当我们谈论甲方视角的时候，其实心里是没有装着业务的

当年还在奇安信的时候，老吴要求整个集团要有“甲方视角”，但是他心中的甲方视角，其实是“IT视角”。

他说：“奇安信是搞安全出身，本身不懂信息化，只有懂信息化，才能做好安全”。

所以当年GA大数据平台的安全建设，现在回想起来，其实是基于IT网络和零信任理念进行构建的。

当时觉得有道理，安全应该有一个更大的视野，但是现在想想，也还是有问题的。

【1】为什么甲方视角不能是IT视角？

安全厂商过去都是威胁视角和工具思维，就是我提供一个工具，帮你解决杀毒、防黑、访问控制的问题，能不能真正解决，这个要看客户自己的水平。

这个时候的安全厂商就好比厨卫商，卖给客户了全副烹饪工具，但是客户能不能做出好菜，与厂商无关。

图：厨师与厨卫商

IT视角至少开始关注客户的网络，它的视野本身就大了，所以有人就把这类工作叫安全运维，或者运维安全。

当这么叫的时候，问题就出现了。

当你叫安全运维的时候，事实上是运维（ITSM）厂商在抢安全厂商的蛋糕；当你叫运维安全的时候，事实上是安全厂商在抢传统运维（ITSM）厂商的蛋糕。

这就是甲方的现状，IT部门和安全部门往往是两个部门，当我们聚焦IT的时候，往往是两个部门互相掐架，打得不可开交。

不是运维部门偷偷把安全的事儿做了，就是安全部门偷偷把运维的活抢了。

所以最好的情况下，甲方视角应该是风险视角。

【2】为什么甲方视角应该是风险视角?

因为站在风险角度，你看到的是资产、脆弱性, 和基于组织的“威胁”。

站在威胁视角来谈资产，你看到的就是IP、端口、URL、硬件指纹、操作系统等，而站在风险的角度，你看到的资产是指一切有价值的东西。

站在威胁视角来谈脆弱性，谈的就是资产上面的CVE漏洞和0-DAY漏洞，而站在风险的角度来看脆弱性，它指的是技术脆弱性和管理脆弱性等7个方面。

站在威胁视角来谈威胁，也就是病毒、黑客、APT攻击和内鬼，而站在风险视来谈威胁，它的表面积同样要大许多。

这就是我们过去安全没做好的其中一个重要根因，甲方需要的是一个安全的院落，而厂商却只卖了一把安全的锁。

【3】风险视角下出现了业务

上面谈的风险评估三要素：资产、威胁、脆弱性，是在2007年发布的《GB∕T 20984-2007 信息安全技术 信息安全风险评估规范》里面的定义。

图：风险分析原理图

这张图，在2015年发布的《GB∕T 31509-2015 信息安全技术 信息安全风险评估实施指南》标准里，依然是这三个要素。

标准里的资产是这样的：

图：资产分类

但是，在2022年升级版的《GB∕T 20984-2022 信息安全技术 信息安全风险评估方法》标准里,在资产里，明确增加了一个“业务”维度。

图：资产层次

这里把资产分成了业务资产、系统资产、系统组件和单元资产。

业务识别的内容包括业务的属性、定位、完整性和关联性的识别。

图：业务识别内容

而业务资产的赋值是：重要性。

图：业务资产赋值

所以，总结一下，站在风险视角看，整个安全视野应该是这样的：看到资产的价值、威胁的发现频率、脆弱性的严重程度和业务的重要性。

图：风险视角

有了这四个要素和相应的赋值，我们就可以把风险这个模糊的概念给清晰地测绘出来。

【4】为什么甲方视角必须是业务视角?

想想看，一个企业里最有话语权的一定是业务部门、其次是IT部门，然后是安全部门。

因为业务是价值部门，而IT和安全都是成本部门。

随着物理世界与数字世界的深度融合，安全建设的趋势必然从“以威胁为中心”、让度到以“以IT为中心”，然后再让度到“以业务为中心”。

但是，搞业务的完全不懂安全，所以它必须依赖你，你们之间就是一个协作关系；但是搞IT的懂一半安全，所以你们之间就是一个竞争关系。

当安全围绕着业务走的时候，你的安全建设才能理直气壮地说：我们也是价值部门。

所以安全的发展趋势就是从围绕着IT环境的威胁对抗向围绕着业务环境的风险治理转变。

这不光是厂商有了更大的生意，也是帮助甲方客户找到了他们存在的价值。

注：如果你想获得本文及《安全到底》栏目近期或未来文章中插图的原始PPT版本，以方便修改成自己的版本，请看：

如果对我描述的安全世界感兴趣，可以翻翻我为你写的一本书，悄悄超过80%的人：

参考资料：

[1]GB∕T 20984-2007 信息安全技术  信息安全风险评估规范

[2]GB∕T 31509-2015 信息安全技术 信息安全风险评估实施指南

[3]GB∕T 20984-2022 信息安全技术 信息安全风险评估方法

[4]公安大数据平台，2018-06-27.https://www.netposa.com/2018/0627/DPS/2902.html

题图：业务

题图创作者：晓兵与AI小助手

算法提供：FLUX和SD3.5