信息安全的脆弱性管理
大家都知道,现在的信息安全管理理论是建立在“风险管理”的基础之上的,而风险是由资产、威胁和脆弱性构成的。因此,我们要对组织内的信息安全进行管理,很重要的一部分工作就是管理组织中存在的脆弱性。也就是说脆弱性管理是信息安全管理中很重要的组成部分。
同样,大家也都知道,流程是组织运营的基础,组织的所有业务几乎都是需要一定的流程来驱动的,因此对于组织的脆弱性管理而言,脆弱性管理的有效闭环流程是决定组织内部脆弱性管理成败的关键。
脆弱性管理的“ PDCA ”都是脆弱性管理系统应该进行有效管理的。“ P ”制定脆弱性管理的策略和基线,由组织的信息安全策略定义;“ D ”由很多产品和服务来保证(例如,终端安全系统、安全加固、主机防火墙、……);“ C ”检查脆弱性修补情况,主要由漏洞扫描系统来完成;“ A ”是整个流程的改进措施,目前还没有有效的产品能够实现。整个流程则是由信息安全事件(例如,新的脆弱性被发现)、组织信息安全策略变更等因素触发的。
用一个图来表示上面的这段话会显得更容易理解些:
这里另外说一点题外话 —— 病毒对于属于系统面临的威胁,而防病毒系统没有及时更新则属于系统存在的脆弱性。
漏洞扫描、终端安全和脆弱性管理之间的关系
漏洞扫描、终端安全和脆弱性管理三者之间的关系用图来表示是最清晰不过了。
而上面的这幅图是基于这些想法的:
终端安全的管理不应当仅限于终端的脆弱性管理,但在较长的时间内终端安全的管理将依然以终端的脆弱性的管理为主;
漏洞扫描是脆弱性管理的一部分;
当前绝大多数的漏洞都与补丁有关系。
我们可以看到,终端安全和脆弱性管理以及漏洞扫描会有一定的交集,而这个交集我认为就是就是终端的补丁管理。
BTW:
这个问题的开始是从一个项目开始的。从去年开始,我接手了一个项目。项目的内容简单来说就是定期完成非常大范围的扫描 —— 挺简单的,技术上来说不成问题,主要是工作量而已。正因为这样单一而繁复的工作,能让我有机会对漏洞扫描稍微多想一点。在这个过程中,也想到了一些终端安全和脆弱性管理的问题,算是有一些自己的想法吧。正巧这两天也有人找我讨论关于漏洞扫描的问题,乘这个机会我也在这里把我关于漏洞扫描、终端安全和脆弱性管理的一些想法总结记录下来,算是一个阶段性的小结。
这两天觉得自己有好多想过的问题没有来得记下来,在我的 blog 后台里面已经有好多篇未完成草稿了,哎~
读书时间 – 20090922
《Recognizing security risks》
这是 Symantec 的官方 blog 上面的一篇文章。和我在公司里面做的一个培训 PPT 观点很类似,关于攻击者带来的影响,无非是几个方面而已。所以从这几个方面入手,就能够了解攻击者的思路,甚至选择恰当的防御方式。
《 IT 需求软着陆》
值得看的一篇文章
《梁冬闲话“男人三十”:梦想就像存款一样》
梁冬:很多人是这样的,开始灵魂还是鲜活的,做着做着就忘记自己在做什么了。所以一个人到了一定阶段要问自己:这是不是我要干的?
我在前段时间在《读书时间 – 20060903》里面也表达的是这个意思。
《古老的麦斯麦术 现代灵异事件〈笔仙〉》
第一次听到关于“笔仙”是在大学里面。一直以来我都认为所谓的“笔仙”就是心理暗示和人们无意识动作放大的结果。这里是我认为比较能说服人的解释了。
《公司治理——冠群高管面临责难》
又有一个案子要爆发了,不知道是不是算作 SOX 以后的第一案?
