從目前了解的情況來看，甲方安全團隊規模在一個企業內部的人員占比還是非常低的，在企業安全建設中，大部分安全措施的落地都是由系統、業務和開發團隊來實施。這時候，對于安全團隊來說，就非常需要注意安全工作的方式方法了，以便將企業的信息安全建設逐步走向正軌。本文就是我對企業信息安全建設的方法論的一些思考。

[[317085]]

一、緊隨高層利益攸關者

在企業粗放式發展初期，甚至是進入大企業行列，信息安全也可能根本就不會進入CTO的思考范圍，更別說CEO級別的管理層了。當然這兩年情況好多了，在網絡安全法頒發、中央網信委成立后，CEO級別的管理層公開支持網絡安全工作必然是政治上正確的事，但這也不一定能成為你開展信息安全工作堅強后盾。筆者以為，信息安全工作最堅強的后盾應該是數據中心老大或CTO類的人員，因為信息安全事件最大的受害者可能是他們，出現重大信息安全事件最可能履責者也較大可能是他們。因此，從某種程度上說，我們和數據中心老大或CTO類老大對安全的訴求是一致的，我們要緊緊跟隨在他們周圍，適當利用他們的權力和影響力把一些信息安全訴求傳遞出去。但是，我們也不能什么事都往CTO那里轉，如果這樣，要你信息安全部干什么?有些事能控制風險就本級解決吧。這里就有個問題，哪些事是需要上升到CTO級別人員解決的呢?需要各位CSO們自己考慮掌握了。

二、團結同盟軍

雖然信息安全占據了一定的政策利好以及領導支持優勢，但是，人少要求多是不可忽視的基本事實，因此，這就要求信息安全團隊需在企業內部找到同盟軍，以應對更加突出的安全風險。一般來說，基礎設施部門是一個不錯的同盟軍選擇，比如網絡團隊、云管平臺團隊、主機系統團隊等。主要原因有：(一)基礎設施規模龐大，整改難度大，盲目把他們作為主要治理對象可能會很難出成績;(二)信息安全基礎設施的很多建設需要依賴基礎設施部門支持，比如流量采集、監控節點部署、主機申請、網絡策略開通等。(三)基礎設施大部分都不會直接對外，風險等級不會太高，反觀應用安全確是當前風險等級最高、安全管理最急迫的領域。通過團結同盟軍，一起把應用開發安全管理好，在此之中，再逐步對基礎設施部門提一些容易整改的安全需求，畢竟也是一個戰壕里的戰友，基礎設施部門估計也不好意思拒絕。當然，各個單位遇到的突出矛盾和情況也存在很大差別，尋找什么樣的同盟軍需要自己斟酌考慮。

三、抓主要矛盾

雖然企業安全團隊可能懷抱偉大理想，團隊初建可能意氣風發，躊躇滿志，想盡快把企業安全防護水平整體提高一個臺階，但是，對于系統、開發以及業務團隊來說，企業安全建設與管理都是給人家添加工作量的事情，可能因為一個安全要求導致他們整個系統要返工重做，從思想上、意識上有一定的反抗情緒也是人之常情。因此，對于企業安全建設來說，最重要的工作是做調查研究，了解企業IT建設與安全管理現狀，識別影響組織和企業最大的風險，然后再根據風險找出安全管理的牛鼻子方法，抓住安全風險的主要矛盾，這也是ROI平衡的一個具體方面，切不可能眉目胡子一把抓，事事都管，沒有重點，把本就弱小的安全團隊像撒芝麻一樣撒到各個項目或事務中，不能團結一致干一件事，最后估計也難成一事。

四、以可證明的風險說話

Linux 的創始人 Linus Torvalds 在 2000-08-25 給linux-kernel 郵件列表的一封郵件提到的：Talk is cheap，Show me the code。在安全管理上依然適用，當我們像唐僧念經一樣翻來覆去的提示風險，揭示風險，卻沒有任何”漏洞利用證明“，也不能拿出有效規避風險辦法，對于企業里的其他人員來說，這些語言來說都是蒼白無力，而且還會對信息安全部門產生無用論、能力不足論等思想。風險本來就是抽象的，把抽象的概念傳達給企業內員工，我們只能用結果來說話，比如拿下系統控制權、下載了關鍵數據等。因此，我們要充分發揮自己的專業能力，利用滲透測試、眾測、攻防演練去最大限度的發現及證明各類風險危害，用鮮活的事例來教育員工。

五、切不可本本主義

安全工作最大的兩個動力：事件驅動和監管要求。內部安全事件不能經常發生吧，外部事件又總是有點隔靴搔癢之感，能說一說，但是很難轉化為行動的動力。很多時候能說事就只有監管要求，但是我們也要注意不能拿著監管要求、安全體系等盲目要求按章辦事、逐條落實，不考慮企業現狀，這就會犯了本本主義和教條主義錯誤。比如，監管要求中要求：生產和測試網絡要嚴格隔離。這一條用意當然是好的，但是要在企業內部有效實施肯定會面臨較大的阻礙，例如，有些系統想運轉起來就是要求能夠實現測試和生產聯通;有些系統在測試環境搭建測試系統成本很大等等，這時候都可會導致生產和測試不能完全隔離。此時，就需要安全部門具有問題具體分析，靈活對待，在不違反重大原則、導致重大風險的情況下可以適當的、有限度的開綠燈。

六、慎用尚方寶劍

在企業的內部規章制度中，信息安全一般都會有一定的考核權和處罰權，也可能有些大領導的直接授權等，以此作為企業安全管理的尚方寶劍。但是，筆者想說的是，對于弱小且處于擴張中的團隊來說，一定要慎用尚方寶劍，使用不當會導致我們提前樹敵。雖然，我們本意和目的不是懲戒，主要目是提高安全意識。但是，我們應當明白，我們的處罰對于別人來說都會造成經濟上、聲譽上的損失，從而會對信息安全團隊本身產生一定的逆反心理。同樣，對于其他人員來說，這也會導致他們對信息安全團隊產生一定隔閡，從此以后對信息安全管理不配合，或者表面支持、背地里敷衍、甚至使絆子，這些都會給信息安全工作帶來較大的阻礙。但是，從長遠看，考核權和處罰權仍然是我們推動信息安全工作的主要抓手。

七、善用乙方團隊

現實場景中，有些乙方人員戲稱甲方叫“甲方爸爸”，這是一句玩笑話，其實甲方合同才是他們真是的“甲方爸爸”，我們不過都是干活的。作為一個甲方安全人員，我們也應該明白，在業務高速發展和信息化程度越來越高的大背景下，甲方的安全人員在數量上、專業技能上還是與甲方的安全建設需求有一定的差距。那么這時候，乙方團隊就是甲方信息安全建設力量的重要補充。很多方案設計、風險分析、技術實施都需要乙方人員的深度參與，畢竟他們在細分領域以及專業場景上，比我們甲方人員要見得多、識得廣。作為甲方團隊人員，我們要善于使用乙方團隊，團結帶領乙方團隊快速高效地搭建起甲方的信息安全治理體系。

對于甲方來說，信息安全建設工作既是一個技術問題，但已經超越了技術問題，這里面牽涉了很多制衡、溝通、協調、妥協等方方面面的問題。作為甲方信息安全人員來說，在了解信息安全專業知識的時候，還應該多掌握一些戰略戰術層面的方法論，以讓企業的信息安全工作能夠更好的推廣實施下去。

(本文是作者在企業安全實踐中一些分析和思考，也是作者的一家之言，供大家參考。因個人能力、視野及技術水平限制，未免有些錯誤、偏頗以及疏漏，敬請讀者諒解。)