做安全工作这么多年，遇到或听闻不少让人瞠目结舌的“奇葩”事件。今天举几个例子和大家聊聊。希望给大家带来一些提醒和思考。
看似挺奇葩的事件，其实很多事儿可能就发生在你身边，但也许你还未意识到那是个问题。
技术熟练VS安全意识淡薄
早些年做项目，曾接触过一位网络管理员。这个小伙子技术很不错，路由交换协议、安全策略配置得都很熟练，一般性的问题处理起来也得心应手。但是他却有一个不好的习惯，就是很多网络设备都不配置Console（管理控制台）密码，做过网络项目的小伙伴都知道，网络设备的Console控制台是最基本的网络管理接口，所有初始化的配置都要从这里开始。如果不配置密码，被别有用心人得到机会，插上管理线缆就可以“大开杀戒”为所欲为。
和他聊起这个事，他的理由很轻描淡写:平时柜子是锁着的，没事。这个密码不常用，一旦忘记了，遇到紧急情况处理起来会比较麻烦。
这是典型的“图省事”类型的管理员。
和他去现场的时候，发现园区内部分机柜并没有锁紧，只是虚掩着，他也不以为意。
“好人假定”是很多“图省事”型管理员的惯性思维。就象《天下无贼》中的傻根，“哪有那么多贼咧”是一种默认思维定式。然而事实上，你永远不知道，一截车箱里有没有贼，或者什么时候会突然冒出个贼。
这类问题并非个案，即使在一些大企业里也时有发生。走在北京的街头，你偶而会看见一些街边的通信机柜。
柜门大开，线缆混乱。设备的维护人员也许在配置命令行的能力上并不差，但对于外面的人来人往“过于放心”了吧。这样完全裸露让人头皮发麻的“壮观”景象，何谈安全呢？
事实上这样的机柜很可能连接着千家万户的宽带网，不用多复杂的攻击，只要把光纤轻轻一拔，就完全可以造成用户的断网。
家里的宽带突然断网？也许就和这样的安全管理有着直接的关系。
从内部“飘”出的企业数据
许多企业在安全技术设备上投入很多，防范互联网攻击看似做得无懈可击。对于内部的安全管控却非常松散。数据没有分级，账户权限管理混乱，对内部人员的操作行为，也缺乏必要的限制和审核。
在不少企业里都存在这种“自己人，一般没事儿”的内部安全管理漏洞。
企业对员工的信任和企业的安全管理规则并不矛盾，并非立规矩就是对员工不信任，也并非有信任，就可以放松了规则。在实际工作中由于缺乏必要的内部安全管控，造成信息安全损失的事件，并不少见。
在笔者以往的工作中，曾接触过一家企业，该企业的重要内部数据居然“飘”到了互联网上。后经追查，发现是内部某职员“不小心”泄露出去的。
这样的安全事件本不应该发生，也完全可以避免。虽事后可以对责任人问责，但给企业已经造成的损失却无法挽回了。
对于企业来说，严格外部安全管理和严格的内部安全管理，缺一不可。而内部安全管控是更容易忽视的地方。做好内部安全保护工作，是保护企业资产的需要，也是真正对员工的负责任的做法。
自做聪明的程序（管理）员
程序开发人员或运维管理员，常常能接触到企业的核心应用系统或数据。而为了个人维护方便，有时就可能做出一些出格的操作。这对企业来说，同样是巨大的安全隐患，安全风险不亚于黑客攻击。
这类问题其实在企业里也很常见，只是“没出过车祸的人”常常对“酒后驾驶”的危险性体会不深，造成长期的**大意。最近发生的一个案例，可以说是“血”的教训，值得IT从业人员和企业引以为戒。
2018年12月，外包运维人员北京某科技公司的夏某某，利用私自记录的数据库账户密码，在未经授权许可的情况下，运维中使用私自编写的“数据库性能观测程序”和锁表语句，导致“郑州大学第一附属医院系统瘫痪2小时”，造成损失800万元。
2019年5月份，法院最终裁决，判处夏某某有期徒刑五年零六个月。
这个案例中，夏某某是运维人员，“私自记录客户的账户密码”和“执行违规的操作”，是为了维护方便。主观上并无恶意，但造成的严重后果仍然需要自己买单。这个教训对于一个程序员而言不可谓不惨痛，但判决结果却并不冤，这是漠视安全和规则应受到的惩罚。
当个程序猿也能坐牢？
恩，是的
希望您在以后的工作中不要露出这样的表情……
反观这一事件，被害企业也应该从中吸取足够的教训，涉事人员安全意识不强可能会犯错，企业也应扎好安全管理的篱笆，不给别人以犯错的机会。安全工作才能真正发挥其应有的作用。
不论网络安全、信息安全还是云安全领域，业内都有这样一个共识，即：“安全工作是三分技术，七分管理。”
难道安全技术不重要吗？当然不是！象上面这些例子，因为个人图方便图省事，有技术没有妥善去用；或企业的安全管理工作落实不到位，没有充分运用安全技术做好防范。那么即使企业购买了昂贵的安全产品，又如何能产生其应有的作用和价值呢？
这才是“三分技术，七分管理”背后的含义。
既有精湛的安全技术，又能通过严谨的管理将安全工作落到实处，上面这些看似奇葩的安全事件，才能够有效的避免。
添加VX13125006136进行云计算，JAVA，大数据学习在线咨询，获取更多免费学习资料