05 漏洞从哪里来?——体系痼疾(制度化)
05 漏洞从哪里来?——体系痼疾(制度化)
原创 Richard 方桥安全漏洞防治中心 2025-02-21 00:00
本文跳出技术、工具、人员等具体因素,从管理制度、企业所在的政策法规环境探讨软件安全漏洞的成因。安全如果不在企业管理层的议事清单中,很难真正做到有效治理。企业当下面临
(1)相对严格的法律法规环境
和
(2)相对更具威胁的生存环境的双重压力,如何重塑企业管理制度,赋予安全适当的地位值得企业管理层深思。
以下从“制度化”角度,分两个方向阐述软件安全漏洞的制度原因。
方向一:企业内部管理制度缺陷
(聚焦组织内部制度体系的系统性风险)
1. 制度设计缺陷
-
多制度矛盾冲突
-
安全规范与开发流程冲突(如安全部门要求代码审计,但敏捷开发模式下压缩审计时间)
-
不同部门制度目标不兼容(如运维部门追求系统高可用性,安全部门推进修补漏洞需要
停机) -
制度覆盖不完整
-
缺乏明确的软件供应链管理制度(如未规范开源组件引入过程)
-
安全漏洞分级响应机制不明确(如未区分高危漏洞与普通缺陷的处置优先级)
2. 制度执行机制失效
-
责任归属模糊
-
安全责任未落实到具体岗位人员(如未
明确安全漏洞修补责任人) -
跨部门协作缺乏制度支撑(如开发、测试、运维团队的安全职责
分工界面不清晰) -
资源保障不足
-
安全投入未制度化(如未固定年度安全预算比例)
-
“搭车”采购导致
安全工具与实际需求的符合度低(在系统集成采购中,安全工具的预算被反复压缩)
3. 监督与改进机制缺失
-
制度执行缺乏审计
-
未建立安全合规检查制度(如未定期核验代码审查执行情况)
-
安全演练流于形式(如应急预案未实际测试或者未覆盖关键角色)
-
缺乏有效的动态更新机制
-
安全策略未随技术演进更新(如未建立禁止使用的弱口令清单)
-
漏洞管理流程僵化(如仅支持
处理已知漏洞,无法应对未正式发布的安全漏洞)
典型例子:
– 某企业因软件开发管理制度中规定了每日代码提交量的下限,开发团队经常跳过安全测试提交代码。
- 企业安全制度要求重要信息系统启用双因素认证,但由于预算受限,仅针对系统管理员账号启用动态口令验证。
方向二:企业外部法律与监管环境矛盾
(聚焦外部制度环境引发的系统性风险)
1. 更完整严格的法律法规体系,在企业实际落地中存在冲突,同时还存在一定的模糊性。
-
例如数据安全与个人信息保护,由多个不同部门监管,而且不同行业的实际管理方式也不相容。多头监管,对报告格式不相容,对安全漏洞严重程度的分级实践不一致等,导致企业的合规工作量增加,压缩了真正用于满足实际安全需求的人力投入。
-
部门规定未及时根据国家法律更新,导致某些明显不适用于现状的规定仍在机械地执行。
-
关键术语定义模糊(如“重要数据”对不同行业,同行业的不同企业可能并不一致,在A地和B地的实际执行标准也可能不一致。)
-
安全基线要求缺乏可操作性(如“采取必要安全措施”缺少具体技术指引,在执法活动中的自由裁量权很大。)
2. 企业按自己的理解遵照法律法规执行和实际执法活动遵照的标准存在偏差,这一方面增加合规成本,另一方面使法律法规在企业落地遇到隐形障碍。
-
如:检查管理制度时,关注证据重于关注实效。
-
又如:漏洞整改要求严格,不考虑可利用性、资产价值。(如:对于高危漏洞要求在规定时间内修复,不考虑实际上仓促修补漏洞引发新问题造成更大损失。)
-
新兴技术(如云原生、AI模型)监管存在时间差。
-
相对于业务收入,中小企业合规成本占比较高,抱侥幸心理选择不作为。
典型例子:
– 某跨国企业因不同国家数据安全合规要求不同,不得不部署相互隔离的多套系统,增加系统复杂性,在系统总体层面存在漏洞,面临数据泄漏风险。
- 推广使用国密算法的过程中,企业未能及时在技术上做好准备,上线后遇到兼容性问题,只能临时紧急修补勉强可用,留下安全隐患。
总结与改进方向
1. 内部制度优化
-
构建制度冲突解决机制(如:让网络安全管理委员会真正发挥治理作用)
-
实施制度动态管理(如每季度评估安全策略的有效性和经济性)
2. 外部环境应对
-
建立法规协同解读落地机制(如:企业与法律顾问团队协作完成“外规内化”,并在此过程中征求相关部门的指导意见。)
-
提高合规工作效率,优化合规成本(如:尽可能多采用自动化技术,降低合规工作所需的工作量。)
-
End –
下期分享
06 漏洞从哪里来?——视而不见(风险偏好)
从个人风险偏好和组织风险偏好分析
推荐阅读
01 漏洞从哪里来?——综述
02 漏洞从哪里来?——设计缺陷
03 漏洞从哪里来?——编程习惯
04 漏洞从哪里来?——认知局限