《中小企业信息化如何“反恐”》
我关心的是这些数据
截至 2006 年 6 月底,中国中小企业已经超过 4000 万户,占全国企业总数的 99.6% 。尽管其中已经有超过 40% 的企业正在或已经进行了信息化改造,然而 74% 的中小企业信息化投入占销售收入的比重还不到 1% ,81% 的中小企业 IT 技术人员少于 5 人。中小企业的信息化似乎陷入僵局。
来自 kijs 的 blog 游戏
今天下班回家,看到 kijs 在我的 blog 上面留言 —— 我倒,是一个 blog 游戏 ……
游戏从无双坏坏( http://www.i170.com/user/kijs )发起:我先在连接列表中选择一些blog发布本来新闻,之后的游戏规则如下:
推荐2本书,科目不限,外文中文都行,只要你认为这2本书值的一读,并附相关连接
同样的,推荐5个你经常阅读的BLOGER
推荐你经常去的3个站点
到发起人无双坏坏( http://www.i170.com/user/kijs )发起贴回复你的BLOG游戏回复贴
其实我发起这个游戏是有目的的,最近去书店不知道买什么书,感到很困惑,所以想得到大家的推荐,另一个就是网络不可避免的虚空感,想知道有多少人参与到本游戏中来,最后来个BLOG总推荐
既然已经波及到我这里了,我就完成吧。
推荐两本书:想来想去,好书真的不少,要做取舍不容易。最终还是决定推荐朱光潜的《谈美》、贝尔纳·韦尔贝尔的《蚂蚁的革命》,因为这是两本开启不同的世界的入门书。
推荐五个 Blog :《城市画报》,目前我是 FANs 所以~~;《格志》,非常不错的科普信息站点;《engadget》,没啥,就因为喜欢玩物;《永不停歇的脚步》,没啥原因,就是让他参加这个游戏;《freshmeat》,各种各样有意思的项目。
常去的三个站点:新浪新闻、securityfocus.com?… 好像真没了 :)
完成!
一封来自铅笔经济研究社的邮件
前两天从《金融时报》上面看到了关于铅笔经济研究社的介绍。基于对《金融时报》上文章的好感,决定关注铅笔经济研究社。逛了半天,网站内容挺好,可 … 没有 RSS !郁闷啊~~ 想起以前给哈佛《商业评论》发邮件的经验,我决定认真地对待这件事情。发邮件给他们,希望他们提供 RSS 。今天,他们也回复邮件了。我的邮件也放在了他们的网站上。看样子,认真的对待这些小事还是对的~
不过 …… 还是更希望他们尽快地提供 RSS 就好了~
城管是如何变成冤大头的?
今天真是结婚的好日子啊,我也是上午一场晚,上一场那么赶场。一场在北京的西北角同学结婚,一场在北京的东部同事结婚。连续两场下来,把我给喝得晕晕乎乎的了。书是看不下去了,于是窜到网上看看,醒醒酒。看到我们老大写的《城管也是冤大头》,乘着酒兴也说两句,算是讨论讨论吧~
还是老规矩,先说些题外话。第一次看到《 XX 是冤大头》或者《 XX 也是冤大头》这样的标题是在《潜规则》和《血酬定律》里面看到的。 我觉得这里的“冤大头”至少有这几层意思:第一是费力不讨好,自己付出了很多,却没有得到什么恰当的回报;第二是自己身在其中还浑然不知,甚至还自得其乐;第三可能就是面对现状也无力改变了。我们老大写的《城管也是冤大头》里面举例已经非常明显了,而我们从网上能看到的新闻也的确是能够支撑起“城管也是冤大头”这样一个观点的。可城管是怎样成为冤大头的呢?是什么造就了城管这样的冤大头呢?这就是我想要在这里跟大家探讨的问题了。
为什么会有城管?
