1.5 谁是我们的甲方？

有些在厂商或集成商工作的朋友，跳槽到甲方之后会有“翻身做主人”的感觉，这种感觉在短期内会非常美妙。有人会有求于你，有人想谈合作，最平常的技术交流也会让你在不知不觉中有被尊敬的感觉。如果你也有类似的感觉，一定要警惕。笔者认为，职场本质上是一个协作链条，不管在哪工作都有自己的上游和下游。在甲方工作，谁是我们的甲方呢？

答案似乎很明显，当然是我们的直接主管了。没错，但还不仅仅是这样。安全团队在甲方内部本质上是一个服务团队。在这点上，我们应该多向安全服务商学习。事实上我们的甲方是运维&开发部门、运营等业务部门，甚至是公司全员。下面分别看看这些甲方的视角和诉求。

1）运维&开发：我们用运维&开发来泛指技术相关部门，这是安全团队打交道最多的部门。这些部门的人懂技术，在有些问题上沟通起来很方便。但是出于利益诉求、工作方式甚至思考方式的不同，多多少少都有些对抗的味道。

2）运营等业务部门：这些部门虽然不是技术部门，但是很多工作都与安全相关，比如对抗“羊毛党”、数据防泄露等。也就是说，安全团队的工作直接影响这些团队的工作效果，甚至业绩。按理说，安全团队和这些业务部门的知识体系互补，应该配合默契才对，但是经常出现的情况是，出于思考习惯和工作习惯的不同，技术部门与非技术部门的沟通会存在壁垒。

3）全体员工：从广义角度来说，安全团队应该对公司全员的安全行为负责，从最基础的弱密码、不锁屏，到盗取数据、恶意破坏。这需要意识上的培养、技术上的威慑和关系上的保持。分别解释一下：意识培养大家都在做，但是想做好非常困难，从管理制度到各类培训都是培养安全意识的手段，也是让公司员工理解安全工作的方式；技术的威慑指的是要让全员知道安全团队的能力，比如任何员工对数据做了异常的查询，安全团队都可以第一时间发现，虽然很多情况下经过询问都是正常行为，但这对所有员工是一个威慑，告诉所有人，我们有意愿也有能力保障公司的数据安全；关系保持简单地说就是“打感情牌”，与公司员工保持一个良好的关系，可以为安全团队争取支持打下良好的群众基础。

有没有发现，在甲方做安全工作面对的“甲方”实际上更多了，数量不一定多，但人群的种类变多了。安全工作在内部推广不利，主要的原因就是由于诉求、视角和认知等方面的不同产生的一些对抗情绪。

笔者梳理了对内减少对抗情绪的几个层面的工作，即制度保障、客观评估和安全运营，这三个维度的工作逻辑如图1-2所示。

1.制度保障：所有工作合法性的来源，为了师出有名

安全管理方面的工作无论怎么做，都不可能脱离管理制度。脱离制度保障，任何安全工作都师出无名。但制定过信息安全管理制度的朋友们肯定知道，按照标准搞一套管理制度，是一个相当庞大的文档集。就算是安全部门的工作人员也不太可能把所有文档阅读一遍，更不用说充分理解了。

这方面工作，可以借鉴国家对法律的宣传方式。国家的法律更是一个宏大的文档体系，不是所有公民都能充分理解的，但我们经常能遇到的场景还是知道的，比如：杀人放火、小偷小摸、打架斗殴都是不同程度的违法行为。这得益于各类媒体对各类案件的宣传。参考这类方法，可以进行以下尝试。

1）全套的制度文档建设，这是基础，遇到任何问题都要从这些文档找到合理依据或违规依据。

2）根据实际经验提炼出大部分员工经常能遇到的一些场景，再对应出相关条款进行重点宣传。

3）通过一些运营手段，对上述场景进行宣讲，加深理解（安全运营方面的工作会在运营篇中展开探讨）。

2.客观评估：公平、公正、公开的评估体系

安全团队日常工作中，很多事都需要跨部门协调，有些事情催得急了对方反感，不催的话安全风险又迁延日久。这就需要“客观评估”手段做辅助，简单说就是将系统某个（或者所有）维度的安全评估充分量化，以此督促相关部门的支持和整改。需要注意的是，这个评估的标准最重要的不是准确，而是客观和公开。

就拿漏洞通告来说，我们可以对各系统的安全风险进行综合评估（元素包括：漏洞数量、威胁程度、修复超时时间等），然后得出一个安全评分，或者各种维度的排名。这本身没什么稀奇的，但重要的是，排名规则要公开透明，让相关负责人知道如何能降低风险，也要让其知道自己业务的安全排名为什么是目前的水平。

有一个客观的评价后，这个排名就可以在公司内比较显眼的地方实时显示，既起到督促修复漏洞的作用，又避免了各业务对安全部门的质疑。因为评分标准是公开的，任何人都可以算出来。

3.安全运营：增强意识，互相理解

本书运营篇还会展开讨论安全运营的相关工作，但为了逻辑的完整性，本段简单介绍一下安全运营的一个维度的工作：安全意识提高。

笔者团队于2018年年初启动了全面的安全意识宣教工作，主要是希望安全工作能得到全公司的领导和员工的重视。打个比方：如果你知道7·21北京特大暴雨事件，再到暴雨天就不会开车到低洼处（规避安全风险），也不会因为要在车里准备破窗锤而感到厌烦（增加应急处置手段）。

同样的道理，我们通过各类可以提高安全意识的活动，让大家对安全风险有一个直观的认知，尽可能理解安全部门相关工作的意义，在日常工作中也能主动规避一些风险。

总体来说，由于职责不同，安全团队和这些“甲方”之间难免会有摩擦，本质上是一个博弈过程，但博弈也有三种方式：零和博弈、负和博弈和正和博弈。

零和博弈是大家最熟悉的概念，是指在博弈过程中，一方获得利益的同时必然意味着另一方遭受损失。在安全工作中业务部门修补了漏洞（安全性+1），就延缓了上线时间（业务影响-1）；反之带着漏洞上线（安全性-1），可以让业务尽早上线（业务影响+1）。无论哪种情况，总体收益都是0。

负和博弈指双方在博弈中由于冲突导致双方利益都有损失，是两败俱伤的结局。在安全工作中，如果安全部门和业务部门相互推诿，既耽误了上线时间（业务影响-1），又没有保证安全性（安全性-1），总体收益就是-2。

正和博弈是指博弈双方通过机制上打破封闭系统，使得整体收益大于0。我们还拿漏洞管理举例，安全部门和业务部门经过协商，在业务需求比较紧急的情况下，可以带紧急级别以下漏洞上线，但需要配合更严格的安全防护机制。上线后，安全团队负责监控外部威胁，及时封堵；业务团队尽快完成漏洞修复。这种情况下就尽可能地保证了安全性和业务需求，总体收益大于0。

对于漏洞管理的举例只是个简化的场景，实际工作中会有更多不确定因素参与其中，但总体思路上，需要尽量争取正和博弈、保持零和博弈、避免负和博弈。笔者认为这不仅仅是安全工作的技巧，也是日常处事的技巧。