自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

年终总结之《论语》与安全之道

     文 | 肖文棣

肖文棣

晨星资讯（深圳）有限公司 

安全架构师

惨淡开局

2019年美团的大佬说过，今年是一个很困难的年份，但是又是未来十年最好的年份。然后现在是2022年，好像世界的发展正如印证着他的说法。

首先新冠疫情自2019年发生以来，一波又一波地改变着我们的生活，包括我们的安全边界，现在在家办公，远程办公是常态，这对边界安全是个挑战。基于这个挑战，各个企业的数字化转型在加速，零信任模式在兴起。但零信任也不是银弹，零信任由于刚刚发展，也有很多不如意的地方，也有很多挑战，但是在这个形势下，我们又必须接受这个挑战。

接着比特币等基于区块链的货币屡创新高，而基于比特币等货币的勒索软件攻击也越演越烈。由于比特币等基于区块链的货币很难追踪，可以成为黑市交易的理想媒介，所以勒索软件攻击就因为难以追踪而变得是无忌惮。勒索软件对所有企业都是一个潜在的巨大威胁，所以各个企业都应该跟踪而应对这个威胁。

最后，地缘政治局势也在恶化，今天联合国就提出了未来五大威胁，甚至核时钟都要启动倒计时100秒。地缘政治的恶化对于企业的投资也会有影响，特别是中美的贸易冲突加剧，对企业来说是巨大的挑战。企业的投资有的在萎缩，内卷在加剧，裁员在进行中，就业环境越来越不确定。

除了以上之外，自然环境的威胁也在加剧，比如刚刚爆发的汤加的海底火山，在爆发边缘的富士山火山，被传言危险加剧的黄石火山，好像一切都预示着今年开局的不利。

一个中心两个基本点

开局就遇到人员减少，有主动离职的，有被动裁撤的，反正人少了，事情没有少。那我们的应对之道是什么呢？我认为是聚焦核心，互相支持，借助外力。

以前大家讲计划，总是在说扩张扩张，企业在扩张，安全部门也在扩张，安全部门甚至想将安全变成业务出售，从甲方变成乙方。但在现在的逆势下，我认为可能要考虑收缩防线，聚焦核心。

聚焦核心就是知道安全部门的重点是什么，在安全中应该扮演什么角色。正如我们一直强调的，安全绝对不是安全部门的事情，而应该是公司每个人的事情，是一个自顶而下的活动。所以安全部门在安全中就应该有自己的角色和定位，而角色在我看来就应该是以专家的知识制定政策和策略，指导公司其他人员做好自己应该做的安全相关的事情，将安全能力化，维护安全能力，让公司其他人员和部门可以使用安全能力来为自身服务。这就是安全部门最应该做的事情，也是他们存在的根本。

安全部门与其他部门是合作共赢的，大家都围绕业务成功的目标。安全部门需要与业务部门互相成就，互相支持。安全部门要根据业务部门的业务目标和计划进行能力对齐，帮助业务部门的安全代表成长，给安全代表赋能。安全代表要积极与安全部门进行沟通，使用安全部门提供的能力，持续提高产品的安全水平，建立纵深防御。同时在项目不断迭代的过程中不断优化和完善现有的安全能力和流程。这样可以解决安全部门人手不足的问题，同时也让安全深度与业务融合。

安全部门在资源有限的情况下不可能所有事情都自己做，包括基于开源框架做自己所有的能力。这个观点在一些大公司非常流行，就是安全部门就是万能的，什么工具都可以自己开发，可以短暂借助乙方的能力，但是一旦学成了可以踢开乙方自己做乙方。我觉得这种观点是严重破坏企业生态的。

术业有专攻，专业的事情还是交给专业的人比较好。这样环境才能合作共赢。另外，如果安全部门无所不能，那么出了安全问题安全部门背锅就是理所当然了，而且安全部门想无所不能，那只能是不断扩张团队，扩张版图，这样自然会和企业部门产生冲突，这样就不能相互支持，而可能是相互拆台。所以安全部门要低调，要立足于自己的本分。

总结来说，就是一个中心，以安全能力为中心，两个基本点，互相支持，借助外力。这就是我们逆势下安全计划的根本指导思想。

积极实施

围绕以安全能力为中心，我们计划将安全部门当前可以提供的能力列出清单，并公布给所有业务部门。然后根据业务部门的发展以及当前的安全形势，列举出还欠缺的安全能力，进行补齐。比如需要寻找对应的服务提供商，进行测试和选型。同时要基于安全能力欠缺与各个业务部门一起做好B计划，做好应急预案，同时这些信息应该与业务部门的安全代表共享。

对于现存的安全能力，要进行文档化和流程化，然后进一步自动化和API化，最好能够让业务部门的安全代表可以做到自服务。要做好对安全代表的培训工作，要将安全代表视为安全部门的一份子，并且积极给安全代表放权，同时做好监督工作。放权很重要，监督更加重要。比如安全的评审，各种安全工具的测试，执行人是业务部门，但是安全部门必须做好监督，保证结果必须是符合预定要求的。

基于两个基本点，我们要做好互相支持与借助外力两个事情。

互相支持就要求业务部门的安全代表能够支持安全部门的工作，这首先要业务部门要支持安全部门的工作。这个要求有组织结构和公司文化的保证。然后安全部门要支持业务部门的工作，为业务部门的发展提供安全支持。具体可以是要定期与业务部门的安全代表开会，比如双周例会，让业务部门的安全代表之间和安全部门之间都形成良好的沟通互动。对于业务部门的安全代表提出的需求安全部门应该积极响应，这个应该作为安全部门第一优先级任务。

借助外力就是要求安全部门要了解清楚现有安全能力提供的服务提供商，要求与服务提供商建立定期的会议，将业务部门使用的过程中的问题要及时反馈给服务提供商，并且要求他们制定计划帮助解决。同时根据欠缺的安全能力寻找合适的服务提供商进行咨询和测试，并做好计划推动安全能力的完善。

总结来说，通过一个中心两个基本点的思想，让安全部门的工作能力化，让安全部门与业务部门以及服务提供商建立最紧密的统一战线，共同做好公司的安全工作。

预期展望

虽然开局惨淡，安全人员精简，但是根据一个中心两个基本点的指引，并不会大幅度削弱安全的水平。

通过对安全能力化，可以非常清楚地知道自己当前的能力水平，也知道自己的欠缺能力，可以做到知己知彼，百战不殆。这个类似当年抗日战争中的精兵简政工作，对于未来的成功是非常重要的。

通过互相支持，可以真正让安全人人负责，让安全与业务深度融合，弱化安全部门的地位，实际提升了整体安全能力。

通过借助外力，可以与业务提供商建立共存共荣，让大家在危机中建立统一战线。类似抗日战争中民族统一战线，团结一切可以团结的力量，才能在危机中求生存，求发展。

诸子笔会 |1月征文合集《安全规划》

蔚晨：金融机构数字安全规划要点综述

杨文斌：如何让安全规划掷地有声

刘志诚：从业务保障到业务驱动的安全规划实践三部曲

诸子笔会 |12月征文合集《总结报告》

刘志诚 蔚晨 王振东 孙琦

杨文斌 赵锐 肖文棣 月奖公布

诸子笔会 |11月征文合集《供应链安全》

诸子笔会 |10月征文合集《安全周》

张永宏 王振东 赵锐 蔚晨

刘志诚 刘顺 肖文棣 季奖公布

诸子笔会 |9月征文合集《安全团队》

刘志诚  张永宏  刘顺  杨文斌  蔚晨

王振东  孙琦  肖文棣  赵锐 月奖公布

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

齐心抗疫 与你同在