在阿里云的時(shí)候，就覺得安全部是一個(gè)很“清奇”的部門，似乎一整套體系都是獨(dú)立的，有自己的小圈子。

為關(guān)嶺等地區(qū)用戶提供了全套網(wǎng)頁(yè)設(shè)計(jì)制作服務(wù)，及關(guān)嶺網(wǎng)站建設(shè)行業(yè)解決方案。主營(yíng)業(yè)務(wù)為成都做網(wǎng)站、網(wǎng)站建設(shè)、關(guān)嶺網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠(chéng)的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長(zhǎng)期合作。這樣，我們也可以走得更遠(yuǎn)！

出來后加入安全圈子，為各廠商提供業(yè)務(wù)安全服務(wù)，也在第一次接觸到各廠商的SRC（應(yīng)急響應(yīng)中心）后，看到一群不同的人因?yàn)橐粯拥呢?zé)任感團(tuán)結(jié)在一起，越發(fā)感受到安全er的活力。

然而，在活力的背后，隱藏著安全er長(zhǎng)久的克制。

不止一次聽起安全從業(yè)者感慨，做安全最大的阻力并不是在外部，而恰恰是公司內(nèi)部。這究竟是為什么呢？

安全與業(yè)務(wù)，總是一對(duì)無解的冤家

叱咤風(fēng)云的***和低調(diào)支撐業(yè)務(wù)的甲方安全er，擁有兩種截然相反的職業(yè)軌跡，后者很顯然承受了更多。

我們每天可以看見這個(gè)場(chǎng)景在不斷上演：業(yè)務(wù)部門要上線一個(gè)活動(dòng)，有明顯的被***風(fēng)險(xiǎn)，事先沒知會(huì)過安全部門（好一點(diǎn)的同步一下，不過也沒太大用），安全部門趕來要求增加一些防控措施，業(yè)務(wù)部門置若罔聞，再去追問，就用“KPI”、“業(yè)績(jī)”給打發(fā)了。

業(yè)務(wù)人員因?yàn)槌钟袠I(yè)績(jī)KPI而強(qiáng)勢(shì)，而相關(guān)的安全需求則被視為無用功。除非發(fā)生大型的損失（如拼多多優(yōu)惠券事件），業(yè)務(wù)人員才會(huì)對(duì)安全部門有所敬畏。這讓安全部的防控策略成了“大病醫(yī)療險(xiǎn)”，平時(shí)勾選一下的意愿都沒有，真出事了，也找不到索賠點(diǎn)。

為什么安全會(huì)像一個(gè)保險(xiǎn)產(chǎn)品一樣？無法量化是其中一個(gè)最大的問題。填補(bǔ)多少的漏洞、上線多少新的防護(hù)方案、避免了多少的風(fēng)險(xiǎn)，這些都是對(duì)未發(fā)生的事情做防控，而究竟這些問題真的發(fā)生了，會(huì)帶來多少的損失，往往是很難量化的，與業(yè)務(wù)部門真金白銀的業(yè)績(jī)比起來，更是如此。

也就不難怪為何業(yè)務(wù)部門的話語(yǔ)權(quán)更重，對(duì)安全部門的影響如此之大了。

主導(dǎo)和服務(wù)，全然不同的兩條路

不過，上述的苦逼安全部門更多來自互聯(lián)網(wǎng)的甲方公司。在和錢離得近的金融行業(yè)，風(fēng)控部門則擁有較高的話語(yǔ)權(quán)。特別是在銀行、持牌消金機(jī)構(gòu)，風(fēng)控可以有效降低逾期率、壞賬率，直觀地減少業(yè)務(wù)損失。甚至于，機(jī)構(gòu)的運(yùn)營(yíng)情況如何，主要是看風(fēng)控做的如何。

不難看出，當(dāng)離錢更近的時(shí)候，風(fēng)險(xiǎn)損失更容易量化，那么安全做的工作就更容易體現(xiàn)價(jià)值，話語(yǔ)權(quán)也更大一些。

筆者和業(yè)內(nèi)的幾家安全負(fù)責(zé)人做了簡(jiǎn)單的交流，發(fā)現(xiàn)在這樣的大背景下，安全部門走出了兩種形態(tài)：

一種是做好守護(hù)者的安全部。主要關(guān)注公司全局的安全生態(tài)建設(shè)，會(huì)給業(yè)務(wù)提出相關(guān)的風(fēng)險(xiǎn)建議，但是最終是否采納的決定權(quán)在業(yè)務(wù)。如果在已經(jīng)提示過風(fēng)險(xiǎn)的業(yè)務(wù)上出現(xiàn)問題，唯一的底線就是不背鍋。

另一種則是與業(yè)務(wù)部門平起平坐的風(fēng)控部。公司的業(yè)務(wù)計(jì)劃需要與風(fēng)控部門同步，將風(fēng)險(xiǎn)控制在事前，風(fēng)控部門的績(jī)效考核與業(yè)務(wù)直接掛鉤，話語(yǔ)權(quán)與壓力并存。

安全er未來的可能性

那么話說回來，在離錢還有點(diǎn)遠(yuǎn)的安全部，難道沒有推動(dòng)部門話語(yǔ)權(quán)的可能性嗎？

不全然是，筆者在這提出兩個(gè)必要的場(chǎng)景做討論：

1、意識(shí)轉(zhuǎn)變

安全部從過往的傳統(tǒng)網(wǎng)絡(luò)安全范疇過度到業(yè)務(wù)安全，成為一門顯學(xué)的時(shí)候，大眾對(duì)于業(yè)務(wù)與安全的融合性或許會(huì)有更好的認(rèn)識(shí)，也更能理解做好安全建設(shè)的必要性。

2、價(jià)值挖掘

安全部門能將工作成果與業(yè)務(wù)成果掛鉤，量化業(yè)務(wù)價(jià)值，進(jìn)而推動(dòng)安全部向價(jià)值中心轉(zhuǎn)變。這點(diǎn)頗受爭(zhēng)議，但是路都是人走出來的，況且行業(yè)每天都在發(fā)生變化，未嘗不是一個(gè)值得努力的方向。