定位——安全团队破局之路

企业级的网络安全体系建设，不仅是一个技术问题，更涉及到制度建设、沟通、业务协作、监管合规和招采的方方面面。针对技术背景的管理者，我们常常听到做安全的难处：

1.“事情忙不完，人手不够预算又太紧。”

2.“公司降成本，安全部门首当其冲。”

3.“出事了，要你何用？没出事，要你何用？”

4.“业务部门不同意安全方案，推不动。”

5.“安全leader没有进入公司决策层，难以做前瞻性布局。”

6.“外采安全能力，受到采购部门的干预没有按预期计划进行。”

以上情况的出现，综合来看可以概括为一个核心问题——安全部门如何获得更多资源。这就涉及到安全部门的定位问题，定位决定了预期价值，从而决定了企业在安全方面分配的资源。据数说安全统计，美国政府部门网络安全预算占IT预算的比重是19.8% 、民事部门15.3%，而中国网络安全预算仅占IT预算1%-3%。在这一强烈对比下，企业安全负责人在实现既定目标的同时，也应当以业务成果和公司发展为导向，积极探索、深入思考安全部门对企业的价值所在，为团队开辟更广阔的战场。

对安全部门的一种认识：安全是风险控制、成本部门，花多少钱，期望兜住多大的损失。

部分安全工作是难以数字化衡量的，如果没有跳出这个观点的禁锢，陷入“投入产出比”、“量化”、“保障”的陷阱，往往搬起石头砸了自己的脚。同时，安全与业务没有建立共赢逻辑与目标割裂，将为安全规划落地造成一定阻碍。

当今无论是甲方还是乙方，从企业安全管理者到安全技术人员，都期望改变这一现状。唯品会前CSO黄承提及“从成本部门向质量部门”转化实践，指出“成本部门”是计算投入产出比，而“质量控制”是0和1的区别，从根本上解决预算问题；乐信CISO刘志诚提出，从“安全风险”到“技术风险”再到“技术本身”的转变路径，最终完成“安全改变业务”的目标。

同时，乙方营销思路在近年来发生的转化也可窥见这一趋势。

1.事件驱动：通过漏洞通报、行业安全大事件、PR展示外部攻击猖獗、亲自下场推动攻击等方式达到客户“睡不着觉”的效果——“你有病，我有药，你不买疼的是你”。

2.概念驱动：把安全技术原子化拆分重组，形成新的解决方案，包装成新概念，自身成为新概念的“领导者”——“我来告诉你什么叫健康”。

其逻辑还是秉承着安全是保障、是控制风险的定位。随着企业产业的逐渐成熟，各安全leader早已习惯了这种恐吓，同时对新的安全概念有了一定的钝感。当下，乙方有必要辅助甲方思考“安全如何赋能业务”这个命题，共同推进行业发展。

3.安全+：解决安全问题的同时对业务带来正向价值——“这种保险不仅能兜住风险，更是一种理财手段，即使不出险，也能提升未来的现金收益”。

近年来国外生态对于网络安全赛道的表述已经转为Security & Governance，即安全效果+合规。同时，融合安全价值与业务价值的解决方案也已经屡见不鲜：CDN厂商集成WAF功能，SASE为企业提供更快的部署，更简单的管理和更安全的访问能力，数据安全厂商提供的数据治理+分发+风险识别的一体化解决方案，以及兼顾研发效能与安全测试的DevSecOps平台，提供高性能+安全防护+商业数据分析能力的应用网关等等。从RSAC 2021评选的创新沙盒十强中可以发现，有6家的产品不止为企业安全部门提供支撑，还有横跨运维、研发以及数据管理方面的价值。

在此背景下，我认为的安全定位：安全是一种平台化能力，同大数据、算法一样，是驱动业务发展的引擎。

这一逻辑早已存在，甚至早已落地，但大量安全从业人员认知仍未转变。事实上，不少企业安全部门经过长期建设已经积累了大量数据与技术能力，只需完成数据关系与业务场景的整合，不仅能够支撑业务的trouble shooting，还可以在BI场景直接产生商业价值。

