专栏首页FreeBuf评估的意义

评估的意义

这一期主题是体系评估,那么这里其实评估的不仅仅的是安全体系的评估,还有业务的评估、风险的评估、设备的评估、人员的评估等等。而且主要是涉及中层的工作。

评估的意义是什么?

评估是综合分析体系现状,考虑体系发展方向的体现。

评估什么?

我们要对业务进行评估,包括大概产生的利润,需要的成本,后期的运营难度,发展空间,能否打出圈内知名度,影响力等等。 我们要对风险进行评估,包括可能发生的意外,意外的损失,运营的时效性等等。 我们要对选用的设备进行评估,包括使用成本,老化率,使用寿命,国产化,安全等等。 我们要对人员进行评估,包括人力成本,人员知识储备量,带来的价值等等。

由谁来评估?

业务方面应该由业务所有者(项目合作者)来进行评估,也就是由高层进行,评估后如果业务可以实施,交由中层进行业务设计,此时要对风险、选用设备进行评估,同时还要对人员进行评估。

业务评估:

(1)成本/利润把控

一个业务的产生首先最直接的目的就是为了让企业盈利,那么整个业务体系的建设成本把控就现得尤其重要。这里回应第一篇文章中评论所说,WAF都用开源的公司到底有多差?我不知道该怎么说这个问题,但是如果中层一句话,采用项目制,每个参与项目的人进行成本控制,谁控制的越好,谁到最后拿的越多。我想使用开源WAF其实就是每一个人评估后的必然结果,一个长期业务大概10年,10年的商业WAF投入需要多少?至少需要花费10万吧,一年1万算良心价格了,这还只是WAF,堡垒机呢?数据库审计呢?流量清洗呢?日志审计呢?漏扫呢?......很多人说安全是个无底洞,一个业务1000万的投入,就算把1000万都用在安全设备,也不见得能用全,要看这1000万怎么花,比如业务接口,如果是私密对接,走V**走白名单,其实安全设备投入这块就不需要那么多,如果走公网放开接口,那么安全设备投入就要高得多。

(2)运营难度

业务在搭建好之后其实最重要的就是运营,确实不管是高层还是中层都会关心业务在运行期间不要出现问题,这与成本把控同样有所联系,为了不出问题,需不需要投入成本?如果需要投入成本,这个成本最大预算又该是多少?需不需要在运营期间拿下XXX标准(例如PCI、等保等等)这些都要在评估阶段想清楚。

(3)发展空间

业务的发展空间如果很大,即使前期投入超过预算,甚至还有倒贴的可能,但是运营阶段不需要什么投入,业务能力是一个持续增长的趋势,那么这个业务一样会被执行下去,评估业务发展空间也是高层需要做的。

(4)影响力

评估业务的影响力也是必要的,如果可以通过一个业务来提升知名度,那么成本把控也许会显得不那么重要

整个业务评估阶段的影响因素重视程度是相关联的,并没有统一的标准,没有什么阀值,基于市场变化是评估最大的难度。

风险评估:

(1)意外评估

这里所说的风险评估与等保以及体系管理的风险评估还不是一个概念,风险包括人为风险和物理风险,人为风险可能包括人员的内部数据泄露、人为破坏、黑客入侵等等。物理风险可能包括自然灾害、停电等等。等保与体系管理的风险评估大多是评估这些,而我说的风险评估是业务本身的风险,包括业务被中断、投入变化等等,当然两个风险评估是都要做的。

(2)时效性评估

时效性评估主要评估整个业务体系的持续时间与设备投入时间比较,防止因设备老化产生的问题。

这里整体的风险评估也是与投入资金相关联的,之前我在成本把控中说到要体现如何进行成本控制,其中提到的一点是使用开源安全产品进行成本把控,其实是因为开源安全产品不会比厂商设备差到哪里去,性能的差别无非是硬件的差别,就用WAF举例,开源WAF是一段代码,放到服务器中配合nginx做规则匹配判断,与厂商WAF除了硬件性能上的区别,本质是没有什么区别的,都是匹配,从策略层面上说,厂商WAF的策略也许更加贴合市场,误报率会低一些,开源WAF适配时间会长一些,使用中投入的人力成本会大一些,误报率会高一些,我认为本质没有什么区别,都需要业务的适配调整。那么能控制出来的成本可以用在更需要的地方。比如我把用了10多年的交换机更新一批防止老化、把可用性的投入再增加一些。

