Celeritas
2016-01-10 07:02:02 UTC
我正在上一門旨在 CISSP認證的課程。儘管該課程被歸類為軟件工程,但我們談論了很多有關物理安全性的問題,尤其是洪水,火災,地震和闖入物聯網的汽車。這種安全性如何?例如,有人告訴我們,數據中心在建築物中間是最安全的,因為如果屋頂漏水,頂部將是不安全的,並且水勢必會下降,因此較低的樓層將是第一個淹沒的地方。
這真的是一個安全問題嗎?例如,如果屋頂漏水,工程師將負責,而不是安全分析師。您不會僱用安全分析員來確保屋頂堅固。
更新:此外,諸如在建築物周圍設置護柱以保護行人免受汽車傷害的事情,這種安全性如何?還沒有人真正解釋過這一點。有人告訴我,公司最有價值的資產是員工,但是通過這種推理,什麼不是安全性呢?
如果可用性如此廣泛,那麼安全性又不是什麼呢?
個人觀點,可以這麼說,我認為這是他們讓您跳出框框思考的一種方式。這是您在現實生活中需要做的事情。信息安全不僅限於數字保護,還包括數據的物理保護。
您可以快速將物理安全性問題應用於“分析師”。 CISSP是針對更高級別的安全人員的,而不是針對分析人員級別的人員。您是否想知道CISSP為什麼包括自然災害,或者為什麼分析師應該關心自然災害?
如果該課程是針對CISSP設計的,則它不是軟件工程課程。信息安全包括紙質記錄,人身安全,服務可用性等
您真的在乎什麼在攻擊您的數據嗎?如果有人故意破壞您的數據中心或自然天氣現像對您有影響(更重要的是,您如何保護它)?
“如果屋頂漏水,工程師將有過錯”,但是如果這導致任何安全問題,則安全分析師有過錯。目的不是要找人責怪,而是要確保資源可用和安全。您的目標應該是考慮“所有”可能性。如果屋頂漏水,您可能已經在某處寫了這是公司願意接受的風險或有緩解措施的風險。但是無論如何,考慮一下是您的工作!
@Josef 1)我不會怪它,我會稱其為合理2)首先,這不是一種安全措施,要有一個不洩漏的屋頂,因此這不是安全分析師的錯3)知道什麼不是安全性?
我想我的觀點是,在實際情況下,一家公司更有可能這樣做:確保他們擁有高質量的屋頂,還是購買防水計算機?從安全性的角度看,我們似乎在談論後者,這並不划算。
當然,他們將確保擁有高質量的屋頂。但是確保您的屋頂安全是您作為安全分析師的責任。使用CISSP,您吃的不是計算機人。您負責**安全**,而屋頂,門,牆壁...是其中的一部分!
@Josef不需要在木工或結構工程方面有背景並且最好留給這類專業人員嗎?另外,請隨時停止使用感嘆號和粗體字母。
@Celeritas不。這不是管理的工作方式!您必須確定屋頂的形狀,必要時可以徵求專家的反饋,然後委託專家以這種方式進行!如果您需要一個新的Internet連接,也不需要鏟子,對嗎?您決定它的狀態(帶寬,技術,兩條不同方向的電纜以實現冗餘...),然後請某人掏錢並放入電纜!但是,您也不只是隨便叫一個傢伙,告訴他“用挖掘機幫我上網”。
@Celeritas明確指出:“確保屋頂是好的”,我並不是說您應該爬上屋頂並用錘子敲打或倒水,看是否漏水。通常,您會聘請專業人員(以書面合同形式)向您保證屋頂符合某些標準,並且可以承受一定量的雨水,而其他情況則不會。但是提出問題是您的任務,而管理層將根據您的意見來決定屋頂必須遵守的標準。或者他們告訴你他們不在乎。然後您將其“寫下來”。
@Celeritas的繫纜柱是保護建築物的安全,是行人安全的副產品。有一種犯罪稱為“突襲”。
**安全不只是“安全衛士”意義上的“保護” **
我想的就是@Burgi,但當我在課堂上說每個人都笑了起來,並說這是為了行人安全。
這可能會有助於您的論點:http://www.marshalls.co.uk/commercial/street-furniture/products/anti-ram-supermarket-bollard-webfa100039
您可能會嘗試從雇主的角度看待事情。如果您拒絕做雇主認為您應承擔的責任,那麼您很快就會成為前僱員。
您誤會了@gnasher729:我說過,雇主在屋頂或防火等方面不太可能聘請安全顧問,而不是某種建築工人。
@Celeritas當然,最好聘請一名建築工人以確保建築安全,減少員工心理分析的縮水以及一百多名專業人員。但是誰僱用這些人呢?高級管理人員不想考慮一百種情況並找出他們需要的人。他們沒有100個問題,他們只有一個要求“ 99,9%正常運行時間”,他們將僱用一個人來保證這一點。這傢伙的工作是找到所有可能出問題的地方並聘請專家。那傢伙是安全經理;-)
假設有一顆隕石撞擊建築物並完全摧毀了建築物。您的客戶希望您為這種情況做準備(例如,使用遠程備份)。如果您說“啊,是的,您的數據將永遠消失,但是從技術上講這不是安全問題”,您認為他們的反應是什麼?我的想法是“嗯,如果它永遠消失了,您似乎並沒有保持安全”。
類別在自然界中不存在,它們是人為人創造的。災難計劃與安全性息息相關,因為緩解災難所需的措施與進行安全性所需的措施(在某些情況下是相同的措施)相吻合。