大家应该都很清楚城管不是警察。所以,我们可以说城管并不像警察和军队那样属于国家暴力机构。其定位应该属于城市管理机构,因此它没有任何拘留或者逮捕的权力,也不配备警棍、手铐、枪支这样的装备。那为什么在国内会存在城管这样的“执法部门”呢?他们的执行的是什么法?城管存在的法律基础是什么呢?在深圳市城市管理局网站上有下面的一段话(摘自这里)。
市管理行政执法的法律依据是《行政处罚法》及政府的授权。《行政处罚法》规定,“国务院或者国务院授权的省、自治区、直辖市人民政府可以决定一个行政机关行使有关行政机关的行政处罚权”,为相对集中行政处罚权工作在全国的推开奠定了法律基础,然后再通过政府的授权就产生了城管部门。这就是城管行政执法的主体。地方和行业法律法规是各城市城管行政执法部门具体执法时的主要依据。
从程序上来看,目前城管执法的程序依据主要是《行政处罚法》,还有一些零星的地方性法规和规章。《行政处罚法》规定了处罚行为的一些基本程序,例如管辖、决定和执行,简易程序和一般程序(包括听证程序)等。这些程序虽然比较概括,不够具体,但是还是包括了城管执法中的主要程序。执法程序是一种理性的设计,除却了执法中可能出现的情绪色彩。执法程序的公开、透明、说理,对于实现行政的民主化、确保依法行政、增加执法行为的合理性、提升人民对执法的信赖都是具有现实意义的。严格遵守执法程序是文明执法的体现,也是增强程序正义、减少事后纠纷的需要。遵守这些程序基本上就能实现程序上的正义了。不能因为没有一个专门的城管处罚程序法而忽略了真正需要遵守的处罚一般法。
我们可以从下图看到“城管”得以合法创建并存在的理由:
从上面那张图我们就可以看到,城管队伍的存在就是为了执行各级政府制定的相关法律、法规,而各级政府也的确赋予了其执行行政处罚的权力。而目前,因为警力缺乏,相当多的城市开设设立“交通协管员”。而“交通协管员”本身,应该也属于城管。我们可以看到由于“交通协管员”并没有被赋予执行《道路交通安全法》的权力,因此“交通协管员”并不能处理交通违法行为也不能处理交通事故,而只能处理违章停车等违反地方法律、法规的行为。
为什么城管必然会成为冤大头?
从大多数市民的印象来看,城管的形象就是和“处罚”甚至“罚款”联系起来的。 毫无疑问,绝大多数被处罚的人是不会对城管满意的;而没有被处罚的人,如果看到某些自己不能接受的城市管理问题也是不会对城管满意的。这样来阐述这个问题可能有些绕,还是举个简单例子吧,就拿流浪、乞讨人员的管理问题来举例。
市民对“收容流浪、乞讨人员,禁止在公共场合行乞”的意见基本上是可以分成几类的:赞成、反对和中间派。赞成者通常是出于维护公共环境秩序、维护治安、维护城市形象等方面的考虑;而反对者通常是人为不能因为部分人的利益而去剥削另一部分人的利益,特别对于是弱势群体而言;而中间派则认为可以找到某种中间的解决方案。当天桥和地下通道因为乞讨人员导致通行不畅的时候,赞成者会对城管的工作表示不满;当城管人员驱散、触犯乞讨人员的时候,反对者会对城管的工作表示不满;而对于中间派而言,城管的任何管理办法只要没有完全符合其当时的价值判断,中间派都会对城管的工作表示不满。这样看来,城管工作在现有框架下要获得市民的满意度将会多么困难。 如果城管部门有不良的绩效考核作为指引,这个问题将更严重。简单拿罚款金额与城管部门绩效两者关系来说。如果不把罚款金额和城管部门绩效结合起来,城管部门将缺乏必要的驱动力,而地方法律、法规贯彻落实将得不到保证;如果把罚款金额和城管部门绩效结合起来,这将驱使城管部门为了罚款而罚款。同样,在执行方法上也面临两难问题:如果不使用强制手段,处罚也就达不到处罚的目的,没有威慑力自然没有效果;如果使用强制手段,又往往会激发矛盾,引起社会不满。而某些城管部门的成员,认为自己是代表政府行使权力,缺乏必要的处理矛盾的技巧和方法,非常容易导致矛盾激化。暴力对抗城管执法的新闻越来越多,甚至有城管人员在工作过程中被人刺伤、刺死。前面也说过,城管部门在整个体系中只是最终的执行部门,因此对整个体系导致的问题只有一小部分是执行部门导致的。可城管部门是唯一的执行部门,所有的问题都在执行过程中才能体现出来,因此整个体系导致的问题却必须由城管部门来承担。城管部门也就成了所谓的“下水道部门”——所有的不满都要由城管部门来承担。
由此看来,城管面对问题左也有人不满,右也有人不满,呆在中间还有人不满;自身改善只能解决极小一部分问题,缓和一些问题,却必须承担全部问题的责难,这不就是“冤大头”了么?
