安全是伴随业务而生的，是业务的天然需求，不管企业关不关注，它始终在那里。安全工作主要是识别和应对业务面临的风险，分别从职责划分、资产管理、风险识别、风险处置、安全运营等多个环节开展工作。这里面每个环节都涉及管理、流程和技术等多方面的工作项，而这些工作项的变化通常会引起安全工作的变化，本文主要以应用安全为例从以下几个方面论述这些变化。

在敏捷开发的背景下，只有改变长久以来的由安全团队承担安全主要责任的传统思想，实现安全团队和业务团队安全共建和责任共担，才能满足新形势下企业数字化转型的需求。业务的目标应该成为安全团队和业务团队共同的目标，正如图1DevSecOps 所要求的那样，所有人员都应为业务安全负责，不同岗位应紧密配合。随着敏捷开发逐步深入，快速响应用户需求成为业务的首要目标，以往周期较长的安全活动显然已经不能满足业务“短平快”的需求，更不能将业务的交付能力系于安全团队的工作效能。所以我们要改变原来“安全由安全团队负责”的惯性思维，业务团队应积极承担起自己领域内的安全责任，守护好自己的“一亩三分地”。而此时安全团队应该更强调安全能力建设，将安全能力及时赋能给业务团队，搞好制度建设、流程建设、工具建设和平台建设等能力建设。

图 1 业务安全需要不同岗位角色协作

在信息安全这个领域，网络安全、主机安全、终端安全、应用安全、业务安全、数据安全等各种词汇层出不穷，这些前缀其实都是安全的保护对象。无论哪种被保护对象都在随着业务和技术的发展而发生着深刻而显著的变化，这一点显然是毋庸置疑的。

一方面就应用安全而言，云原生技术和中台化理论彻底改变了旧有的IT架构和开发方式，应用更加微服务化、API化、组件化和容器化，这些变化要求我们必须重新审视原来的工作方法，催生了微服务安全、API安全、供应链安全和容器安全等各种安全理论和方法。这些新理论新方法正是适应应用IT架构的发展变化而出现的，相比之前的理论和方法更加聚焦应用的某个特定方面，保护的资产对象和风险处置手段更有针对性。

另一方面资产对象的识别也与以往有很大的区别，以往安全主要依靠架构部门维护的应用系统清单或运维的CMDB系统来支撑安全的各项工作。企业除了使用各类自动化工具发现存量的安全资产外更应该在应用建设之初即识别有哪些数据、微服务、API、技术组件和基础镜像，从架构层面进行标准化IT治理，详细记录其相关的安全属性，以方便后续的各项安全工作。

正所谓攻防相长，攻防思想理论一直在不断演进，最明显的就是零信任思想。以往我们特别推崇的依靠内外网划分实现安全的方式显然不能满足业务的发展需要了，黑客一旦突破到内网则如入无人之境，这会为企业安全埋下巨大的安全隐患，内网安全很可能成企业安全的阿喀琉斯之踵。

内网不代表安全的思想意识必须得以普遍性扭转，无论是办公环境还是生产环境我们都必须贯彻零信任的理念，特别是在疫情肆虐导致远程办公几乎成为常态的今天，面对巨大的互联网风险敞口，为了保障远程办公工作顺利开展，企业应及时引入图2中所示的零信任安全能力相关的技术和产品，通过对终端、人员、应用的持续认证，确保企业办公安全，实现安全与业务双赢。

图 2 办公场景零信任关键能力

另外一个重要思想就是安全左移，2016年我国的《中华人民共和国网络安全法》就已经明确提出了“同步规划、同步建设、同步使用”的三同步原则，安全左移已进入法制时代。安全工作应摒弃之前依靠上线前后的安全测试和渗透测试方式实现保障的做法，在企业范围内充分强调三同步原则，在应用建设之初分析安全需求、编制安全设计方案和建设公共安全能力，不能再重复”检测-漏洞修复-检测“的怪圈循环。

缓解风险的安全技术手段包括安全检测工具和安全防御系统等，安全的需求与业务需求相比常常会被排在较低的优先级，所以如何尽可能降低安全工作对业务的影响成为企业不得不面临的问题。

从安全检测工具来讲，黑白灰工具俨然已成为各企业的标准配置，虽然在误报率等方面仍需不断改进，但自动化工具的引入仍然显著改观了以往人工测试的较慢的问题，使得安全工作的成本得以有效降低，效率得以明显提高。

从安全防御工具来讲，安全与应用解耦的切面思想已经深入人心，企业应摒弃由应用自行实现安全能力的传统思维，提前建设标准化的公共安全能力，实现安全能力标准化和服务化。应用集成安全能力时，应尽可能与应用解耦，优先利用过滤器、代理网关、SideCar边车等方式集成安全能力，既符合应用组件化开发的思想，也维持了安全能力的部分自主性，同时也方便了安全数据的采集分析。

数据已为现代生产的重要生产要素，安全工作同样需要实现数字化转型。通过各项安全数据收集和分析，一方面能看出之前的安全缓解措施是不是真正落实到位，起到对之前安全工作”查漏“的作用；另一方面也有助于发现新的安全风险，起到对之前安全工作”补缺“的作用。

尽管上述各项变化给安全工作带来很多的困扰，但只要我们坚持做好安全共建共担和资产梳理这两个基本点不放松，在日常的工作中安全团队与业务团队携手做好常规类工作，假以时日，企业的安全工作一定会蒸蒸日上。