监管单位未发现被监管单位长期违规是否要承担渎职失察责任？安全技术培训的价值如何体现？安全架构与安全体系的探讨

‍‍

‍‍‍‍

0x1 本周话题TOP3

话题1: 监管单位如果没有发现被监管单位的长期违法违规问题，是不是要承担渎职失察责任？

A1：好像很少看到过金融监管单位被处罚的。不过，我理解是有强监管和弱监管区别，如果强监管领域出问题应该是要追责，弱监管领域出问题要完善。

A2：有监管单位的监管单位来追责，例如审计、稽核，纪检监察，甚至有责任人停职撤职之类的。

监管目前也是抽查，覆盖面太大，起到威慑作用就行，挂一漏万的情况实现不了。类似考驾照的思路，考过的相当于监管能覆盖，出事根据规章制度认定责任。

A3：跟安全一样，明知系统有很多漏洞，系统还不是一样跑，只要不出问题就行。出了问题也要客观分析，不能一棒子把安全打死。

A4:肯定是要负责任的，但是要看具体职能覆盖的情况和关联关系强弱。拿疫情来看地区官员渎职虚报，防控工作没指导落实和管理到位，被查处撤职的貌似不少。

A5:看问题多大，是否隐蔽，在不在监督审计范围，有没有故意隐瞒等作风流程上的问题了。

记得书上说过due diligence，如果自己被查了，有机会说话就证明下这个；如果没有机会说明，无条件背锅，那只能自认倒霉。

监管的趋势是企业自查自纠，企业自证清白。很多监管给的checklist也是企业自查上报。

A6:有个通识是，下面出问题了，上面一定处理你。因为都出事了还不处理你，那上头等着一起被处理。

这个通识跟讨论问题的区别点仅在于：啥算出问题？自己经营范围内的，那不见得监管该家长式管。

个人理解定失职渎职还是要看已有管理机制是否覆盖，覆盖的范围未发现问题是职责态度问题可追责，未覆盖的范围属于原有机制不健全能力不到位问题可小惩促改。

A7:国家有完整一套行政层面的安全生产责任调查机制，与信息安全类似，最后要分析得出直接责任、间接责任、管理责任，除了考虑制度层面的规定责任，还要考虑意思表达和既定事实等。

这里有几个模型：海因里希、能量溢出、reason模型和北川切三等，非常多的定位、定责模型。

A8:是的，可以参考国家对特大事故的处理。网络安全事件事故一般没到这个力度，但是对管理部门的追责通道肯定是有的，例如2019年江苏响水天嘉宜化工有限公司“3·21”特别重大爆炸事故调查报告（详情参见链接：https://www.mem.gov.cn/gk/sgcc/tbzdsgdcbg/2019tbzdsgcc/201911/P020191115565111829069.pdf）

A9:可以看看三大基础法律的法律责任部分都有玩忽职守、滥用职权、徇私舞弊之类的描述，关基保护条例还明确不履行监督管理职责给予处分。实施细则可能得看各监管机构的管理、自律要求

A10:衙门有很好的机制，一系列监管要求，发文，标准，通知，警示。还会要求被监管单位进行定期自查，互查和上报。

虽然衙门牛人很多，但也有一般的。如果不懂业务，纯加强对被监管方的要求，不见得有效，不一定能规避自己的责任。典型是闯黄灯是否非法，当时某部一个处长，在央视一套，说闯黄灯肯定非法，连上海红绿灯倒计时都是非法......当时这处长是实名显示在CCTV的

话题2：如何通过漏洞（漏洞数量等）反馈安全技术培训带来的价值呢？

A1:漏洞的反馈应该来自多个维度的共同努力，只是培训可能不全面也不好统计，比如前期安全方案设计涉及的安全需求、风险分析、日常安全评估/检测、安全基线等。

Q:如果单独只拿漏洞和安全培训去关联，怎么体现较为好些呢？

A2:你可以看漏洞的修复积极性和修复效率，通过对比和环比来看看数据呢？

A3:虽然修复积极性和修复效率和安全培训没有必然关系，但与考核有关系。

Q:漏洞同比下降率，培训前后的对比?

