安全的春天
我混安全圈的。在安全同仁眼里,我们是英雄,保障了企业IT系统的安全底线,避免出现毁灭性打击。在业务人员和普通程序员眼里,我们就是“官方找茬的”。
那感觉有点儿像大明朝的“锦衣卫”,让人又怕,又不待见。遇上个手腕软的皇帝,我们日子不好过。因为皇帝也觉得我们可有可无。
5年前,信息安全还不太受重视。我在的企业刚从纸堆里爬出来,拉了网,布了服务器。上一个业务系统,就引来一波骂。好不容易,大家适应了脑残的业务系统,适应了不能变通的流程。安全组来了,带来了更多的变态规矩和流程,这下,业务人员和IT人员集体不适应了,领导不发话,阻力很大。
“大不了不做嘛!随他啦!那帮做业务的天天混日子也有人发工资啊。” 组里的人说。
但最要命的不是领导不重视,而是国家机构要来检查,领导不重视安全,却重视检查结果。于是,产生了各种折腾人的临时解决方案,既“指标不治本”又“简单粗暴”。
一天上午,上会,所有部门的大佬和管信息化的老总聚在一起讨论我们现有的安全问题和解决方案。“我觉得,这个信息分级分类的问题,应该由文档部门牵头,他们是所有文档的终点,对纸质文档的处理也有经验了,容易推行。我们全力配合。”一个业务部门的老大首先发言,他说的特别中肯,决心表的恰到好处。立即有一大波业务的人表示支持与赞同,他们各抒己见,切入角度各不相同,但总归一句话“甩锅给文档”。管文档的大姐不乐意了,她绽放了一个特别美的笑,红嘴唇都要拉到眼角了。她说,“我刚接老领导的班儿,还有些没摸清,不过纸质文档这块儿确实是有些经验可以提供给大家,我回头发个我们的内部知识分享哈。但是,据我了解,咱们文档管理只是最后一道坎,都是依据国家要求该存哪些就存哪些,该怎么分就怎么分,定好了的,至于文件的源头和流转,我们在业务流里根本接触不到啊!我觉得我们支持是应该的,牵头是不大合理的。” 接着,大家你一言,我一嘴,互相恭维着对方,但都希望对方干活。信息化主管领导黑着脸,让两边儿回去都做方案。第二次会,第三次会,老问题不断被翻上来重复,依然无果。
上面的人打太极,下面的人就说“不行啊,这太影响业务了。” 阻力也发生在信息部门内部。“这个08年的微软严重漏洞到现在还没补呢?现在都2011了。” “哎呀,这个系统不能断的呀,打补丁怕事要打坏了呀!” 一北方大老爷们操着上海口音。我心里一阵恶心。“不是有测试环境么?可以在测试环境上测试一下,没有问题再上生产。” “哎呀,测试环境和生产环境不一样啊,结果不能作数的。” “那要测试环境干什么用?”“你傻了的,测试啊!”我一声叹息,“你才傻!”但到底我是温柔的人没说出口。我刚要再说别的解决方案,那人嗲着音“反正这个系统不能动,出了事情,我可是管不了的。你先拿不重要的开刀去,我是不当小白鼠的”。于是,经过领导同意,所有生产系统都不打补丁了。我在心里暗骂了声“我去”。
该做的事儿没人支持,不该做的事儿却要背锅。
因为文件分级的事儿没人做,安全组只好对整个网络按照最重要的这一级管理,所有文件输出端口都要封闭,按需审批。结果人人怨声载道。
又一天上午,我跟着老大去走访。一帮业务的兄弟们围住我们,开口就是抱怨,“又来检查了啊,我们都快不能工作了,也没什么可检查的了”。“是啊,这端口什么时候能开啊,我这一整天净处理文件审批了,啥活都没干。” “你们干什么吃的啊?昨天我给别人发的邮件,现在还卡在检查点儿呢?什么时候能出去啊?” “你们做的这事儿有个屁用!”
一开始,我们会愤愤的不平,后来会试图解释。到最后,我们也学会了处事之道——只是笑笑,然后摆出一副无奈的表情“唉,都是为了应付检查啊”。
说话的,顶多再抱怨一句,“该死的检查!” 然后连个屁都没了。
幸好,如今,安全的春天似乎要来了。