击,病毒攻击等等都得往后排。

      可以用安全设备来纠错人的问题,但是同时开展不好么,或者在金钱资源不足的情况下,多废废口舌,性价比不高么。

     毛主席在搞革命的时候,都设立政委,努力搞部队宣传,我们做安全的,多和各部门开开会,不应该么。

     安全建设经常要逆着人性要求别人这个要做,那个不可以做。用户部门肯定有怨言的,多沟通,多开会,互相理解方为上策。而且一定是有事情靠设备是实现不了的。靠高压管理容易引起矛盾的。作为安全管理者,作为高级管理者,作为老板,不要认为钱到位就能解决一切,也不要认为高压下,你的企业就会太平。曾经有人说某快递公司安全做到好,这个权限要申请,那个权限要学习通过才给,定期还要考试什么的。真的好么?员工是有多开心才会配合你做这种事情。毛主席的部队军饷都不用发就跟着闹革命。你工资差一点你看看你的员工还在不在乎你的安全管理要求。

如果觉得我说对,关注我,后续会更新各种安全建设的实际有用的知识。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/54268.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【JAVA】数据脱敏技术(对称加密算法、非对称加密算法、哈希算法、消息认证码(MAC)算法、密钥交换算法)使用方法

文章目录 数据脱敏的定义和目的数据脱敏的技术分类对称加密算法非对称加密算法哈希算法消息认证码(MAC)算法密钥交换算法 数据脱敏的技术方案实现字符替换哈希算法(例如:SHA-3 算法)消息认证码(MAC)算法(CM…

代理导致的git错误

问题: 今天在clone时出现如下错误: fatal: unable to access https://github.com/NirDiamant/RAG_Techniques.git/: Failed to connect to 127.0.0.1 port 10089 after 2065 ms: Couldnt connect to server真是让人感到奇怪!就在前天&#…

影刀RPE学习——自动化

下载网址:影刀RPA - 影刀官网 (yingdao.com) 傻瓜式安装进入界面: 官方教程:影刀RPA零基础入门教程(2024最新版):01 引入课-影刀初相识_哔哩哔哩_bilibili

Unity Hub自动安装指定版本Unity的Android开发环境

Unity开发Android环境要求SDK、DNK、JDK、Gradle版本都要对才能发布APK,自己去配置很容易出错。Unity Hub可以自动安装指定版本Unity的Android开发环境。 1.安装国内用的UnityHub(我这里用的3.3.2-c6) 2.找到对应的Unity版本 3.点击【从Unit…

职场 Death Note

场景一 测试:哎,怎么会这样呢?时间没到,他怎么就变成这个样子了呢?一副大惊小怪,整个办公室都是他的声音 开发:对对对,我代码问题,别BB了。 你直接说这个地方不对&#…

【Kubernetes】常见面试题汇总(十九)

目录 59.简述 Kubernetes 所支持的存储供应模式? 60.简述 Kubernetes CSl 模型? 61.简述 Kubernetes Worker节点加入集群的过程? 59.简述 Kubernetes 所支持的存储供应模式? Kubernetes 支持两种资源的存储供应模式&#xff1a…

sqlgun靶场训练

1.看到php?id ,然后刚好有个框,直接测试sql注入 2.发现输入1 union select 1,2,3#的时候在2处有回显 3.查看表名 -1 union select 1,group_concat(table_name),3 from information_schema.tables where table_schemadatabase()# 4.查看列名…

【自动驾驶】决策规划算法 | 数学基础(三)直角坐标与自然坐标转换Ⅱ

写在前面: 🌟 欢迎光临 清流君 的博客小天地,这里是我分享技术与心得的温馨角落。📝 个人主页:清流君_CSDN博客,期待与您一同探索 移动机器人 领域的无限可能。 🔍 本文系 清流君 原创之作&…

Karpathy认为“LLM”这个名字不准确 马斯克非常赞同

LLM 应该改名吗?你怎么看。在 AI 领域,几乎每个人都在谈论大型语言模型,其英文全称为 Large Language Models,简写为 LLM。因为 LLM 中有“Language”一词,因此,大家默认这种技术和语言密切相关。然而&…

