企业动态

    第20叨

    “你不去当厨师可惜了，甩锅甩得那么好。”

    图来自网络，图源电视剧《亮剑》（2005年版）

    俗话说，“人在江湖飘，谁能不挨刀”。在职场江湖中，明面上的刀光剑影少了，但是暗地里的甩锅和背锅，却防不胜防。

    商务印书馆《现代汉语词典》（第7版）对于“背黑锅”的解释是：“比喻代人受过，泛指受冤枉。”近年来，大家将“背黑锅”简化成了“背锅”，并衍生粗个新词汇——“背锅侠”，而与之对应的，就是甩锅，意指推卸责任，企图将自身的矛盾转移到其他地方去，让别人来背黑锅的意思。

    图百度百科

    在四大名著之一《三国演义》中，就有两个甩锅与背锅的小故事。

    1、曹操甩锅、粮官背锅曹军征伐路上的垫脚石

    《三国演义》第十七回，“袁公路大起七军，曹孟德会合三将”表述，建安二年，曹操远征袁术。曹军先期进展顺利，后双方进入僵持阶段，袁军占据地利，坚守不出。

    因曹军数量众多，粮食需求巨大，且恰逢彼时年景不好，曹军驻扎之地大旱，后勤供给十分困难。加上将士众多，曹军粮食急耗殆尽。

    这个时候，老实人王垕登场了，他智谋比不上郭嘉、荀彧、程昱，武力比不上许褚、夏侯惇、徐晃，只是一位小粮官，相当于职能部门的经理。他看到这种情况，马上向曹操汇报。

    曹操效率很快，立即给了指示，“那就改成小斛吧。”王垕幽幽地说:“士兵们埋怨怎么办？”曹操说:“不要紧，老夫自有妙计。”

    王垕看到领导都拍板了，自己还说啥呀，按照吩咐去执行了。果然，如王垕所预料，士兵们吃不饱肚子，怨声四起。眼看就要哗变了，王垕慌了，赶紧找到领导曹操，请示下一步怎么办才好，曹操意味深长的看了一眼王垕，说道，"我要借你的脑袋用一下，安抚一下军心"，王垕这才明白了，敢情领导之前所说的"有应对的办法"，就是要让自己背锅。

    图电视剧《三国演义》（1994年版）

    很快，曹操以贪污军粮的罪名处死了王垕。可怜的背锅侠王垕，到死都没明白到底做错了什么，他只是曹操征伐天下路上的一个小小垫脚石。

    图电视剧《三国演义》（1994年版）

    2、孙权甩锅吕范吕范甩锅贾华贾华惨遭背锅

    曹操将缺粮的罪名，甩锅给王垕，也许是突出了曹操“宁使我负天下人，休教天下人负我”的奸雄形象，在相对正面的孙权阵营，也有甩锅和背锅的故事。

    “刘备招亲”是《三国演义》中的精彩一折，第五十四回“吴国太佛寺看新郎，刘皇叔洞房续佳偶”。周瑜为要回荆州，与孙权定下美人计，想用招亲把刘备诓到东吴囚禁。诸葛亮献出三条妙计化解孙、周之计，相当于只吃饵不上钩。

    刘备到了甘露寺后，孙权就计划摔杯为号，弄死刘备，并安排吕范把这件事组织落实好，吕范于是安排手下得力干将贾华具体负责这件事，贾华埋伏了很多刀斧手，只等摔杯暗号。

    后来，贾华听到摔杯暗号，带人冲出来要砍刘备的时候，忽然发现气氛不对，原来吴国太相中了刘备，不让杀这个得意女婿，吴国太当场把孙权臭骂了一顿，孙权当不过，就谎称自己压根不知道有刀斧手这回事，说着便把锅甩给了吕范，吴国太又大骂吕范。

    吕范也是个官场老油条，反应也很快，转手又把锅甩给了贾华，贾华人老实，不知道再怎么甩了，只得默默背锅，吃了这个哑巴亏，要不是刘备求情，贾华差点就在这里掉了脑袋。

    图电视剧《三国演义》（1994年版）

    贾华这位小小的配角，先是充当刺客，后又代人受过，免去上司的尴尬，最终被迫背锅，虽然侥幸保住性命，但小人物被迫背锅的命运，总让人有一种酸楚的感觉。

    进入正题

    01 安全不投入、甩锅给员工还索赔1000万，这家奇葩公司出圈了

    古往今来，甩锅和背锅的故事，始终在延续。职场中更是如此。

    不久前，据媒体报道，某科技公司遭受黑客攻击，其研发数据遭受破坏无法恢复，令人匪夷所思的是，该公司没有去追查黑客，反而把自家员工郭某某告上法庭，并索赔1000万巨款。引发了各自媒体和网友的热议和声讨。

