【牛人访谈】安全管理中“人的因素”
星期三, 五月 27, 2020
在整个安全管理中,人是最核心的因素,而人的安全意识水平决定着安全管理的效果。如果不了解“人”的上下文,那么安全管理就是无根之木,无源之水;如果管理层不能率先培养安全意识,那么企业的安全管理注定将流于形式,荒腔走板;如何让管理层和基层业务人员达成安全共识,齐心协力,是网络安全业界的长期以来的困扰。
安全牛有幸邀请到了东方航空王振东,从“大安全”的本体出发,解读安全管理背后的“安全”与“意识”。
对于任何一个确定的系统来说,它的正常运行都需要持续有效地管理。这种管理不仅要保证它内部各个模块互相协调、相关流程控制恰当、处理逻辑符合期望,还要保证它的输入和输出都反应正常,比如输入资源可知可控,利益相关方得到满足。这就是基本的安全管理。它是一门综合学科,常常需要用到行政、法律、经济和科学等多种手段,目标就是使被管理主体的社会活动顺利进行,以及其自身得到有效发展。
安全管理者对他所管理的系统负责,不论这个系统是一个国家、一家企业、一所学校,还是一个人,究其根本他都是要对该系统中的人进行管理。管理者不仅需要通过制度和法律约束来为被管理者建立安全活动范围,更要通过文化与意识去带领自己的下属。管理的本质不是强权控制,而是承担责任与服务众人。
要做好安全管理,必须弄明白人的运行模式。
从系统的角度观察人,我们可以清楚的看到人的输入、处理和输出的存在形式。我们暂且将人称为个体系统。
个体系统的输入方式是非常丰富的,包括视觉、听觉、触觉、嗅觉、味觉、灵感、睡梦、基因、呼吸、进食。其中基因是一种一次性初始化的信息输入,在生长过程中也会随环境变化;灵感和睡梦是两种特殊的信息输入,现代科学尚且不能解释,我们可以通过别的领域来理解它们;呼吸和进食几乎是仅有的维持我们生命基本保障的方法,它们提供了身体所需的营养摄入的渠道。
个体系统对信息的处理方式也十分特别,这是人类区别于其他生物的主要标识。人的主动处理方式主要有思考、联想、创作三种,被动处理方式包括情绪、表情、心理三种。更复杂的处理方式有语言和文化,这是一个人随着生命成长、时间推移和环境变化所逐渐熟练的两种处理工具。
个体系统的输出方式正决定着外界所认识到的他是个什么样的人。这些可被感知的表现形式主要包括阅读方式、打字方式、书写笔迹、用词偏好、口音、语速、声调、口头禅、走路姿势、消费曲线等行为习惯,还包括发型、身高、体重、脸型、鞋码等外观特征,以及面孔、瞳孔、指纹、掌纹、DNA、血样等生物信息。
从输入、处理再到输出,个体系统中存在着无数个互相交叉的过程线条,我们不需要尽可能多地弄清楚每个过程是如何发生的,而是通过几个显而易见的过程去发现其中的原理。当我们掌握这些原理,就可以对自身以及其他个体系统针对性地产生我们想要的影响。
这里特别介绍一个案例。女人还有一种更加特别的信息输入,就是受精,当精卵结合之后一个新的生命就诞生了,再经过数月孕育之后,世界上将会多一个可爱的婴儿,而他正是这个过程的输出结果。当先祖明白这个过程的运行原理后,就成功地将人类繁衍到了现在。
在黑盒测试中,我们看不到系统的内部结构,只能根据输出与预期输出的匹配度来检验系统是否可靠。历史经验告诉我们,个体系统是一个极其复杂的系统,只使用黑盒测试的方法根本无法明白一个人在诸多因素中发生变化的原因是什么,而且常常是输入完全一致而输出截然不同。所以有必要个体系统的组成进行分析。
