诸子笔会2022 | 10月盘点,打卡积分及月奖公布
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。14位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会2022.10月回顾及盘点。
安在征文活动10月主题:过与不及
在累计21天的征文星球打卡中,9位笔会专家共计打卡108次。安全性和可用性是摆在安全团队面前的两座大山,过与不及的平衡就在这两者之间,如何在确保用户体验的同时,最大程度提升安全性是专家们讨论的重点。对此,9位专家针对如何达成平衡、如何应对风险以及过与不及又该如何等方面展开了细致的讨论。
在此摘选个中优秀观点,向各位分享。
►在数据安全和个人隐私保护中有个环节叫做PIA(个人信息影响分析),安全团队在分析公司战略目标和业务目标时可以借鉴,简称为CIA(网络空间安全影响分析)。主要目的是了解公司整体的战略目标和业务分布的轻重缓急,根据业务分析业务运作模式在数字化技术体系下的框架和结构,分析可能面对的威胁、存在的脆弱性,根据业务的规模、投入产出,估算风险的可能性以及最佳的成本配置,找到平衡的目标框架。
►根据帕累托定律,80%的安全能力只需要投入20%的精力就可以达成,如果想让安全在你心中无懈可击,那么可能就需要投入现在的几倍精力。所以我们要把握一个度,这个度就是基于你们对于公司风险的判断,以及对于风险容忍度的判断。
根据灵魂三问的答案,我们很容易就可以把精力集中在最关键的业务问题、暴露在外网的脆弱的服务与API以及包含敏感数据的系统上。我们也很容易将我们的工作分为几个层次,把我们的业务进行分类分级,而不是一视同仁地对待,应该将好钢用在刀刃上,有的放矢。
►创新是基于发展提出的,安全能力在创新面前还是显得滞后,科技在飞,安全在走,貌似不在一个档次上。安全架构一直在不断革新,来解决各种新产生的问题,不过安全技术的研究貌似一直局限在对原始遗漏安全问题的不合理性,以及如何更合理地解决已知未解决的风险。
还有一种说法是科技一直在创新,安全的技术应用或者思维仍是沿用最初的技术积累,仅仅是将已有的安全技术换个框架、换种思维、换种组装方式来应对新技术的安全问题。唯一可以肯定的是随着新技术的发展,企业的攻击面范围肯定会扩大,存在的安全问题也会相应增加,需要关注创新发展和安全保障之间的平衡点。
►企业清晰的认识到他们需要统筹解决它所面临的安全问题,但很客观的一个问题是用户对于安全的认知和偏好是飘忽不定的,他们只知道我要安全,却并不知道什么才是安全的。打个比方,企业为用户提供MFA服务时,用户对于选择使用短信、生物识别技术还是其他手段时并无明显的认知,但当企业为其提供了生物识别技术作为MFA的手段时他们会抱怨说识别率太低、部分场景不好用而主动关闭这部分功能。这对于企业而言会是一个比较麻烦的问题,因为企业都会想着为它的客户提供最好的安全服务,但当最基本的安全需求都无法确定时,企业会在如何投入信息安全资源上产生犹豫,比如前面提到的生物识别技术,即使用户现在认可这项技术是安全有效的,但随之而来的针对这项技术本身可能存在的被滥用的风险又被提了出来。所以现在更多的企业选择了多种MFA实现让用户自行选择,将这部分成本算在整体的安全成本中。
►要掌握安全和发展的“道”,安全和发展不是矛盾体,担心安全风险而放弃新技术是故步自封,新技术的安全风险不能放任不管,也不能过犹不及,追求过度安全而成为发展的绊脚石。安全体系是一个复杂的系统工程,涉及人、技术、操作、管理等要素,单靠任何一个都不可能实现,因此,安全技术与管理机制,安全意识与人才培训等相结合,因势利导,以技术规避风险,以安全保障发展,才是平衡之“道”。
►有的组织选择将安全团队作为应用安全的第一责任人,出现问题后也会将安全团队作为第一问责对象,没有明确开发团队对应用系统的主体安全责任。这种做法要求安全团队以非常有限的人力资源承担了无限责任,容易让开发团队形成依赖感和懈怠感。如果作为应用实际控制人的开发团队不重视应用安全问题的话,安全团队在外围做的事情也只能是隔靴搔痒,效果有限。
►最好最强的安全性是一个什么都不可访问的环境,或者可访问性极其困难且过程繁冗的。客户和网站用户重视安全,但不希望实施重复验证过程呈现繁缛的安全控制,把它想象成一个几乎没有人可以进入的地下银行金库,当人们在进入其中取自己的私人金条时,还需要多个人站在你的旁边监督你的一举一动甚至你的细微动作。安全性和可用性之间的不协调很容易在企业或系统应用之间造成过于复杂和严密的安全性问题,这些可能导致违约和财务损失,甚至是用户流失。这样会使产品研发变得缓慢和繁琐,并导致最终用户使用体验不满意。因此,用户会离开你的页面,到别处搜索甚至卸载你的App。所以平衡安全性和可用性应该是产品设计的关键要求,这一点让产品经理往往不胜烦恼。
更多内容及打卡详情,参见诸子云知识星球。
本月共发出9篇以“过于不及”为主题的专家文章,在此附上链接,供诸位参考。
诸子笔会2022 | 刘志诚:网络空间安全——平衡的艺术
诸子笔会2022 | 肖文棣:安全的过与不及
诸子笔会2022 | 张永宏:网络安全,过与不及
诸子笔会2022 | 杨文斌:基于平衡思维推进企业安全决策
诸子笔会2022 | 孙琦:过与不及
诸子笔会2022 | 孙瑜:信息安全之“道”
诸子笔会2022 | 王忠惠:网络产品服务的最低安全标准
诸子笔会2022 | 朱文义:安全工作从“过与不及”到“恰如其分”
诸子笔会2022 | 陈圣:信息安全的“过”与“不及”
根据征文活动规则,综合每日打卡、投稿及文章阅读量折合积分后,现将参与者总积分表公示↓
在此恭喜张永宏以95分夺得第一,获得诸子笔会2022的10月月奖,奖金1000元!同时所有发表征文的笔会专家也都将获得200元稿费。
10月已过,11月伊始,新一轮的征文再次开始了!11月主题为“考场,战场与职场”。
由于个人原因,王振东、黄鹏华、王元铭三位老师退出诸子笔会,目前在线的作者还有9名。由于本届笔会采用候补机制,有退出,就有新进,欢迎有意参与笔会活动并做后续挑战者报名!(有意者请扫描下方二维码加入)
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在