寓言
粮仓有两个账本,一本记漏了多少,一本记修了多少墙
北境的州府粮仓常年存着三十万石军粮,责任重大。粮仓设了四道墙:外墙挡住闲人,内墙隔开不同批次的粮食,第三道墙是每日盘点制度,第四道是一支巡查队。管粮仓的老监丞把这四样合在一起叫「粮仓防漏体系」,每年上报一次状态。
第三年秋天出了一件事。巡查队在半夜发现一辆陌生马车停在粮仓东侧,车上装了两百石军粮,拉车的两个人已经跑了。老监丞连夜写了两份文书:第一份叫「粮仓外泄事件报告」,详细记录了丢失的时间、数量和出口位置。第二份叫「粮仓防漏体系整改方案」,分析了四道墙各自出了什么漏洞——外墙东侧角门没锁、盘点制度漏了那批粮食的入库记录。
州府把文书转到京城,兵部的一位主事看完回了一封信,只有两行字:第一行说外泄事件报得及时;第二行说但你在整改方案里仍然把「外泄」和「防漏体系」写在同一栏里。如果下一次审计只看这一栏,他们怎么判断你说的是事故本身还是防护工具?
老监丞把信铺在桌上想了半个时辰,然后翻出过去五年的全部安全文档。他发现每一份年度报告的最后一页都只有一栏叫「安全状况」——有时写的是「无外泄」,有时写的是「防漏体系已升级」,有时甚至写「外泄风险可控」。安全状况这个词像一口大锅,什么都往里倒。
他重新设计了报告格式,分两栏。左边叫「安全事件」,只记录已经发生的泄露事件,每条带时间、数量和定性。右边叫「防护措施」,只记录策略、工具、流程的状态变更。他带着新格式去找州府申请预算——「部署了一套新墙」不能再跟「没有发生泄露」混在一起说,它们花不同的钱、交给不同的人。
州府看了新账本,很快发现了一个事实:去年「安全状况」栏里写着「防护措施已更新」,因为混在同一栏,便没有人追问泄露事件是否发生。拆分之后,左边空白但右边写了改动——预算花在预防上,没有事件;左边有记录但右边没有更新的年份——发生了事故但防护体系原地踏步。
京城后来把老监丞的两栏格式抄到了全国各粮仓的年度报告模板里。数据安全领域道理一样:DLP 是你建的防护体系——监控、阻断、审计、加密——数据外泄是被这套体系拦不住或没拦住的事件。你不可能说「我们部署了数据外泄」,你只能说「我们部署了DLP,并报告是否存在数据外泄事件」。