    图电影《让子弹飞》

    有网友评论说，“为了1000块的工资，差点背了1000万的债。”一语道出了老实人背锅的无奈。

    据该公司称，服务器遭遇黑客攻击后，系统数据库遭到篡改、重要数据遭到破坏，当初买系统花费的135000元和投入的研发经费10000000元均无法挽回。该公司认为，郭某某作为项目经理及系统管理员，从未对数据库进行本地备份及杀毒，造成数据丢失，属于严重失职，给公司造成重大经济损失，应当进行赔偿。

    经过法院的二审判决，最终认为该公司提交的证据未显示郭某某工作职责的具体指向，亦无法证明在系统遭遇黑客攻击的因素下，因郭某某的工作失职造成了具体损失。因此，要求郭某某赔偿损失的请求缺乏事实与法律依据，法院不予支持。

    这场闹剧虽然结束了，但这个案件本身却值得我们深思：如果当时该公司明确PRISM系统和服务器安全就是郭某某的工作职责，那么发生了黑客入侵事件后，这1000万元是不是就应该由郭某某赔偿？以此案件为开端，其他公司在制定服务器管理人员职责时，会不会明确因黑客攻击造成的损失应该由服务器管理人员赔偿？？？

    其实，《网络安全法》早已给出了答案：网络运营者需要制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。也正是因为上诉公司在内部安全管理制度上的缺失，郭某某侥幸躲过一劫。

    02  想“躺着”管好服务器用椒图就行了

    实际上，很多IT系统管理员并不是不想做好服务器安全，而是缺乏有力的“抓手”，对服务器安全风险看不清、缺乏有效的对抗手段、无法在遭到攻击后定位攻击者，以至于在黑客攻防中常常处于被动的位置。

    奇安信椒图云锁服务器安全管理系统（椒图）是一款能全面覆盖服务器攻击面管理、运行时防护的实战型服务器安全产品。椒图可以在服务器端构筑事前加固、事中对抗、事后溯源的全程防线，实现网络层、系统层、应用层一体化防护，可有效保护服务器、虚拟机、云主机、容器等工作负载免受黑客及恶意代码攻击，满足实战攻防要求。

    首先是通过攻击面管理，显著降低被入侵风险。

    椒图通过从硬件配置、账户、进程、应用、端口、网络连接等多个维度、细粒度清点服务器资产情况，为资产的统一管理、快速搜索、快速处置提供可靠抓手，有效避免shadowIT(影子IT)的出现，及时发现弱口令、危险端口暴露、漏洞等安全风险，对攻击面做有效收口。

    除此之外，椒图还具备虚拟补丁能力，帮助客户实现在无法打补丁、无法重启的情况，依然可以对抗漏洞利用攻击，实现“漏洞检查-实体补丁-虚拟补丁”的闭环管理。

    其次是运行时防护，为服务器配上“免疫细胞”。

    椒图以IN-APPWAF、RASP、无文件攻击引擎和系统加固为核心，构建了流量、应用、系统的全链路运行时防护体系，针对web攻击、无文件攻击、系统攻击分别提供相应的“针对性疫苗”，让防护能力、防护精准度大幅度提升。

    最后是攻击溯源，找到真凶，别再向员工“开枪”。

    椒图服务器威胁监测功能基于攻防实战打造，除了能对传统的暴力破解、恶意扫描、webshell、反弹shell、本地提权、主机异常行为等常用攻击手段进行监测外，还增加了无文件、内存马等新型攻击手段的监测。同时在告警中增加了进程树、可疑文件下载等多维度信息，提升告警的可研判性。并通过运营不断优化规则及检测引擎，持续降低误报率。

    当发生安全事件后，用椒图可以精准定位黑客信息，无需再向员工“开枪”。

    03  结束语

    从古代小说中的小人物背锅，到现实职场老实人屡屡“代人受过”，都充分说明一点，职场有风险，背锅需谨慎，不要只顾闷头赶路，不要一味盲目服从，在完成本职工作的基础上，一定要时不时的多思考、多权衡，不然，哪天一口大锅甩下来，吃亏的还是自己。

    同样，对于网络安全而言，责任落实至关重要。今年9月，中央网信办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（以下简称《网安法修订稿》）。其中明确指出，对于情节特别严重的违反网络运行安全一般规定的网络运营者和违反网络信息安全义务的网络运营者，除了保留对相关管理人员的罚款措施，《网安法修订稿》特别增加了“禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”，有力强化了对涉及违法行为的相关管理人员的惩戒效果。

    不仅仅是《网络安全法》，包括去年推出的《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》的一系列法律法规，都将责任落实放在至关重要的地位。只有制度清晰，责任落实，才能真正提升网络安全能力，将网络攻击消匿于无形，而不是出了事情之后，找老实人来背锅承受了经济损失，还损害了名誉，可谓“一失万无”。