一个业务的风险如果用一个量化的视图来体现的话,我认为最可能的视图应该是这样的

要搞清风险的来源,根据风险占比制定有针对性的安全措施比全面的投入要经济有效的多。

设备评估:

这里要分软设备与硬设备,举个例子,负载均衡,用keepalived做虚拟IP,与直接使用F5设备的评估,前者虽然免费,但是其性能却无法与F5相提并论,传统F5设备无法上云,且需要考虑老化率与维护的相关事宜,云上的SLB(阿里云)和ELB(华为云)则在原理上与实现架构上均有自己的适配,这个适配在实际使用时应当评估其最大负载量,与负载时出现的轮询BUG。

人员评估:

这其实是人事在筛选时应当做的事情,不过多涉及,那么我们作为面试过程中的面试官或同事角色,应当如何做好对人员的筛选?

其实我认为重点不是在于面试题目,而应该在于人员的接受度,在面临一个岗位时,是否能完成岗位所需的诸多事宜,是否能高效的优化在岗期间每个事务的工作流程,是否能改进现有的架构去推动升级等等。当然能完成以上的任务必然会涉及到专业知识,要有专业知识,要有实战经验,这不仅仅体现在安全从业者,应当是每位从业者都面临的问题。

最后总结一下评估工作,很多人说评估是没有必要的浪费时间,在行动派眼中评估是空想,但我更想说的是,其实任何行动之前都是要评估的,如果评估结果告诉你这件事情可以不做,总要好过做一半发现他没有意义要更节省时间。每个人的时间都是宝贵的,希望所有人在自己的时间内,掌控时间,做自己时间的主人。

*本文原创作者:煜阳yuyang,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 希望我还能保存一点那些叫做“隐私”的东西

    手机上的摄像头弹出、权限请求,用户协议的默认勾选以及每一次都能正中你心的广告,当我们像吃瓜群众一般围观Facebook数据泄露丑闻的时候,我们自己又何尝不是深陷...

    FB客服
  • 工业控制系统蜜罐的初步介绍

    随着科技的发展,工业控制系统逐渐的接入互联网,而当前互联网上存在着大量的攻击,直接影响着工业控制系统的安全,工控系统面临的安全形势也越来越严重。2010年的伊朗...

    FB客服
  • T-Pot多蜜罐平台:让蜜罐实现更简单

    这两年蜜罐技术被关注的越来越多,也渐形成低交互、中交互、高交互等交互程度的各类蜜罐,从web业务蜜罐、ssh应用蜜罐、网络协议栈蜜罐到系统主机型蜜罐的各功能型蜜...

    FB客服
  • 【案例】农业银行——房产大数据贷前管理解决方案

    数据猿导读 房产抵押贷款、按揭贷款是银行或其他金融机构以借款人提供房产或地产作为还款物质保证的抵押贷款。它是房地产信贷业务的主要形式,在贷款业务中占据非常重要的...

    数据猿
  • IBM商业价值研究院:运用人工智能重塑企业与体验

    人工智能 (AI) 和认知计算可以带来哪些助益?自动执行企业流程、配置聊天机器人、嵌入更多传感器、支持员工发展、挖掘深刻洞察来塑造创新的客户体验?一些领先企业正...

    钱塘数据
  • SpringBoot非官方教程 | 第十一篇:springboot集成swagger2,构建优雅的Restful API

    swagger,中文“拽”的意思。它是一个功能强大的api框架,它的集成非常简单,不仅提供了在线文档的查阅,而且还提供了在线文档的测试。另外swagger很容易...

    方志朋
  • freeswitch笔记(6)-会议功能简介

    上面的命令表示,发起1个名为test的会话,同时拨打1004用户,如果该用户接听了,就相当于加入会议。注:如果1004是第1个加入会议的人,此时会议室还没有人,...

    菩提树下的杨过
  • 第六章 Docker实践 构建日志分析系统

    https://www.elastic.co/guide/cn/elasticsearch/guide/current/index.html

    BH9AP_Librant
  • Java_String_01_由转义字符串得到其原本字符串

    在开发企业微信电子发票之拉取电子发票接口的时候,微信服务器会发送给我们一个2层的转义字符串,而我们要想得到我们想要的结果,就需要进行一些处理:

    shirayner
  • SAP UI5 Web Component不同React页面的跳转实现

    (1) 从react-router-dom里导入Switch,Route和Redirect组件:

    Jerry Wang

扫码关注云+社区

领取腾讯云代金券