有人给你的长相“跑分”,有人给你的公司安全“跑分”(2)
2、有一个国际快销品公司,为了开拓市场和很多电商都有合作,很多供应商的系统直接打通了企业内部系统。然而悲催的是,由于第三方电商的安全性没有做好,让黑客通过第三方直接攻陷了自己的系统。这种欲哭无泪的沦陷实际上正在普遍发生。伊朗的震网病毒正是被第三方供应商安装到核设施中的;斯诺登所供职的博思艾伦咨询公司,也正是美国 NSA 的第三封供应商,看看他把 NSA 坑得多惨。 这种情况下,用安全评分就可以把供应商按照分数高低排列下来,企业的采购部门或者风控部门就可以有针对性地找得分低的供应商喝咖啡。 这属于第三方风险管理。 这类评分平台还有其他用途,例如行业监管和企业自查等等。 2017年五月,各教育机构安全值分布 “跑分”也遇到很多坑说起来,这个安全评分就是把企业和机构当成了手机来“跑分”。那么,制造一个跑分平台有技术难度吗? 赵毅说,在研发这个系统的时候,还是有很多坑的。 例如,一百多个数据源,管理起来就像满幼儿园的孩子一样——每个熊孩子都有自己的姿势。对于数据来说,各家的数据格式都不一样,而且数据侧重和表达方式的差异程度令人发指;很多数据形态也很粗糙,需要再次加工才能使用。 想象一下,一群说着不同语言的熊孩子在你面前追跑打闹,是怎样的场景。 很多时候,数据源的格式发生变化, 都不会事先通知。如果数据变化,系统还按照旧的流程输出结果,就会造成巨大的错误。我们踩过这个坑,于是现在做了一个可以自动探测数据格式的系统。如果格式变化,就放到一个专用池等待人工处置,优先保证输出的评分准确性。 在算法的改进上,也会遇到一些坑。 赵毅说,之前为安全值设定的算法是固定的,也就是说DDoS攻击、信息泄露、网站被挂马等,在不同行业中的权重是一致的。但是事实证明这样并不准确。 如果税务局对下属单位做绩效考核,那么下属单位会觉得:如果是因为信息泄露而扣分,我认;但被 DDoS 攻击不是我能控制的,为什么要背锅? 所以在最新的安全值平台上,赵毅和团队吧固定算法调整成了自定义权重。这样不同的行业就能按照自己的标准来打分。基于此,不同行业机构之间的评分没有可比性,行业内部的类似公司才有强的可比性。 小结经历过十年寒窗的人,对于分数有天然的警惕。他们深知分数不能代表全部的人格。但是不可否认,没有考试和评分系统,社会组织会更加混乱。可以说,分数却是让这个社会简化运行的必要手段。 既然评分不可避免,我们何不转而期待一个公正的分数? 本文作者史中(微信:fungungun),小编()主笔,希望用简单的语言解释科技的一切。 谷安天下和安全值为本文数据有贡献。 ,。 (编辑:ASP站长网) |