在我的整个成年生活中,我几乎都是一名 IT 和安全专业人员。
我的职业生涯是从网络工程师开始的,很快就成为了一名安全工程师。
一开始,我获得了防火墙认证,后来又获得了入侵检测和防御认证。
安全领域不断扩大,增加了取证调查、电子取证、项目咨询等等。
在项目咨询方面,我们专注于确保项目的风险水平在组织可接受的范围内。
在过去的三个职位中,我都是网络安全组织的高层;但从我记事起,我就想成为一名飞行员。
2018 年,我成为了一名持证飞行员,2019 年又成为了一名高级和仪表地面学校教员。
最近,我完成了对约 15 名学生的正式地面学校课程的教学,这些学生的技能水平、年龄和对飞行员职业的目标各不相同。
我最近的一个学生和我年龄相仿,一生都梦想着飞行,只是想把飞行当做一种乐趣;另一个学生 16 岁,希望成为航空公司的飞行员;还有一个年轻的学生希望成为美国空军的飞行员。
虽然这些学员的驱动因素和投资水平各不相同,但他们需要了解和接受这一职业的一些关键基础知识。
写这篇文章时,我看了看书架上的航空培训材料、技术和安全书籍。
翻开《联邦航空条例》(FAR)和《飞行员信息手册》(AIM),你会发现这本书共 540 页,包含了《联邦法规汇编》第 14 篇中有关飞行员、飞机、飞行和相关项目的规则和条例。
我手上的这本书是为飞行员编写的,因此不包含任何管理整个航空业的规章制度。 “航空本身并不危险。但与海上相比,它对任何粗心大意、能力不足或疏忽的容忍度更高”。- A. G. Lamplugh机长,英国航空保险集团,伦敦。
1930’s 回想我第一天在地面学校上课,讲授飞行和联邦航空管理局(FAA)的历史,以及 117 年前的整个飞行历史,这些规章制度都不存在。
随着时间的推移,随着航空业的发展,随着飞行员、乘客和平民的丧生,这些不幸是用血写成的法律应运而生,以防止更多的生命损失。
当我想到当前网络世界的所有安全法规和要求时,如 HIPAA、SOX,或最近有关隐私的 GDPR、CCPA 和其他隐私法规,这些也都是用生命写成的。
虽然这些法律的制定可能不是因为有人失去了生命,但有些人却失去了生计、身份或积蓄。
FARs 中的大部分法规都是规定性的,这是你必须做的。
网络安全领域的一些规则和准则是硬性规定,必须严格遵守。
其他大多数领域则更多是暗示性和开放性的解释,例如 “我应该这样做吗?”或 “我能做些什么来降低发生这种情况的几率?”等问题。
这就是风险管理和自由裁量权发挥作用的地方。
飞行是一项回报丰厚的活动,我们需要采取一些措施来降低风险。
在教学时,我喜欢让学生思考,如果事情没有按计划进行,他们会使用哪些风险管理技巧来确保积极的结果。
这同样适用于赛博:如果真的出了问题,你将如何应对这些风险,从而最大限度地减少出问题所造成的影响。
(风险管理和事件响应)。
我打算发表一系列短文,对航空风险管理和网络安全风险管理进行比较和对比。
我希望在今后的文章中与其他同为飞行员的网络安全专业人士合作,探讨两者的异同。
在下一篇文章中,我将介绍检查表,它们是什么、不是什么,以及如何在基于风险的方法中使用它们。
接下来,我将重点讨论航空和网络在培训和心态上的差异。
之后,我将讨论演练程序,如何演练处理引擎熄火程序等突发事件,以及如何定期测试网络安全流程和程序,如备份、打补丁、事件响应等。