如何破局?
我觉得解决城管问题要先从以下几个基本出发点开始。
公民都有各自的权益,法律应该在公平、公正的环境下保证大多数人的权益;
在保证大多数人权益的时候伤害了某些公民权力时,必须给出相应的补偿(不一定是货币形式的);
在可能的情况下(大家能达成一致的情况下),应当给予弱势群体必要的支持和保护;
还是拿“收容流浪、乞讨人员,禁止在公共场合行乞”来举例吧。我认为应该通过城市范围内的市民投票来决定相关政策。让市民参与相关的法律、法规的制定,从而获得城市中市民能够接受的解决方案。通过这种方式来向市民了解城管人员获得的授权的过程和所受于权力的大小,因而能更客观的评价城管人员工作。通过投票确定是否收容流浪、乞讨人员;如果要收容流浪、乞讨人员,通过投票确认如何进行收容;通过投票确定是否允许公共场合行乞;如果不允许公共场合行乞,则通过投票确定哪些公共场所不能行乞,同时还要确定如果违反应该如何处理。同时应当加强舆论监督,允许通过法律手段反对不正确的城管执行。当然,这需要实现基层的民主选举和投票,需要市民能够真正参与城市管理,参与对自身环境产生影响的城市管理决策;需要加强监督,避免出现执行过程中的问题;对出现的执行过程中的问题应该提供相应的申诉机会。当然,如果经济发展,能够避免乞讨者的产生,这毫无疑问是最彻底的解决方案。其实说到最后,好多问题都是基层民主的问题、都是监督与制约的问题、都是经济发展的问题。
困了,早点收住,早点去睡了~ 后面写得有些凌乱
后记:我要特别强调的是,框架的问题才是导致问题的根源。执行者的素质是导致整个问题的一部分原因,但仅仅也是很小的一部分原因。在不完善的框架下,在不正确的激励措施之下,任何人承担城管的职责都会变成现在这样——除非他放弃自己的部分权益。要人放弃自己部分权益才能为公众谋利,这样的框架显然是有问题的。我们不能指望所有基层执行人员都是雷锋。你我都不是雷锋,为什么要求别人要成为雷锋才能办好事情呢?我这里所说的框架和激励措施,就像生态环境。各种现象的出现,都是因为人们去适应环境而产生的。城管问题是这样,医疗问题也是这样。作为领导者,我觉得不应该去强调执行者的高风亮节(当然,出现雷锋还是应该表扬的)。而应该仔细想想如何构建一个良好的生态环境,只有这样才能让事情整体向好的方向发展。城市管理是这样,企业管理也是这样。
再向大家推荐一个漫画 Blog
画风是比较可爱的,和《阿兹漫画大王》比较像,里面很多故事也很有意思,强烈推荐大家订阅。在一天的工作之后能看到这种漫画真是让人高兴啊~~
她的 blog 是小步的漫画日记。
头上的闪电
无聊的气球太多了,于是我想要一个这样的气球~
细线是透明的 闪电则是闪亮闪亮的 气球被雪白的棉花包围着 充着氦气飘在头上 :P
好一个电闪雷鸣~ 哈哈~ 真符合我的“搞”法
(haha)(wave)
从收益到激励
今天看到我们的老大的 blog 上贴了篇《关于收益》。老大在这篇文章里面把一个人的总收益分成物质收益和精神收益两大类,然后说明了这两大类收益的一些基本概念和扩展,并且得到了一些基本的结论。恰好,我也有一些想法跟这个话题有关系,正好乘这个机会也拿出来讨论讨论。
