第474章 安全分级与“恐慌通道”（1 / 2）

“你们入口随时可能被攻击，不买我们服务会出大事故。”

这类话术最阴的地方，不在它说的“攻击”真假，而在它把一个公共系统应有的安全治理，重新拖回到“靠人、靠圈子、靠付费订阅”的旧路上。只要恐慌被卖得足够像真理，基层就会愿意买单——不是因为他们想花钱，而是因为他们怕背锅。

林远看着那条线索，第一反应不是生气，而是疲惫。

因为他知道：当“安全”开始被当成商品，制度就会被迫在两个坏选项里选一个——要么放松（被攻击），要么封闭（被俘获）。

他不选。

他要做第三件事：把安全也做成公共指标，像SLA、像i_id一样可见、可解释、可审计。

他在白板上写下四个词：

分级

证据

公开

误报成本

“恐慌之所以好卖，是因为没有统一分级。”林远说，“你一句‘严重’，我一句‘不严重’，基层只能信嗓门大的。我们要做的是：安全像工程质量一样，有等级、有阈值、有动作。”

一、SEC-RISK-01：安全风险九宫格（但不复杂）

省信息处拉了一个短会，这次除了数科安全、银行IT、审计旁听外，还叫上了两个试点城市的网安负责人。因为安全分级如果只由平台说，会被骂“自说自话”；必须让地方也能用这套语言对外解释。

林远投出一页图——不是九宫格花活，而是四级分段，名字刻意做到“像天气预报”：

SEC-RISK-01｜安全风险分级（试行）

L0（信息）：未发现可复现漏洞，仅为误用/配置问题/单点故障

L1（关注）：存在潜在风险，但需特定条件且无PoC可复现；建议纳入月度列车修复

L2（紧急）：存在可复现风险（内部PoC），可能影响可用性/可观测性/证据链完整性；进入热修通道

L3（重大）：影响范围广或可能导致敏感数据泄露/证据链不可置信；热修+强制过渡期缩短+审计旁听升级

每一级对应三件事，写得像行动清单：

1）必须有编号：L1起必须有risk_id，L2起必须有vuln_id

2）必须有公开摘要：影响范围桶、紧急程度、建议动作、过渡期

3）必须有验证机制：L2起必须跑Hotfix；L3起额外跑“证据链完整性专项测试”

银行IT旁听当场说：“这套好。我们不用听谁吓人，我们只认L2/L3的编号与验证。”

审计旁听补：“L2/L3必须有编号与公开摘要，防止随口升级、随口降级。”

地方网安负责人也点头：“我们最怕领导问‘到底多严重’，有L0-L3就好答了。”

二、误报惩罚：让“吓人”变成亏本

但分级只是语言。要让恐慌营销消失，必须让“乱报严重”有成本。

于是SEC-RISK-01加了一个附录条款，名字很直白：

SEC-FALSE-ALARM-01｜误报与夸大惩罚机制

规则不抓“意图”，只抓“结果与模式”：

若第三方/服务商公开或私下宣称“重大/紧急风险”，但最终被判为L0/L1（非紧急），且发生频次达到阈值（例如30天内≥3次），则记为恐慌误报点

恐慌误报点进入周报统计（机构哈希，不点名），并触发：

冻结协作席（短期）或降低其提交材料可信权重（更严抽查）

其参与项目的安全类声明需附更严格的证据链（验证报告编号）

若发现误报伴随“推销安全套餐/托管年费”话术，则直接纳入风险干扰源线索池

“你可以卖安全服务。”林远说，“你不能靠制造恐慌来卖。恐慌营销必须亏本。”

刘曼担心：“会不会误伤真正的提醒？万一有人真的发现问题，但我们判低了？”