（文章來源：環(huán)球網(wǎng)）

對于絕大多數(shù)的企業(yè)來說，安全是信息技術(shù)建設(shè)中薄弱而又很難提高的環(huán)節(jié)，而這個環(huán)節(jié)上發(fā)生的問題又會深刻地影響到整個企業(yè)，在互聯(lián)網(wǎng)+的進程中，一方面互聯(lián)網(wǎng)企業(yè)越來越多，另一方面由外部環(huán)境推動的或自發(fā)的安全意識越來越強，對安全建設(shè)的需求也越來越多，很多企業(yè)都開始招聘安全負(fù)責(zé)人，不乏年薪上百萬元和幾百萬元的安全負(fù)責(zé)人職位，但事實是很多公司常年用高薪，都招不到合適的安全負(fù)責(zé)人，其中的原因有很多，比較客觀的一條就是這個行業(yè)所培養(yǎng)的有互聯(lián)網(wǎng)整體安全視角的人實在寥寥無幾，而這些人大都不缺高薪，也不缺職位。

早年在乙方安全公司的人經(jīng)歷了給客戶從零開始建設(shè)安全體系的過程，而后來進入乙方的畢業(yè)生，接觸客戶時大都已經(jīng)有安全體系，無法體驗從0到1的過程并從中學(xué)到完整的方法論，很多方法論甚至已“失傳”，有些方法論原本就只集中在公司總部的一圈人手里，分支機構(gòu)除了文檔得不到“大象”。

BAT這類企業(yè)安全也早已經(jīng)過安全建設(shè)期，后來者分工很細(xì)，除了幾個早已身居總監(jiān)職位的老員工之外，大多數(shù)人無法得知安全體系的全貌，很多人離開了BAT也說不清自己責(zé)任之外的事情該怎么做。

二三線互聯(lián)網(wǎng)企業(yè)中，很多團隊所持有的安全體系并不完整，也不是業(yè)內(nèi)最佳實踐，有些甚至就是救火型團隊，更難有體系化的積累。 ·當(dāng)下的很多乙方安全公司，在互聯(lián)網(wǎng)大潮的沖擊下也面臨著轉(zhuǎn)型的挑戰(zhàn)，要提供符合時代趨勢的解決方案仍需努力。

在社區(qū)，目前大家都熱衷攻防，而不是企業(yè)安全建設(shè)。攻擊者、乙方、甲方之間仍然存在較大的鴻溝，彼此互相不屑，從社區(qū)里也多半只能挖掘到一些單點型的防御手法，即便好學(xué)的人訂閱了所有的安全站點和微信公眾號，恐怕也難以學(xué)會企業(yè)整體安全建設(shè)的方法。 基于以上種種原因，我明顯感覺到有一堵墻存在于業(yè)界、社區(qū)、甲方、乙方、想學(xué)習(xí)的人和信息的不對稱之間，我決定動手推倒這堵墻。

如果從一個很微觀的角度切入企業(yè)安全這個話題，那么大多數(shù)人會像一葉孤舟跌進大海茫茫然找不到方向，所以本章從安全領(lǐng)域整體環(huán)境入手，以便于讀者找到系統(tǒng)性的那種感覺。盡管筆者沒有致力于提供關(guān)于企業(yè)安全的一個非常完整的“上帝視角”，但也盡可能地兼顧了這方面的需求。

企業(yè)安全是什么？我認(rèn)為它可以概括為：從廣義的信息安全或狹義的網(wǎng)絡(luò)安全出發(fā)，根據(jù)企業(yè)自身所處的產(chǎn)業(yè)地位、IT總投入能力、商業(yè)模式和業(yè)務(wù)需求為目標(biāo)，而建立的安全解決方案以及為保證方案實踐的有效性而進行的一系列系統(tǒng)化、工程化的日常安全活動的集合。怎么感覺有點咬文嚼字？實際上，這里面的每一個項都會決定你的安全整體方案是什么，哪怕同是中國互聯(lián)網(wǎng)TOP10中的公司，安全需求也完全不一樣。

總體來看，傳統(tǒng)企業(yè)偏重管理，有人說是“三分技術(shù)，七分管理”；而互聯(lián)網(wǎng)企業(yè)偏重技術(shù)，我認(rèn)為前面那個三七開可以倒過來。其實這種說法也是不準(zhǔn)確的，到底什么算技術(shù)，什么算管理，這些都沒有明確的定義。安全領(lǐng)域大部分所謂管理不過是組織技術(shù)性的活動而已，充其量叫技術(shù)管理。