968
京东网上商城
互联网企业安全高级指南3.10 流程与“反流程”
3.10 流程与“反流程”
1. 人的问题
在传统安全领域一直是强调流程的,但是互联网行业有一点反流程,甚至像Facebook这样的公司还表示除非万不得已否则不会新建一条流程来解决问题。那安全建设到底要不要流程。首先有流程肯定能解决问题,但流程化是不是最佳实践则不确定。
2. 机器的问题
流程是用来解决人容易犯错的问题,而不是用来解决机器犯错的问题,如果把流程用于解决机器犯错的问题那就会闹出笑话来。比如程序发布前,需要有一个安全检查的环节,如果不约定流程,很容易漏掉,这是在解决人步骤错误的问题。但是10000台机器打同一个补丁,有9990台都打上了没问题,剩下10台补丁有问题,这种问题应该通过技术手段解决,而不是通过流程来解决,如何让系统和程序返回人所期望的结果是技术需要解决的问题,跟流程没关系,当然有人说跟程序的执行流程(routine)有关系,是的此流程非彼流程。通过人为的流程来解决,人的工作会越来越多,忙于救火之中不堪重负,通过技术途径解决,组织的自动化程度会越来越高,生产力会越来越强,两条路最终会使团队走向两极分化,选哪一极就看团队的基因了。在前面的例子中为了衡量流程的执行结果,我们通常会引入一些技术的自动化手段来检测,例如被动式扫描,有些开发和运维漏掉安全审计环节直接上线了,也能把这些程序的URL找到抓下来扫,当然它并不能替代流程本身的作用。
最后更新:2017-05-15 18:01:25