我们可以将个体系统分为三个层级,分别是身体、思想和心灵。身体的研究主要由医学和生物学来承担,他们给出的一般结论是骨头、筋络和血肉,细一点的是细胞和生物组织。思想的研究主要由心理学和人类学承担,我所理解的思想是意识、情感、意志的结合。心灵的研究主要由哲学和神学来承担,我的认识是哲学并无法解决自己提出来的基本问题。身体、思想和心灵三者相互影响、共同运行实现了一个个体系统所有的生命活动。
意识虽然直属于第二层的思想,但它的形成过程也涉及整个个体系统所有的功能模块。
某种意识的形成有两种情况。我们约定后面的讨论中个体系统所接收的信息都是正确有益的。
第一种是个体系统在该领域完全空白、一无所知,他在通过第一层的感官接收到相关信息时,有两种选择,要么视而不见、充耳不闻,要么开始试图去理解。前者已经完全丧失了一次建立这方面意识的机会,后者则会开始使用已知的知识和经验进行思考,当发现没有可以参考的历史记录时,开始进行主动地信息搜集,了解更多相关地资料,直到认为自己对自己可以交代得过去了。这个时候他的身体和思想参与了行动。而心灵作为一个法官的角色,常常问自己过不过得去。这是第一次建立该意识,但也可能不是正确的。
第二种是个体系统在该领域已经有了意识基础,有可能是正确的,也有可能是错误的。这样的个体系统面对一些信息时,可以有三种选择:1选择忽略;2直接反应;3探究理解。通常理解和探究的结果正确则意识加分,否则意识减分。如果选择忽略,则意识减分,这一点需要特别注意。直接反应的结果是加深印象,也就是正确意识再次加分,错误意识再次减分。
直接反应是由于人们对于某些信息的解读方式已经形成了一种思维定势,会直接把这些信息与特定的结果绑定起来,形成一种直通管道。直接反应的好处在于帮助人们在本土文化中更好的生存,但它的弊端更大,因为它会局限人的思维和眼界,人们很难注意到通道以外的东西,哪怕就在他眼前。
我们按照个体系统的三层架构,可以将安全分为众多领域。身体层面的安全领域包括食品药品安全、交通安全、环境安全、生理安全、生物安全等;思想层面的安全领域包括信誉安全、道德安全、财务安全、情感安全、心理安全、文化安全、信息安全等;心灵层面的安全领域主要是信仰安全。
在企业中,存在着众多参与角色,诸如管理、财务、法务、风控、医疗、设计、开发、销售等等,每一种角色的工作性质和工作方式都决定着他除自身的个体系统所面临的安全领域外还有他要为这份工作而进行的安全管理领域。
就用开发者举个例子,他要承担的安全管理责任增加了安全培训、安全需求分析、安全架构、安全编码、代码审计、黑盒白盒测试、性能测试、应急响应、日志分析与审查、资源管理、知识产权保护、接口安全、中间件安全、代码安全、设计模式安全、插件安全、配置安全、算法安全、权限控制与身份认证安全、加解密安全、工具包安全、协议安全、网络安全、证书安全、SDK安全、DB安全、OS安全等等。再举个更简单的例子,对于内容审核员来说,他们的心理安全就极易受到挑战和威胁,管理者需要特别注意和制定保护计划。
我们可以针对自己所做的工作对可能涉及的安全领域进行梳理,得到一个具体的清单,为后面的意识提升做出准备。
从社会的角度出发,所面对的安全领域几乎与个体系统面对的相同,这正好从侧面反映出社会是由人构成的集合这一基本事实。
从国家的角度出发,国家安全分为11个重要领域,分别是国土安全、政治安全、经济安全、社会安全、信息安全、资源安全、核安全、生态安全、科技安全、文化安全、军事安全。每一个领域背后都有一大群人在默默守护,而这些人的安全便成了这一领域的安全底线。如果说对人员的安全管理是管理中的重点,那么对安全人员的安全管理更是重中之重。
