三分靠技术，七分靠管理

上周连续参加了3个会议，周二网络安全攻防演练总结大会，这个是现场参加的，周五公司的Go+发布会，还有周日GTLC全球技术领导力峰会杭州分站，这两个是线上听的。

好久没参加各种大会，听了下不同行业和领域专家的分享，还是会有很多新东西，新想法和新启发，后面陆续分享一下。

先聊个安全的。

安全大会：

1、印象很深的一个点，这次全市的攻防演练，被攻破和打穿的系统，70%都是通过没有什么技术含量的弱口令干进去的。

然后漫游到内网，各种低版本漏洞、各种注入、各种无密码（都不是弱密码了）、各种无加密无脱敏等等。

这里面不乏知名大厂，门面很漂亮，但是这就相当于业务系统搞了各种高精尖，各种AI炫技、高性能、高并发和大容量，但是却装了个破门+烂锁，一踹就开，连撬锁技术都不用。

其实，安全圈里一直流传一句话，搞安全“三分靠技术，七分靠人脉”，但是这只能说是对外，对内应该再补一句“三分靠技术，七分靠管理”。

弱口令这事，其实真没什么技术含量，基本就是靠平时意识宣传，靠严格的上线管控，以及配套的处罚措施才会有效果。

说到处罚，再说说第二点。

2、另一个感受，传统强监管行业，比如运营商，安全方面做的非常到位，基本很少有被攻破的，被打穿打透的基本都是互联网企业，还是有一些非常极客范的新兴创新企业。

论技术，互联网企业绝对要比传统行业强，但是为啥一遇到攻击，就立马歇菜呢。

说白了，安全这事要严格执行和落地，客观讲肯定是会极大的的制约效率的，但是在之前和当前的互联网内卷态势下，为了生存下去，大家必然都讲究“唯快不破”，这时候谁影响效率，肯定是会把谁旁路掉的。

所以，安全的重要性自然是降低的。

反观上述提到的这些强监管的国企，安全出问题，涉及国计民生，仕途都是小事，稍微严重点是会追究法律责任，甚至刑事责任的，处罚措施和红线在这里摆着，不敢出事。

但是一直以来，互联网和新兴企业这方面的意识就会薄弱很多，对安全不重视就是自然的了。

但是，随着数据安全法、关键基础设施、个人隐私保护等强监管法律法规的出台，安全及合规的重要性必然会越来越高。