《企业安全建设指南：金融行业安全架构与技术实践》 —1.4　正确处理几个关系

1.4　正确处理几个关系

企业信息安全建设过程中，需要正确处理以下几种关系：

科学与技术

管理与技术

业务与安全

甲方和乙方

1.科学与技术

科学讲究严谨，艺术讲究美感。安全既是一门科学，也是一门艺术。

安全的科学性，体现在无论是安全体系还是具体安全措施，其落地都是严谨和严肃的。在企业安全建设中，有的开发和运维同事觉得在内网就安全了，已经拒敌于门外了，从而放松了安全要求，但实际中攻击者通过一些边缘攻击进入内网，从而进一步渗透入内部服务器的案例比比皆是。因此必须全面、整体、综合性地考虑安全，并且认真、踏实、谨慎地落地实施。

安全的艺术性，体现在安全工作的权变，不是所有情况都适用同样的安全要求，需要不断地权衡利弊，选择当前情况下的最优。比如，服务器安全基线根据所处安全域的不同有不同的基线标准，漏洞跟踪处理时，安全部门通过补偿措施降低风险，从而允许一些业务系统带病上线，这都是权变的体现。

2.管理与技术

安全管理与安全技术孰轻孰重？有的企业拼命搞ISO27001安全体系，发布各种安全制度政策，实施各种安全流程控制，做各种安全审计和检查，搞得民怨沸腾，往往效果也不好。从事漏洞挖掘和攻防的人会觉得搞安全管理的人太虚，这也不会，那也不会，每天就是搞体系制度流程，能挡住我一个0day吗？会挖洞和写PoC吗？反过来，安全管理的人会觉得漏洞挖掘和攻防都是具体的工作，没有良好的组织架构、制度流程、意识培训等安全治理体系，“人”这个最重要的要素，可能会让所有的安全技术防范措施形同虚设，甚至毁于一旦。

其实，安全管理和安全技术更像是灯芯与灯油的关系，谁也离不开谁。管理和技术，必须“两手抓、两手都要硬”。

首先，从安全管理的角度看，安全政策和流程如果没有技术和自动化手段保障，无法有效落地，而脱离安全技术的安全政策和流程也有可能失效，例如，管理10台和10 000台服务器，用同样的安全政策和流程肯定是行不通的。

其次，从安全技术的角度看，没有管理的辅助，可能会变成“为了技术而技术”的“自嗨”，例如，在企业安全建设中，困难不在技术上，至少技术不是最重要的点，而是需要不断地去说服并影响开发运维和业务部门的同事，如果技术人员能跳出技术思维，站在更高层面去思考安全问题解决方案，安全人员的境界就提高了好几层。

3.业务与安全

这个话题非常有意思。刚工作时，我认为安全是为业务服务的，但安全会一定程度地阻碍业务发展。随着认识加深，我的认知发生了一些变化—安全是为业务服务的，安全更是业务的属性之一，不安全或没有安全考虑的业务就像不合格的产品一样，终究是要被市场淘汰的。

本质上，安全是一项服务，安全服务是安全团队提供给用户和客户的一种服务类别。如果在设计安全方案和安全要求时没有最大化这种服务的价值，那么在充分竞争的情况下，安全团队也是要被市场淘汰的。我经常问自己和团队，如果公司不是只有我们一支安全团队，我们安全团队在公司范围内不是垄断的，而是其他安全团队也提供安全服务，在共同竞争的情况下，我们提供的安全服务还能被用户认可买单吗？只要答案为“否”，就说明安全团队还有提升的空间。

传统观念认为，安全总是这也不能做、那也要控制，安全就是拖业务的后腿，安全总是降低业务发展效率，在企业中安全往往也被做成了这个样子。造成这种现状，企业安全主管首先要反思。这是因为安全团队设计安全方案和要求时，不是以业务和服务为出发点，而是以安全团队省时省事、尽量少承担责任为出发点。后者设计出的安全方案当然是阻碍业务发展、降低效率。但如果一套安全方案和要求，能够在降低甚至不降低业务发展的情况下还能保障安全，业务团队和开发运维当然是欢迎的，毕竟谁都不愿意冒着巨大的风险强行上线新的业务。

如果安全团队能和业务、开发运维一起剖析，站在对方立场设计方案和执行要求，用户从心里一定是会认可安全团队和安全服务的。很多企业的实践证明，坚持安全服务的做法，会让安全团队之路走得更为顺畅。

4.甲方与乙方

乙方是指给企业（甲方）提供安全产品和服务的一方，包括安全产品原厂、代理商、集成商和外包公司等。甲方和乙方的关系也可理解为灯芯和灯油的关系，谁离开谁都会失败。有好的灯芯和灯油，也会有差的灯芯和灯油，关键在于各守本分，各尽其责。

企业中较为常见的场景是，乙方老板说，贵公司是我们的大客户，我们一定会服务好。乙方销售则在旁边配合，我们的产品和服务是最好的，用我们的绝对不会有问题。但一旦甲方稍微追问一句，贵公司打算怎么服务好我们？你们的产品和服务相比竞争对手好在哪里？你们了解我们的实际问题和需求吗？基本上90%的乙方就接不上话了。更有甚者，个别老板和销售的回答令人啼笑皆非，我们的产品和服务就是最好的，不用你们会后悔的。有风度的甲方此时往往还需要心情平静地答复，你们的产品和服务我都了解了，挺不错的，希望有机会合作。但内心简直是崩溃的。

另一方面，也听到较多的乙方抱怨甲方，主管啥也不懂，就知道不能出事，出事背锅；安全人员啥也不会，只知道指挥我们干活，把我们工程师不当人用。乙方眼里90%的甲方都是这个印象。

笔者无意为任何一方辩护，包括作为甲方的自己。因为甲乙双方都是站在自己的立场处理问题，无可厚非。但甲方和乙方都需要检讨：

甲方，应该对自己承担的职责负责，不管用什么方法，结果是必须搞定安全问题，但要能识别什么是能搞定的方案，以及哪些是方案中靠谱一员的乙方。和乙方的关系挺简单，如果乙方能为甲方创造安全价值，那给乙方匹配等量的安全回报，继续长期合作；否则对不起，多听一秒都是浪费生命。

乙方，应该是对自己的承诺负责，要了解你的客户，不是签单成功就万事大吉。合同落地才是刚刚开始，在甲方的辨识能力和社会口碑传播效应越来越强的今天，做一锤子买卖只能让自己的路越走越窄。谁都不傻，不是吗？