我从阅读中了解到,人们对“收益”的看法也有很多种。有人认为收益就是满意度,各种形式的收益从本质上来说没有什么差别;有人认为收益可以按照某种方式分成两类;有人认为收益可以分成不同的层次。其实,这样的争论其实在哲学里面早就出现过了——我在《一元论、二元论和多元论》里面就是谈的这个问题。从人类文明开始,关于世界的本源各种观点就没有分出胜负。我想,如果如果要想在收益的分类上讨论个“水落石出”,估计也不是一件太简单的事情。因此,而在我看来,如何将收益进行分类并,并没有正确与否的标准。而分类的关键是在于分类后能解释什么,能给日后的实践带来什么样的指导。
之所以要关注个人收益,其实是希望通过调整组织内个人收益,在组织内部建立良好的激励体制。如果我们充分了解各种类型的个人收益的效用,那我们就有可能用较低的代价来实现激励。前面其实已经说到了,关于收益这个问题,人们的看法还是蛮多的。当然,影响力最大的就是亚伯拉罕·马斯洛的层次需求理论和弗里德里克·赫茨伯格的双因素理论。
我认为员工的满意度来自于需求被满足。在满意度方面,有一个不错的公式:满意度是感知和期望值的差值。如果感知高于期望,满意度是比较高的;如果感知低与期望,满意度是比较低的。如果结合我的几个基本观点:
人的需求是多种多样的。没有多种多样的需求,哪来的那么多的商品和服务?
不同的人对同一需求其期望值是不同的;不同的人对同一需求被同样满足其感知程度是不同的。同样一杯水,对于沙漠里面快要渴死的人和给快要在河里淹死的人意义是完全不一样的。
激励措施并不一定会直接产生费用。以前我们还是小孩子的时候,作文里面经常有这样的话:“望着老师欣慰的笑容,我们心里象喝了蜜一样”——这样的笑容需要费用么?
这样我们就得到了一个公式(其中, Ki 是一个调整系数,用来调整不同需求我所说的“需求敏感度”问题):
可得到了这样的公式有什么用呢?这就需要我们对公式中等号右边的每个变量进行分析了~
最首先看到的是 Ki 。前面也说过,它是用来解决“需求敏感度”的调整系数。它又是怎么确立的呢?这个我也没有想清楚。目前,我认为它跟主要根“稀缺程度”有关系。越是没有得到满足的需求,其 Ki 值是越大的。这一点通过“边际效益”就能很好的解释了。
这样的例子很好举:例如,对于普通员工群体而言,处于事业上升期的年轻人双因素理论中的激励因子效用更好,而有一定年纪的人双因素理论中的保健因子更有效。又例如,层次需求理论中的自我实现需求对财务方面压力不同的员工带来的激励作用也是不一样的。
关于这“期望”和“感知”两个词汇,我首先要说的就是——“期望”和“感知”都是可以管理的。除了“朝三暮四”这个典型之外,西方的管理知识中也有相应的内容。其实这个控制“期望”和“感知”的过程就是挥舞“胡萝卜和大棒”的过程。还有一个很重要的变量“i”,这意味着我们的激励手段越多,我们能达到的员工满意度最大值越大——简单来说就是“胡萝卜”种类越多越好。
关于“感知与期望”的管理以及“i”的管理,个人认为都更倾向于“术”而不是“道”,所以在这里就不展开说了。
《无法说不》
今天把《无法说不》看完了。最初买这本书的原因是看到以下的介绍:
谈判能力深得美国前总统卡特的赞赏,为美国财政部、国务院、五角大楼提供谈判咨询;
作者曾经参与苏联相关事宜的谈判、参与解决从中东地区的民族冲突和战争到巴尔干半岛的冲突 ……
《无法说不》是我阅读的第二本关于谈判的书籍(之前是《你就是谈判高手》,见我的 blog 《你就是谈判高手》) 。因为是我看的第二本关于谈判的书籍,我对旨在双赢的“合作性谈判”概念已经不陌生。也正因为如此,《无法说不》第一部分关于“合作性谈判”的介绍对我而言有些多余。在我看来《无法说不》在第二部分写得还不错,列举了相当多的使用技巧,而第三部分显得有些草草收场的样子。