如果身处企业高管的位子，你会关心哪些安全问题？

北京，后海。2017年7月29日。

在4月15日的《基于主动防御能力，建设安全运营体系的一点思考》文章中，提到了在下一代安全体系建设中的两个主要目标，一个是提高主动安全防御能力，另外一个是提高整体安全运营的能力。

从技术角度来看，这两个安全体系建设的目标，的确是与当前的发展趋势是相符的。但这几天我突然在想，这样描述是不是太技术化了？企业高级管理层能听得懂吗？他们认为这样的安全建设会有效果，并且会提供全力支持吗？

带着这一系列的问题，我们不妨可以换位思考一下，假如换做是自己处在一个企业高管的位置，依据屁股决定脑袋的原则，我们会期望怎样的安全目标呢？又会关注哪些安全问题呢？

一、保持业务持续与稳定，检测业务欺诈行为

企业高级管理层可能不懂信息化、不懂网络安全，但是一定是深入理解并关心企业业务运营的。任何管理都是趋利避害的，最能够引起管理层关注的，首先就是那些会影响业务正常运行的安全风险。

影响业务正常运行的安全风险，最基础的便是系统可用性与持续性两个方面。可用性关注正常情况下，系统的性能指标、运行状态、负载容量等健康状态；持续性关注在异常或灾难情况下，是否能够保证丢失数据最少（RPO），系统是否能在指定时间内恢复运行（RTO）。

除了系统可用性与持续性问题，企业高级管理层还会关注业务欺诈的问题，因为业务欺诈问题是会直接影响企业业务健康运行，并可能会造成企业大量资金损失的。具体来说，管理层一是关心是否会因为系统应用带来新的业务欺诈问题，如果有如何快速检测、整改；二是关心如何运用新技术（如大数据、用户行为分析）来检测以前无法检测的业务欺诈问题。

二、保证数据安全、可控，防止敏感信息泄露

未来，每个企业都会变成数据公司。企业高级管理层当然知道，核心业务数据在企业中的战略地位，越来越多的管理层也逐渐开始明白，泄露数据对企业造成的损失，以及可能会因此面临的监管处罚。

企业敏感信息泄露途径大致可以分为三种，第一种是被动泄密，即内部人员无保密意识，将敏感信息无控制的进行扩散；第二种是主动泄密，即存在内鬼在偷取敏感信息，大多数是利用控制措施的缺失，或绕过安全控制实现的；第三种是系统漏洞造成信息泄露，通常是系统存在某方面（如非授权访问）的漏洞，导致敏感信息被窃取。

在这三大类型泄密风险中，第一类内部人员无意识的被动泄密防范起来相对还容易一些，第二类、第三类泄密风险防范起来相对就困难多了。防范内鬼偷取信息，可以在加强基础性信息防泄密控制的基础上，采用用户行为分析技术来发现异常内部用户；而防范通过系统漏洞窃取信息，则需要在加强开发安全控制的基础上，采用网络流量分析等技术来发现应用请求异常等问题。

三、能够抵御安全威胁与攻击，具备对抗能力

安全威胁与攻击，这么技术性的问题，本来不是管理层会直接关心的，而且在上面的两个方面中也应该包含了安全威胁与攻击的内容，毕竟安全威胁与攻击只是手段，只是目的多是奔着业务或数据去的。

既然不是管理层关心的，那为什么还列上来了呢？主要是因为，管理层可能不关心具体的威胁是什么，也不关心攻击原理和防范措施，但管理层通常还是会关心防御安全威胁与攻击的结果的，还是希望了解安全队伍是否具备一定的对抗能力。

为了好理解，列举几个领导关心场景吧，比如在网安部门渗透测试时，是否能够及时发现并妥善应对？比如很多企业中招了WannaCry勒索软件，是否成功避免了由此造成的损失？比如同行业单位发现了核心敏感信息泄露事件，这种事件如果在自己单位是否能有效检测、防御？等等。

四、安全能力能够输出，为企业创造经济效益

国家领导人在2015年的第二届世界互联网大会开幕式上，明确表示「安全和发展是一体之两翼、驱动之双轮」。这句话怎么理解？未来安全将不再只是成本部门，安全做得好是可以带来经济效益的，是可以引领业务发展的。

安全能力输出最直接的方式，是将安全作为业务的一种标签，利用自身的安全优势吸引并留住客户。简单点讲，如果一个客户准备将业务系统托管在云上，云服务商的安全能力就是一项重要考量；如果开展面向大众的互联网+业务，安全做得好也会赢得广大用户的青睐。

安全能力输出还有一种模式，就是利用现有安全资源对外提供服务，将安全职能由成本部门转为利润部门。这些服务可以与基础性信息化服务打包在一起，也可以单独提供专业性安全服务。这种安全能力输出的模式，目前在一些大型传统企业、互联网公司都已经得到了验证。

五、最后

以前安全建设，我们强调预防性，推崇体系化，希望做到面面俱到、滴水不漏。但这种参照最佳实践的安全建设，在安全建设初期的从无到有的过程，是非常有效的。但在体系建成后，过渡到网络安全2.0时代，这种思路就出现了很多问题。

其中最大的问题就是容易导致，每个企业的安全建设都是一个模式，安全团队为了安全建设而建设，反而不再多想安全工作的本质是什么，忘了思考下业务发展到底需要什么样的安全，忽略了管理层到底关注哪些安全关键点。

当安全体系有了一定基础后，安全建设不应再过度考虑预防性和全面性了，反而应该重点关注现有业务模式和网络环境下，应该提高哪几个关键安全能力，关键安全能力提升了反而会起到事半功倍的功效。

以前做安全咨询，经常讲「扁鹊三兄弟」的故事，现在这个故事不再合适了，更应该推广「程咬金三板斧」的故事，下次有机会聊聊这个有趣的话题。

原文始发于微信公众号（微言晓意）：如果身处企业高管的位子，你会关心哪些安全问题？