1.4　正確處理幾個關系

企業信息安全建設過程中，需要正確處理以下幾種關系：

·科學與技術

·管理與技術

·業務與安全

·甲方和乙方

1.科學與技術

科學講究嚴謹，藝術講究美感。安全既是一門科學，也是一門藝術。

安全的科學性，體現在無論是安全體系還是具體安全措施，其落地都是嚴謹和嚴肅的。在企業安全建設中，有的開發和運維同事覺得在內網就安全了，已經拒敵于門外了，從而放松了安全要求，但實際中攻擊者通過一些邊緣攻擊進入內網，從而進一步滲透入內部服務器的案例比比皆是。因此必須全面、整體、綜合性地考慮安全，并且認真、踏實、謹慎地落地實施。

安全的藝術性，體現在安全工作的權變，不是所有情況都適用同樣的安全要求，需要不斷地權衡利弊，選擇當前情況下的最優。比如，服務器安全基線根據所處安全域的不同有不同的基線標準，漏洞跟蹤處理時，安全部門通過補償措施降低風險，從而允許一些業務系統帶病上線，這都是權變的體現。

2.管理與技術

安全管理與安全技術孰輕孰重？有的企業拼命搞ISO27001安全體系，發布各種安全制度政策，實施各種安全流程控制，做各種安全審計和檢查，搞得民怨沸騰，往往效果也不好。從事漏洞挖掘和攻防的人會覺得搞安全管理的人太虛，這也不會，那也不會，每天就是搞體系制度流程，能擋住我一個0day嗎？會挖洞和寫PoC嗎？反過來，安全管理的人會覺得漏洞挖掘和攻防都是具體的工作，沒有良好的組織架構、制度流程、意識培訓等安全治理體系，“人”這個最重要的要素，可能會讓所有的安全技術防范措施形同虛設，甚至毀于一旦。

其實，安全管理和安全技術更像是燈芯與燈油的關系，誰也離不開誰。管理和技術，必須“兩手抓、兩手都要硬”。

首先，從安全管理的角度看，安全政策和流程如果沒有技術和自動化手段保障，無法有效落地，而脫離安全技術的安全政策和流程也有可能失效，例如，管理10臺和10 000臺服務器，用同樣的安全政策和流程肯定是行不通的。

其次，從安全技術的角度看，沒有管理的輔助，可能會變成“為了技術而技術”的“自嗨”，例如，在企業安全建設中，困難不在技術上，至少技術不是最重要的點，而是需要不斷地去說服并影響開發運維和業務部門的同事，如果技術人員能跳出技術思維，站在更高層面去思考安全問題解決方案，安全人員的境界就提高了好幾層。

3.業務與安全

這個話題非常有意思。剛工作時，我認為安全是為業務服務的，但安全會一定程度地阻礙業務發展。隨著認識加深，我的認知發生了一些變化—安全是為業務服務的，安全更是業務的屬性之一，不安全或沒有安全考慮的業務就像不合格的產品一樣，終究是要被市場淘汰的。

本質上，安全是一項服務，安全服務是安全團隊提供給用戶和客戶的一種服務類別。如果在設計安全方案和安全要求時沒有最大化這種服務的價值，那么在充分競爭的情況下，安全團隊也是要被市場淘汰的。我經常問自己和團隊，如果公司不是只有我們一支安全團隊，我們安全團隊在公司范圍內不是壟斷的，而是其他安全團隊也提供安全服務，在共同競爭的情況下，我們提供的安全服務還能被用戶認可買單嗎？只要答案為“否”，就說明安全團隊還有提升的空間。

傳統觀念認為，安全總是這也不能做、那也要控制，安全就是拖業務的后腿，安全總是降低業務發展效率，在企業中安全往往也被做成了這個樣子。造成這種現狀，企業安全主管首先要反思。這是因為安全團隊設計安全方案和要求時，不是以業務和服務為出發點，而是以安全團隊省時省事、盡量少承擔責任為出發點。后者設計出的安全方案當然是阻礙業務發展、降低效率。但如果一套安全方案和要求，能夠在降低甚至不降低業務發展的情況下還能保障安全，業務團隊和開發運維當然是歡迎的，畢竟誰都不愿意冒著巨大的風險強行上線新的業務。

如果安全團隊能和業務、開發運維一起剖析，站在對方立場設計方案和執行要求，用戶從心里一定是會認可安全團隊和安全服務的。很多企業的實踐證明，堅持安全服務的做法，會讓安全團隊之路走得更為順暢。

4.甲方與乙方

乙方是指給企業（甲方）提供安全產品和服務的一方，包括安全產品原廠、代理商、集成商和外包公司等。甲方和乙方的關系也可理解為燈芯和燈油的關系，誰離開誰都會失敗。有好的燈芯和燈油，也會有差的燈芯和燈油，關鍵在于各守本分，各盡其責。

企業中較為常見的場景是，乙方老板說，貴公司是我們的大客戶，我們一定會服務好。乙方銷售則在旁邊配合，我們的產品和服務是最好的，用我們的絕對不會有問題。但一旦甲方稍微追問一句，貴公司打算怎么服務好我們？你們的產品和服務相比競爭對手好在哪里？你們了解我們的實際問題和需求嗎？基本上90%的乙方就接不上話了。更有甚者，個別老板和銷售的回答令人啼笑皆非，我們的產品和服務就是最好的，不用你們會后悔的。有風度的甲方此時往往還需要心情平靜地答復，你們的產品和服務我都了解了，挺不錯的，希望有機會合作。但內心簡直是崩潰的。

另一方面，也聽到較多的乙方抱怨甲方，主管啥也不懂，就知道不能出事，出事背鍋；安全人員啥也不會，只知道指揮我們干活，把我們工程師不當人用。乙方眼里90%的甲方都是這個印象。

筆者無意為任何一方辯護，包括作為甲方的自己。因為甲乙雙方都是站在自己的立場處理問題，無可厚非。但甲方和乙方都需要檢討：

甲方，應該對自己承擔的職責負責，不管用什么方法，結果是必須搞定安全問題，但要能識別什么是能搞定的方案，以及哪些是方案中靠譜一員的乙方。和乙方的關系挺簡單，如果乙方能為甲方創造安全價值，那給乙方匹配等量的安全回報，繼續長期合作；否則對不起，多聽一秒都是浪費生命。

乙方，應該是對自己的承諾負責，要了解你的客戶，不是簽單成功就萬事大吉。合同落地才是剛剛開始，在甲方的辨識能力和社會口碑傳播效應越來越強的今天，做一錘子買賣只能讓自己的路越走越窄。誰都不傻，不是嗎？