安全的维度很多,从安全可见,可管,可控串起来的维度,就拿我近几年关注的从资产安全属性的角度来看安全,分析一下安全控制哪些能做到,哪些无能为力。首先以网络安全的通用维度关注IT资产的安全管理,IT资产从运维,配置,管理的角度来看,一般SRE或运维部门通过CMDB资产配置管理库进行管理。当然在IT数字化的进程中,CMDB也从原来静态的录入,扫描采集过渡到动态的资产生命周期管理的数字化过程中,因此,结合信息管理与运维作业管理的数字化CMDB已经成为SRE数字化作业的核心平台。当然,没达到这个水平的企业IT的SRE和运维而言,请节哀。假设具备了相关的数字化IT运维基础设施,那就首先看一下是不是所有已知资产均纳入了安全管控的范围,结果不是那么乐观,数字资产的安全属性是否登记,变更措施是否受控,资产的生命周期是否具备侵入式安全措施的实施。简单点,是否漏洞依然可以修补,会不会因为安全措施而难以运行?相信在历史的屎山上的多元IT资产,难以经得起如此的灵魂拷问,妥协的结果,能有相应的补偿措施,加上良好的监控就相当OK了。即使过了资产自身这一关,部署安全的检查和监控措施成本如何,性能效率影响如何,成本和业务影响是不是可以接受,要不要妥协。答案是显而易见的,在降本增效的前提下,在业务性能优化的刚性要求下,安全的优先级不妨往后站,所以这时候谈什么覆盖率,谈什么安全第一,只能是自取其辱。安全措施覆盖不了已经登记的安全资产,这件事还好解决,毕竟是个已知问题,已知方案的送分题,平衡,妥协,风险决策就可以决定,无非是个时间和资源问题。
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
