自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

企业存在的隐性安全建设误区

     文 | 杨文斌

杨文斌

某电商公司安全管理

12年网络安全从业经验，熟悉网络安全、数据安全及安全运营等领域，擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作，并持续开展SRC平台运营推广。

随着网络安全政策驱动和数字化转型的需求，企业开始逐渐关注网络安全的建设。也许是为了满足合规基线要求，都会或多或少地增加一些安全投入，不管是安全人员补充、安全预算投入、安全设备购置，还是在制度流程、体系文化等内部软设施上的建设投入，都体现了企业对于网络安全建设重要性的认识。

但是安全建设不能仅凭一腔热血，不可盲目拿来其他企业的成功经验，需要从企业自身业务属性出发，取长补短，结合公司规模、人才储备、预算比例等多维度开展网络安全建设，在保障业务有序健康发展的同时，体现出安全投入的价值。

安全建设过程中存在很多误区，需要持续不断地提醒，全面剖析不同阶段的安全投入确保持续发力，建立预防为主的安全隐患意识，主动应对不同场景下的安全陷阱。

迫于业务安全压力，多数中小企业都会选择将自身业务托管在公有云平台上，当起了甩手掌柜。将业务的安全防护工作完全寄希望于云服务提供商或者基础设施提供商，或者通过购买云服务商的网络安全打包套餐来提升安全能力。

但是，懂安全的都知道安全需要自强，内生安全、自我免疫才是安全的，依靠第三方终究会存在各种各样无法预知的问题，严重的将引发供应链安全风险。

云端业务还会触发多个层面的数据安全问题。首先，数据作为企业最核心的资产，却存储在别家单位，存储安全的一系列风险都会出现。数据使用方面，云服务商协助提供服务的人员有可能成为你们的“员工”，甚至可能会以企业不希望的方式使用企业数据，变相挖掘企业数据价值。即使云服务提供商协议规定的责任很明确，也无法确保有不怀好意的破坏分子，这些因素都需要在业务上云前充分考虑。业务停用或迁移也会触发数据销毁问题，第三方对敏感数据的销毁彻底与否很难检测。

企业为了搞好安全工作，开足了马力开展安全建设，大幅度增加安全预算，随意扩编安全队伍，结果导致安全预算随意挥霍浪费。安全团队岗位职责不符或者不清晰，出现了理想和现实的偏差，安全投入和建设成效严重不匹配，安全各方面的建设自然也不可能做好。

安全预算和投入需要结合当前的安全现状，合理分配资源，对业务需求、发展阶段、财务预算、人才技能、管理水平等多个方面综合评估，平衡出合适的安全投入，才能使得安全投入收益率达到最佳水平，也能取得最佳的安全成效。

企业在缺乏安全能力和专职安全人员的阶段，都习惯通过购买安全产品的方式来提升安全防护水平，将企业的安全拜托给第三方安全厂商的服务人员，认为厂商派来的都是专家，安全有了这些专家肯定万事大吉。殊不知厂商没有那么多专家，委派的大都是专业小白，是来甲方打怪升级的。

还有就是这些专家在配置相应产品的安全策略时，并没有结合甲方的实际安全现状，多数场景都是默认规则，只要不影响业务，对安全事件的发生存在侥幸心理。总的来说全盘托管厂商并不靠谱，要想购买的安全产品起作用，还得自建专业的安全团队，了解企业内痛点，结合痛点才能最大化发挥安全产品的防护作用。

多数中小企业在没有发生重大安全事件前，普遍不会采取安全措施，最多也是充当救火队员，哪出问题补救哪里。认为自己一个小公司，业务都没法顺利开展，还在安全上浪费时间，简直是本末倒置，就算是偶尔出一次安全事件，对一个小公司又能有多少影响。

俗话说安全无小事，重大的安全事故都是从小的安全问题积累后发生的，一次小的安全问题也许不疼不痒，公司业务不会造成大规模的损失。但是一次重大的安全事故足以让一个公司倒闭甚至负债累累，不管公司大小，公司员工从上到下都应高度关注安全问题，从身边做起，从小事做起，才能杜绝安全事件发生。

有的企业安全负责人觉得管理层不重视安全部门，对安全工作的支持力度不够，投入的安全预算和资源远远不足。其实可以换个思维，应该给管理层一个重视的理由，能够发挥安全部门在企业中的价值，可以为业务稳定发展提供有效的保障，相信管理层不会不关注安全，也会给与大力支持。

管理层能够建立安全部门和相关的安全岗位，说明管理层从心理上是想发展安全的，也看到了安全的重要性。是不是安全部门的作用和成效没有达到预期，才促使管理层心中安全部门处在不上不下的位置？自身又不太懂安全，安全部门的反馈不到位，上下沟通错位，安全部门的地位也就愈发下降。出现此类问题应该多多分析，从企业发展的角度摆正安全位置，最大化激发安全价值。

中小企业很少会关注国家政策法规，认为合规离得很遥远，开展好自身业务，不做违法犯罪的经营活动，就会平安无事，全然不知当前的法律已经扩展到了紧贴业务的多个角度，正在开展的业务在不知不觉中已经触犯红线。国家陆续对企业不合规业务处以高额罚款就是从业务角度对企业开展合规审查，高额的罚款相对中小企业业务营收来说简直是晴天霹雳，有可能导致企业直接倒闭或核心业务被关停。

不管企业规模多大，都应该时刻关注相关法律法规，结合企业自身业务特点充分解读，建立形成企业内部的制度规范，并认真宣贯执行，避免企业在无从察觉的情况下陷入合规困境。国家法律指导行业要求和企业实践，务必在遵循上位法的基础上开展合规业务，才能不踩坑、不被坑。

企业在安全建设方面的问题很多，有时候需要面对，有时候需要背对，甚至有时候需要夹缝求生。有的坑需要填，有的坑需要绕，甚至有时候还需要亲自挖个坑尝试。安全无小事，安全不容易，安全很坎坷，希望各位安全同仁顶住压力，共同为安全发展助力。

2022诸子笔会  

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  朱文义

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在