以下内容均为虚构,如有雷同,纯属巧合,勿对号入座,勿影射现状。
这次,小B负责组织全集团的供应链安全排查工作。根据上级单位的工作要求,需要每个月上报供应链风险数据。
到底什么叫供应链风险???上级单位下发工作要求从来都是这样的,说的不清不楚,打电话过去咨询细节,结果不出意外又得到了这样的回答:“你们自己去解读。”
小B先框定了排查范围,筛选了和等保三级主系统有关的30家供应商,同时根据经验,对供应链安全可能面临的风险进行了分类,拆解为供应商倒闭和服务质量下降、供应商产品漏洞、第三方网络攻击、开源组件风险共4大类。小B把相关领域负责人叫到一起开了会,沟通了这件事,大家都没有异议,后续按照这个口径每月统计风险数据。
一切都很顺利,一年到头也没有发现风险,每个月上报的风险数据都是0。就这样一直到了12月,本以为可以顺利完结,结果……
领导:“每个月都是0风险不好看,最后一个月必须得报点数据。”
小B心里嘀咕,领导怎么想的,难道非盼着咱们出事吗?然后小心翼翼地试探说:“现在我们都有固定的统计口径,按照目前大家达成一致的标准,有可能真的就没有风险。”
小B开始发愁了,这可怎么办,不能凭空编数据,还要让数据有理有据经得住检查,小B透支了自己的人脉资源,咨询了其他单位的做法,了解到有的单位是将测试环境的漏洞数据上报,受此启发,小B也去咨询了一下测试环境漏洞负责人小Z,终于得到了让人欣喜的结果,小Z那边有相关数据,然后小B修改了口径,就说扩大了供应商排查范围,这下可以给领导交差了,上报了10个风险线索。
次年,上级单位来到我们这边进行为期3个月的现场检查,而且还要996检查节奏,没办法,我们得全程陪同。一天,上级单位检查到供应链安全排查工作的执行情况,很不巧,小B在出差,临行前,小B还特意和小Z交接了供应链风险的事情,经历了多次检查的折磨,小B这点先见之明还是有的。重新回顾了一下风险数据和整改情况,确认过都没问题,小B放心地出发了。
为了给公司节省交通费,小B没有打车,而是骑着自行车奔往出差地点,这时领导秘书电话打过来了,因为12月有报送过风险数据,所以不出意外的成为了检查人员排查的重点,领导要给检查人员解释这部分工作的执行情况,但是领导日理万机,根本不记得这些细节,最后还是要小B解释。你说说,当初要是不报风险多好。
秘书的语气非常不好,一直在骂人,还总是打断小B的话,感觉非常没有礼貌。不过小B还是以大局为重,先解决问题,跳过中间秘书,直接协助领导应对检查,减少“传话游戏”带来的信息差,最后顺利应对了供应链安全工作的检查。
后来小B才知道,是因为秘书找小W,小W却说不知道这个事,秘书很生气,就把所有愤怒发泄在小B身上。仗着自己是领导的传话筒,就是这么牛气,想骂就骂,不知道领导要是知道了秘书这样仗势欺人会是什么感想。
电话里听到小B在户外,说不定秘书还觉得小B在利用出差之便外出旅游。可是电话那头并不知道,此时小B一只手骑着自行车,一只手打着电话,路上有一次差点被车撞到,还有一次差点撞到别人。
同行的W老哥都看不下去了,对小B大声说:“把电话挂了!等到了地方再打,现在总统打过来也不接,先注意自己的安全!”
听到这话小B心里暖暖的,工作中我们会遇到林林总总的人,有恶心你的人,也有关心你的人,就像《平凡的世界》中描绘的那样,好人与坏人、苦难和幸福总是恰如其分地交织在一起,也让我们的阅历变得丰富多彩。
原文始发于微信公众号(十九线菜鸟学安全):【戏说我在甲方做安全】记一次供应链安全排查和远程迎检
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4094630.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论