我们不妨跳出“规避风险”的框架，重新思考安全部门将为公司带来的最大价值是什么，找到业务结合点。

回答这个问题需要商业思维和产品思维，以及对企业发展阶段性战略的深入理解，这对以控制风险为主的安全leader提出了更高要求。

笔者认为当下国内网络安全行业的核心驱动力有以下两个方面：

一、“三驾马车”架构下逐渐完善的法律合规体系

2021年我国在网络安全和数据保护领域的立法高歌猛进，9月《数据安全法》、11月《个人信息保护法》与2017年6月生效的《网络安全法》一起共同构成了我国网络空间监管的“三驾马车”，其衍生的数安条例、关基、等保2.0、信创等几个领域无不牵动着国内安全产业的神经。

二、“万物互联”时代，IT基础设施演进带来的安全问题

从“边界防御”到“纵深防御”再到“零信任”，边界瓦解，终端安全能力已广泛落地，安全管控粒度正在不断细化，其中产生的安全问题包括：

•IaaS层新基础设施迅速崛起导致的攻防不对等——云平台、容器、微服务安全；

•SaaS层以API为交付物的软件供应链变革——API安全、业务安全；

•大规模分布式架构下的安全协同问题——SASE、零信任、XDR、CSPM。

合规，是业务发展的必要条件，甚至影响到公司生死存亡。这种“卡脖子”问题，可以突出体现安全部门的价值。

APP专项治理。2021年5月《常见类型移动互联网应用程序必要个人信息范围规定》正式施行以来，网信办、工信部和公安部聚焦超范围收集、未经同意收集使用、未提供撤回同意选项等侵犯用户权益的痛点问题，累计通报了逾千款App。在处置过程中部分App功能被限制，如笔者经常使用的Boss直聘关闭新用户注册，天涯社区、大麦、途牛旅游、脉脉等知名App也遭遇下架处理，这无疑对企业业务发展带来直接威胁。

境外上市网络安全审查。滴滴在美上市后引发的网络安全审查事件，使得网络安全审查制度成为社会关注的焦点。要想境外上市，先过网络安全这一关，安全的重要性直接走入资本及CEO视野。

汽车数据安全监管。随着新能源汽车的起势以及近年来大量互联网企业入局，大量的车辆影像及路况信息成为国家数据安全监管的关注方向。2021年10月《汽车数据安全管理若干规定（试行）》作为我国首个汽车行业数据安全方面的部门规章，开启了汽车数据强监管时代。2021年底多省市网信办要求汽车数据处理者开展汽车数据安全管理情况报送工作，预示着《若干规定》实实在在地落地实施。

手机隐私泄露场景一向是C端用户的痛点。我们常常看到这样的吐槽：老王早上搜索了耐克鞋，晚上不管是抖音、知乎还是朋友圈铺天盖地的都出现了运动鞋的广告；小刘发现洗发水用完了，正打算买就发现了京东洗发水的广告已经推送到了手机上；更有甚者，和朋友聊天过程中偶然提及的关键词，也能触发广告推荐。

IOS一向宣称非常注重用户隐私，相对之下Android隐私保护之路却崎岖无比，直至今日仍有大量主流软件以“用户体验优化”为由不停采集用户数据。

在小米CSO陈洋的分享中，我们看到小米通过“拦截网”、“隐匿面具”、“照明弹”等一系列简洁的产品功能，将隐私交还用户，使用户对手机App收集数据的行为可见、可控。降低app敏感权限调用次数90%以上，贴合个人隐私保护、收集App专项治理等监管趋势，推动“应用行为记录”等功能列入手机入网标准，同时推出“小米隐私”品牌宣发其理念与用户承诺。小米安全以技术赋能业务，一并推动用户、监管、品牌，一举三得，可见其战略智慧。

由保障定位向业务定位转变的过程中，除了战略方向性的判断以外，安全leader执行过程中也会遇到诸多问题，首当其冲的就是团队结构的变化。