安全意识的培养一般分为三个步骤,建立、强化和提升。
我们根据意识形成过程可以提出一个建立安全意识的模型。首先让个体系统进入学习环境。不管是主动学习还是被动学习,他将会多次接收预先设定的与其相关的安全信息,经过多次意识建立,形成一个基本的安全意识。通过鼓励、诱惑、压力或者兴趣驱动的主动学习和大量视觉、听觉信息覆盖的被动学习,他将给定的安全信息从陌生到了解、熟悉、理解,最后成为理论上的专家。
安全意识建立是否成功,需要进行测试。这种意识层面的测试必须严格避免受试人预先知晓的情况发生,因为这样会无法得到真实的结果。设计某种安全意识的测试时,需要根据真实场景和实际情况按需定制。比如测试一个开发者是否具有网络安全意识,可以通过真实的网络攻击来实现。如果要测试一个人事部员工的信息安全意识,可以安排一个社工专家进行一场真实的应聘面试。测试可以通过任何在现实世界种可能发生的场景进行,哪怕是深夜,或者是国外。
测试次数不宜过多,必须分阶段进行。测试也不能用于安全意识培训或强化,只会让受试者产生麻痹思想和反感情绪。这也是一种安全管理失败的表现。
安全意识的强化,要建立在确保安全意识建立成功的基础上。安全意识的强化工作,主要通过引入新的安全信息和安全案例提供原料,以实际情况中的事件作为讨论素材,最终得到避免该类事件发生的方案和该类事件发生后的处理方案。在小组讨论的过程中,使用人与人之间的差异性,将安全意识互补。还可以通过自查与互查的方式,发现各自在工作中留下的漏洞,来强化自己的安全意识。
强化后的安全意识同样需要经过检测。检测的方式将是持续性地对其工作成果和行为习惯的监控(法律允许范围内,如公司网络上网行为),在一项长期工作任务中针对性地安排几项可以体现对应安全意识的工作,即时验证其安全意识程度。安全意识的建立和强化是一个不断循环的过程,永远无法达到极限,这是因为人性的缺陷造成的,其根本是自身的安全管理存在问题,尤其是第三层的管理。
安全意识培养的最后一个阶段是提升。可以进入这个阶段的人群会非常少,因为大多数人会长期停留在第二阶段。提升的主要方式是心理分析训练。通过这一阶段培养的人,已经是自己专业领域的半个心理学家了。对于任何人,他的生活和工作都会产生许多痕迹,可能是一串脚印,也可能是一系列文件。除非想去做警察或者侦探,否则没人对脚印非常感兴趣。那么我们可以对这些文件进行分析。就按开发者来说,他的工作成果主要是代码和文档。我们可以通过审计他的代码和他输出的文档来对他进行心理画像。通过注释内容及注释率、换行和缩进习惯、嵌套习惯、格式化度与整洁度、缺陷率、算法逻辑、性能优化逻辑、数据校验逻辑、格式校验逻辑、异常处理方式、反射与并发技术使用方式等,可以逐步雕刻出一个程序员的性格,再加上他的文档,可以补充一些更丰富的内容。这是因为代码很难反映出他的包括打字错误在内的很多失误。
安全意识提升后的验证更加简便一些,就是直接找到他所研究的对象,然后和他一起核对自己所发现的安全意识问题,也可以进行一些其他方面的探讨,比如代码如何更优雅的建议。此前研究对象必须知道并同意这件事,也可以两人相互培训和验证。
预防大于治疗,防御强于应急。在整个安全管理中,人是最核心的因素,而人的安全意识水平决定着安全管理的效果。对于一个人,安全意识培养,必须从小做起,从现在做起。对于一个企业,安全意识培养,必须从管理层做起,从关键岗位做起。对于一个社会,安全意识培养,必须从基础建设做起,从教育与医疗做起。对于一个国家,安全意识培养,必须从政府做起,从和平时代做起。
相关阅读