“你们入口随时可能被攻击,不买我们服务会出大事故。”
这类话术最阴的地方,不在它说的“攻击”真假,而在它把一个公共系统应有的安全治理,重新拖回到“靠人、靠圈子、靠付费订阅”的旧路上。只要恐慌被卖得足够像真理,基层就会愿意买单——不是因为他们想花钱,而是因为他们怕背锅。
林远看着那条线索,第一反应不是生气,而是疲惫。
因为他知道:当“安全”开始被当成商品,制度就会被迫在两个坏选项里选一个——要么放松(被攻击),要么封闭(被俘获)。
他不选。
他要做第三件事:把安全也做成公共指标,像SLA、像incident_id一样可见、可解释、可审计。
他在白板上写下四个词:
分级
证据
公开
误报成本
“恐慌之所以好卖,是因为没有统一分级。”林远说,“你一句‘严重’,我一句‘不严重’,基层只能信嗓门大的。我们要做的是:安全像工程质量一样,有等级、有阈值、有动作。”
一、SEC-RISK-01:安全风险九宫格(但不复杂)
省信息处拉了一个短会,这次除了数科安全、银行IT、审计旁听外,还叫上了两个试点城市的网安负责人。因为安全分级如果只由平台说,会被骂“自说自话”;必须让地方也能用这套语言对外解释。
林远投出一页图——不是九宫格花活,而是四级分段,名字刻意做到“像天气预报”:
SEC-RISK-01|安全风险分级(试行)
L0(信息):未发现可复现漏洞,仅为误用/配置问题/单点故障
L1(关注):存在潜在风险,但需特定条件且无PoC可复现;建议纳入月度列车修复
L2(紧急):存在可复现风险(内部PoC),可能影响可用性/可观测性/证据链完整性;进入热修通道
L3(重大):影响范围广或可能导致敏感数据泄露/证据链不可置信;热修+强制过渡期缩短+审计旁听升级
每一级对应三件事,写得像行动清单:
1)必须有编号:L1起必须有risk_id,L2起必须有vuln_id
2)必须有公开摘要:影响范围桶、紧急程度、建议动作、过渡期
3)必须有验证机制:L2起必须跑HotfixConform;L3起额外跑“证据链完整性专项测试”
银行IT旁听当场说:“这套好。我们不用听谁吓人,我们只认L2/L3的编号与验证。”
审计旁听补:“L2/L3必须有编号与公开摘要,防止随口升级、随口降级。”
地方网安负责人也点头:“我们最怕领导问‘到底多严重’,有L0-L3就好答了。”
二、误报惩罚:让“吓人”变成亏本
但分级只是语言。要让恐慌营销消失,必须让“乱报严重”有成本。
于是SEC-RISK-01加了一个附录条款,名字很直白:
SEC-FALSE-ALARM-01|误报与夸大惩罚机制
规则不抓“意图”,只抓“结果与模式”:
若第三方/服务商公开或私下宣称“重大/紧急风险”,但最终被判为L0/L1(非紧急),且发生频次达到阈值(例如30天内≥3次),则记为恐慌误报点
恐慌误报点进入周报统计(机构哈希,不点名),并触发:
冻结协作席(短期)或降低其提交材料可信权重(更严抽查)
其参与项目的安全类声明需附更严格的证据链(验证报告编号)
若发现误报伴随“推销安全套餐/托管年费”话术,则直接纳入风险干扰源线索池
“你可以卖安全服务。”林远说,“你不能靠制造恐慌来卖。恐慌营销必须亏本。”
刘曼担心:“会不会误伤真正的提醒?万一有人真的发现问题,但我们判低了?”
林远点头:“所以我们给救济:可以申请复核,走RFC-ARB仲裁。把争议变成判例,而不是变成吵架。”
三、第一例:把“恐慌套餐”打回L0
第二天,一个城市真的被“安全巡检套餐”吓到了。领导在会上拍桌子:“平台有重大漏洞?你们怎么不早说?马上采购巡检!”
城市技术负责人私下找到陈毅,发来顾问的“风险报告”。报告写得像论文,关键词堆满:注入、提权、链路污染、证据伪造……最后落在报价单上。
陈毅看完,第一步不是反驳,而是按SEC-RISK-01走流程:
“请提供risk_id与可复现最小样例(内部封存亦可),并说明影响范围桶。”
对方给不出来。只说“出于安全考虑不能提供”。
林远听到这句笑了笑:“安全考虑不是拒绝编号的理由。你连编号都不给,就是卖恐慌。”
于是解释席轮值小组出具一张编号化“风险解释单”,结论直接写:
本小章还未完,请点击下一页继续阅读后面精彩内容!
喜欢重生2005:我在惠州买地皮请大家收藏:(m.zjsw.org)重生2005:我在惠州买地皮爪机书屋更新速度全网最快。