Rust:深入浅出说一说 Error 类型

1. Rust 的错误返回机制 Rust 函数计算过程如果发生错误怎么办?Rust没有采取 C 的异常机制,而是允许直接返回错误信息。 这意味着,Rust 提供了错误返回机制,允许函数正常结束时返回计算结果,同时,如果计算…

纯小白安装pytorch(快速上手)

1.首先进入你的虚拟环境(不进入也没关系) 在anaconda prompt中打开,输入activate 虚拟环境2.查看自己的conda源 conda config --show channels3.清空自己的conda源 conda config --remove-key channels4.添加源 conda config --add channels https://mirrors.tu…

蓝桥杯-STM32G431RBT6(解决LCD与LED引脚冲突的问题)

一、LCD与LED为什么会引脚冲突 LCD与LED引脚共用。 网上文章是在LCD_WriteRAM、LCD_WriteRAM_Prepare、LCD_WriteReg中添加,但问题并没有解决。 二、使用步骤 在如下函数中加入uint16_t tempGPIOC->ODR; GPIOC->ODRtemp; LCD_Init(); void LCD_C…

动态规划:07.路径问题_珠宝的最大价值_C++

题目链接:LCR 166. 珠宝的最高价值 - 力扣(LeetCode)https://leetcode.cn/problems/li-wu-de-zui-da-jie-zhi-lcof/description/ 一、题目解析 题目: 解析: 有过做前几道题的经验,我们会发现这道题其实就…

IDEA甚至前进后退跳转键

1:快捷键设置 idea设置前进、后退快捷键_idea后退前进快捷键-CSDN博客 2:界面设置 IDEA添加“前进 后退 ”添加到工具栏_idea 最新社区版 左右箭头怎么设置-CSDN博客

安卓显示驱动

安卓显示驱动是用于在Android设备上提供图形和视频显示的底层软件组件。 显示驱动在Android系统中扮演着至关重要的角色,它们负责将图形和视频内容从系统内存传输到显示屏上。这些驱动程序确保了用户界面、图像、视频和游戏等视觉元素的正常显示。以下是关于安卓显…

SpringBoot2:web开发常用功能实现及原理解析-上传与下载

文章目录 一、上传文件1、前端上传文件给Java接口2、Java接口上传文件给Java接口 二、下载文件1、前端调用Java接口下载文件2、Java接口下载网络文件到本地3、前端调用Java接口下载网络文件 一、上传文件 1、前端上传文件给Java接口 Controller接口 此接口支持上传单个文件和…

如何准备教师资格证科目三“学科知识与教学能力”的考试与面试?(理科导向:数学/物理)

如何准备教师资格证科目三“学科知识与教学能力”的考试与面试?(理科导向:数学/物理) ​ 目录 收起 1 前言 1.1 自身经历 1.2 教师资格证的作用 2 知识点题型分数的分布与学习建议 2.1 科目三的知识点分数分布: …

MessagesPlaceholder

MessagesPlaceholder 在LangChain框架中是一个非常重要的概念,它主要用于在构建自然语言处理(NLP)应用时,实现消息模板的动态插入和格式化。以下是对MessagesPlaceholder的详细解释: 一、定义与作用 MessagesPlacehol…

求和(2)

题目描述 输入两个正整数 l,r,编程计算 l(l1)(l2)...(r−1)r 的结果并输出。 输入格式 一行两个整数 l 和 r 输出格式 一个整数,根据题意计算后的结果 样例数据 样例输入#1 1 5样例输出#1 15样例输入#2 8 10样例输出#2 27数据范围 对于100%的…

Pycharm中虚拟环境依赖路径修改

引言 在pycharm中创建完虚拟环境后,它会自动将同文件夹底下的site_pakages等子文件夹作为该虚拟环境的依赖项。我们可以通过sys.path来查看当前虚拟环境的依赖路径,在这些依赖路径底下的包就可以被import到。但有些情况下,在我们创建了一个虚…