“小张,以后咱们部门的漏洞修复工作,你来推一下。”小张之前就听闻漏洞修复很难推,大概是说天天催的好像求人一样人家还不动,而且由于数据量大导致处理起来工作量很大。可是领导安排的工作必须重视呀,不但做还要把它做好!求人咱不干,可以借助领导的力量;数据量大没关系,咱excel用的还可以。小张赶紧登录漏洞管理系统,看看自己部门有多少漏洞。1000+,还好还好,不是特别多。那就找到负责人,推送漏洞、提醒修复吧。找人还不容易嘛,把二级部门、系统责任人字段调出来就有了~再仔细研究一翻,原来部分二级部门信息是有的,只是跟系统名称合一起都填在“系统名称”字段了,可是系统负责人信息的确一片空白!那找谁修复呢!漏洞管理系统里明明设计了“二级部门”、“系统负责人”字段呀,为什么不按规矩填二级部门、完全不填系统责任人呢?其他一级部门也是这样吗?去瞅瞅……呵呵呵呵,基本都是一片空白,好吧,那就认领吧。将漏洞信息用excel导出,冻结首行、自动筛选、设置好下拉选项,完美!分别发给二级部门安全接口人认领,先线上推送待外加沟通,再线下一一当面沟通、核对。
二级部门A说:这些是,但是a系统不是我们部门的;
二级部门B说:这些是,但是b系统不是我们部门;
二级部门C说:这些是,但是c、d系统不是我们部门的,好像组织架构调整时飞哥带到一级部门α了,你可以问问飞哥……小张心想还是先请教一下老员工大哥,看看a、b系统是哪个部门的吧,万一都是飞哥他们部门的呢,也好一起确认完了。果然,老员工大哥说a系统好像就是飞哥他们部门的,不过b系统是一级部门β的。“飞哥,麻烦看一下b、c、d系统是你们负责的吗?”小张笑着问道。“b、c系统是,但是d系统就是你们部门的,别老说移交给我们了,这还是你们的!”飞哥越说越激动。小张能怎么办,默默的再回去问二级部门C:“飞哥说,d系统没有带走,还在你这里,麻烦你再确认一下吧。”
“哦,好……”说着二级部门C朝着龙哥喊道“龙哥,d系统是不是还在你这里呀?”
可是,还有b系统没找到主呢,于是小张又踏上了往返自己部门和其他一级部门的路上……打了N多口水战后,小张终于把95%的系统归属理清楚了。
不管了,得先把大家修复漏洞的工作动起来。
也是时候让领导了解一下自己部门的漏洞情况了,那就发个邮件,发给各二级部门安全接口人,抄给boss们。那邮件除了要把漏洞情况写清楚,还得给漏洞修复建议呀,第三个问题不期而遇:当然不,没有100%的安全,但是风险得是可以接受的,推动漏洞修复的本质目的还是降低风险。那除了直接修复这种硬刚的方式,还可以采用修护城墙、建护城河这种加固方式,或者选择下线。文字一堆,不如表格一个,小张设计了漏洞情况报告表如下,整理好数据、苦口婆心的再阐述一翻漏洞的危害,讲一讲处理的方式,写好邮件,点击发送。整理数据看的小张眼睛生疼,长久的保持一个坐姿弄得肩膀酸疼,邮件发出了,终于可以缓口气了。抬头一看,身边的同事已经走的差不多了,外边的灯光闪闪。第二天上班,又是一个新的开始,打开电脑、打开邮箱,咦~大boss给回复了:请小张以后每周通报一次漏洞修复进度。哈哈O(∩_∩)O,这难道不是一个好的开始么~以后定期通报数据就顺利成章了。“小张,我们部门的系统是这样的,我们找了厂商,但是……”“小张,这个漏洞怎么修复呀?是不是这样做就可以了?”
虽然还有资产没找到主儿,还有人看到通报邮件也无动于衷。
但是确实有人动起来了呀,领导也给了大旗呀,希望是有的,前途是光明的。