1.5 誰是我們的甲方？

有些在廠商或集成商工作的朋友，跳槽到甲方之后會有“翻身做主人”的感覺，這種感覺在短期內會非常美妙。有人會有求于你，有人想談合作，最平常的技術交流也會讓你在不知不覺中有被尊敬的感覺。如果你也有類似的感覺，一定要警惕。筆者認為，職場本質上是一個協作鏈條，不管在哪工作都有自己的上游和下游。在甲方工作，誰是我們的甲方呢？

答案似乎很明顯，當然是我們的直接主管了。沒錯，但還不僅僅是這樣。安全團隊在甲方內部本質上是一個服務團隊。在這點上，我們應該多向安全服務商學習。事實上我們的甲方是運維&開發部門、運營等業務部門，甚至是公司全員。下面分別看看這些甲方的視角和訴求。

1）運維&開發：我們用運維&開發來泛指技術相關部門，這是安全團隊打交道最多的部門。這些部門的人懂技術，在有些問題上溝通起來很方便。但是出于利益訴求、工作方式甚至思考方式的不同，多多少少都有些對抗的味道。

2）運營等業務部門：這些部門雖然不是技術部門，但是很多工作都與安全相關，比如對抗“羊毛黨”、數據防泄露等。也就是說，安全團隊的工作直接影響這些團隊的工作效果，甚至業績。按理說，安全團隊和這些業務部門的知識體系互補，應該配合默契才對，但是經常出現的情況是，出于思考習慣和工作習慣的不同，技術部門與非技術部門的溝通會存在壁壘。

3）全體員工：從廣義角度來說，安全團隊應該對公司全員的安全行為負責，從最基礎的弱密碼、不鎖屏，到盜取數據、惡意破壞。這需要意識上的培養、技術上的威懾和關系上的保持。分別解釋一下：意識培養大家都在做，但是想做好非常困難，從管理制度到各類培訓都是培養安全意識的手段，也是讓公司員工理解安全工作的方式；技術的威懾指的是要讓全員知道安全團隊的能力，比如任何員工對數據做了異常的查詢，安全團隊都可以第一時間發現，雖然很多情況下經過詢問都是正常行為，但這對所有員工是一個威懾，告訴所有人，我們有意愿也有能力保障公司的數據安全；關系保持簡單地說就是“打感情牌”，與公司員工保持一個良好的關系，可以為安全團隊爭取支持打下良好的群眾基礎。

有沒有發現，在甲方做安全工作面對的“甲方”實際上更多了，數量不一定多，但人群的種類變多了。安全工作在內部推廣不利，主要的原因就是由于訴求、視角和認知等方面的不同產生的一些對抗情緒。

筆者梳理了對內減少對抗情緒的幾個層面的工作，即制度保障、客觀評估和安全運營，這三個維度的工作邏輯如圖1-2所示。

1.制度保障：所有工作合法性的來源，為了師出有名

安全管理方面的工作無論怎么做，都不可能脫離管理制度。脫離制度保障，任何安全工作都師出無名。但制定過信息安全管理制度的朋友們肯定知道，按照標準搞一套管理制度，是一個相當龐大的文檔集。就算是安全部門的工作人員也不太可能把所有文檔閱讀一遍，更不用說充分理解了。

這方面工作，可以借鑒國家對法律的宣傳方式。國家的法律更是一個宏大的文檔體系，不是所有公民都能充分理解的，但我們經常能遇到的場景還是知道的，比如：殺人放火、小偷小摸、打架斗毆都是不同程度的違法行為。這得益于各類媒體對各類案件的宣傳。參考這類方法，可以進行以下嘗試。

1）全套的制度文檔建設，這是基礎，遇到任何問題都要從這些文檔找到合理依據或違規依據。

2）根據實際經驗提煉出大部分員工經常能遇到的一些場景，再對應出相關條款進行重點宣傳。

3）通過一些運營手段，對上述場景進行宣講，加深理解（安全運營方面的工作會在運營篇中展開探討）。

2.客觀評估：公平、公正、公開的評估體系

安全團隊日常工作中，很多事都需要跨部門協調，有些事情催得急了對方反感，不催的話安全風險又遷延日久。這就需要“客觀評估”手段做輔助，簡單說就是將系統某個（或者所有）維度的安全評估充分量化，以此督促相關部門的支持和整改。需要注意的是，這個評估的標準最重要的不是準確，而是客觀和公開。

就拿漏洞通告來說，我們可以對各系統的安全風險進行綜合評估（元素包括：漏洞數量、威脅程度、修復超時時間等），然后得出一個安全評分，或者各種維度的排名。這本身沒什么稀奇的，但重要的是，排名規則要公開透明，讓相關負責人知道如何能降低風險，也要讓其知道自己業務的安全排名為什么是目前的水平。

有一個客觀的評價后，這個排名就可以在公司內比較顯眼的地方實時顯示，既起到督促修復漏洞的作用，又避免了各業務對安全部門的質疑。因為評分標準是公開的，任何人都可以算出來。

3.安全運營：增強意識，互相理解

本書運營篇還會展開討論安全運營的相關工作，但為了邏輯的完整性，本段簡單介紹一下安全運營的一個維度的工作：安全意識提高。

筆者團隊于2018年年初啟動了全面的安全意識宣教工作，主要是希望安全工作能得到全公司的領導和員工的重視。打個比方：如果你知道7·21北京特大暴雨事件，再到暴雨天就不會開車到低洼處（規避安全風險），也不會因為要在車里準備破窗錘而感到厭煩（增加應急處置手段）。

同樣的道理，我們通過各類可以提高安全意識的活動，讓大家對安全風險有一個直觀的認知，盡可能理解安全部門相關工作的意義，在日常工作中也能主動規避一些風險。

總體來說，由于職責不同，安全團隊和這些“甲方”之間難免會有摩擦，本質上是一個博弈過程，但博弈也有三種方式：零和博弈、負和博弈和正和博弈。

零和博弈是大家最熟悉的概念，是指在博弈過程中，一方獲得利益的同時必然意味著另一方遭受損失。在安全工作中業務部門修補了漏洞（安全性+1），就延緩了上線時間（業務影響-1）；反之帶著漏洞上線（安全性-1），可以讓業務盡早上線（業務影響+1）。無論哪種情況，總體收益都是0。

負和博弈指雙方在博弈中由于沖突導致雙方利益都有損失，是兩敗俱傷的結局。在安全工作中，如果安全部門和業務部門相互推諉，既耽誤了上線時間（業務影響-1），又沒有保證安全性（安全性-1），總體收益就是-2。

正和博弈是指博弈雙方通過機制上打破封閉系統，使得整體收益大于0。我們還拿漏洞管理舉例，安全部門和業務部門經過協商，在業務需求比較緊急的情況下，可以帶緊急級別以下漏洞上線，但需要配合更嚴格的安全防護機制。上線后，安全團隊負責監控外部威脅，及時封堵；業務團隊盡快完成漏洞修復。這種情況下就盡可能地保證了安全性和業務需求，總體收益大于0。

對于漏洞管理的舉例只是個簡化的場景，實際工作中會有更多不確定因素參與其中，但總體思路上，需要盡量爭取正和博弈、保持零和博弈、避免負和博弈。筆者認為這不僅僅是安全工作的技巧，也是日常處事的技巧。