A4:漏洞修复是管理和技术综合作用的问题吧，技术培训能解决安全开发能力和漏洞修复能力，但是管理策略不到位的话我觉得还是无法推动漏洞修复整体工作。

A5:这个指标不太行，我对比了下：漏洞数量更多是受到安全技术人员能力和资产覆盖范围的影响。同等场景下，业务资产覆盖越全面，安全人员技术越强，漏洞数越多。安全培训会影响，但是影响有限，数据里根本体现不出来。

群友之前提过直接考试来反应当时培训的效果，但是得有效果的输出吧，不然怎么证明培训有作用呢？

A6：培训完找个机构发证，年底比证的数量和质量，虽然这个没啥用，但是个培训效果的证明，因为证书是实实在在摆着的，就像大学看论文，对教学效果没啥用，但年底晋级比拼都得靠这个。

A7：安全意识提高，钓鱼演练实战验证？或者低级漏洞数量减少，漏洞按期修复率上升。

Q:钓鱼和意识这个算，但是只是其中一部分。而“低级漏洞数量减少，漏洞按期修复率上升”，这个理论上是这样，但是实际上是安全培训会影响，但是影响有限，数据里根本体现不出来，那除了漏洞，还有什么可以证明安全技术证明培训价值？

A8:你的KPI里有这条么？漏洞相关。没有就加上，参加多少培训，消减多少漏洞。不懂非要产生联系干啥，本来就是个不想干的两个事。

如果是安全技术培训的价值，我建议从竞赛出发，拿ctf、awd竞赛的成绩来说话。

A9:应用是不同的，技术能力不同，挖掘漏洞的效率和深度也不一样。而且一个安全人员能测试的颗粒度和覆盖到的资产多少和多个安全人员是不一样的。

ctf这个能给企业带来什么？那还不如考核者搭靶一个靶场，现场打靶排名，而且ctf题和实际的环境还是有区别的。

A10:ctf可以给企带来主管单位关系、标准制定、专业红蓝团队建设、社会声誉。

Q：肯定有区别，好多都是在理想环境下，我们谈个实际的安全培训考核指标，针对新入职技术员工，运维，开发，测试的安全培训。

A11：可以内训师现场出题，积分制，积分和指标挂钩。不过题也不好出，要符合这个培训又还要不能太难和不能太简单。

A12:新员工的培训质量和漏洞数量挂钩，是因为有实际数据证明这俩指标有关系吗？如果真有关系，这还是个好事。

A13:我觉得应该没关系吧，如果培训可以让挖洞能力成正负相关，那岂不是随便培训就成为挖洞高手？这不太严谨吧，技术沙龙应该是可以的，不同的人在交流不同的经验，可能会有特殊想法出现。

关于ctf，我们有针对业务的ctf活动，出题内容就是针对他们经常出现的漏洞，题目相对比较简单。

Q:不是为了挖洞，是为了培训研发，测试，运维，提高他们安全开发的能力和意识，降低线上应用产生漏洞的可能。也请说说，针对业务的ctf制作成本高么？怎么体现给开发或者运维的呢？开发那意思是针对白盒审计的那种题？

A14:我们自己出题，包含业务经常出现的各种常见漏洞，如信息泄露，xss，越权等，也有代码审计的，10道题目，难易程度5:3:2的样子。两天时间，比外面ctf比赛的肯定简单很多。其中靶场是复用的，比如有道fastjson的是复用的，怎么利用的介绍网址都给提示了，目的就是让他们自己操作一遍，明白fastjson这种漏洞的危害性，以后遇到这种赶紧修。

话题3：请教各位一个关于安全架构设计的问题：我的理解是架构设计的对象应该是信息系统，包括它的基础设施层、应用层和数据层，这三层的安全。企业的安全架构应该是说的安全体系建设，不知道我的理解是否合适？

A1:自己写了一篇应用系统的安全架构设计文章，可能比较狭义，供参。

Q:和我理解的一样，架构的对象是应用系统。不过，安全架构和安全体系这两个概念怎么理解呢？

A2:安全架构设计的目标主要就是保障应用系统的安全，把各种安全控制措施嵌入到应用系统，实现应用系统的内生安全吧。安全体系那就大了，组织人员、制度、培训以及网络安全、应用安全、数据安全等各个领域。

A3:建议你把这两个概念统一。我认为安全架构、体系包括了：（1）组织架构（2）技术架构（3）制度体系、流程、机制（4）资源、能力管理机制（5）人员意识。或者你要拆开理解也可以，自己逻辑自洽就好。

0x2 本周精粹

0x3 2022年第11周运营数据

金融业企业安全建设实践群 | 第139期

本周群里共有 95 位群友参与讨论，群发言率为21.40%，群发言消息数为 423 条，人均发言数为 4.45 条。

企业安全建设实践群 | 第64期

本周群里共有 24 位群友参与讨论，群发言率为5.18%，群发言消息数为 115 条，人均发言数为 4.80 条。

0x4