968
互聯網企業安全高級指南3.10 流程與“反流程”
3.10 流程與“反流程”
1. 人的問題
在傳統安全領域一直是強調流程的,但是互聯網行業有一點反流程,甚至像Facebook這樣的公司還表示除非萬不得已否則不會新建一條流程來解決問題。那安全建設到底要不要流程。首先有流程肯定能解決問題,但流程化是不是最佳實踐則不確定。
2. 機器的問題
流程是用來解決人容易犯錯的問題,而不是用來解決機器犯錯的問題,如果把流程用於解決機器犯錯的問題那就會鬧出笑話來。比如程序發布前,需要有一個安全檢查的環節,如果不約定流程,很容易漏掉,這是在解決人步驟錯誤的問題。但是10000台機器打同一個補丁,有9990台都打上了沒問題,剩下10台補丁有問題,這種問題應該通過技術手段解決,而不是通過流程來解決,如何讓係統和程序返回人所期望的結果是技術需要解決的問題,跟流程沒關係,當然有人說跟程序的執行流程(routine)有關係,是的此流程非彼流程。通過人為的流程來解決,人的工作會越來越多,忙於救火之中不堪重負,通過技術途徑解決,組織的自動化程度會越來越高,生產力會越來越強,兩條路最終會使團隊走向兩極分化,選哪一極就看團隊的基因了。在前麵的例子中為了衡量流程的執行結果,我們通常會引入一些技術的自動化手段來檢測,例如被動式掃描,有些開發和運維漏掉安全審計環節直接上線了,也能把這些程序的URL找到抓下來掃,當然它並不能替代流程本身的作用。
最後更新:2017-05-15 18:01:25