征文 ｜ 陈欣炜：联合起来 让网络安全创造价值

投稿方式可戳文章底部“阅读原文”了解详情。

联合起来，让网络安全创造价值

文 | 陈欣炜

陈欣炜

江湖人称KC，18+工作经验，创业2次，现招商银行全资子公司招银云创从事合规和信息安全工作。多年的职业生涯里，从甲方到乙方，再从乙方到甲方，经历一线、二线工程师、技术部门负责人、VP、咨询公司合伙人等多个岗位，在机场、地铁、电信、电力、政府机关、航运、银行、交易所、券商等行业具备服务、咨询和管理经验。

前言

感谢主编提了这么个有趣的主题，诚如主编所言，存在感、价值感是目前甲方安全困扰的两大主题，网络安全如何体现自己值钱的方面，这真的是业界的大痛点。

关于这点，我不打算从诸如降本增效（虽然老板们很有兴趣，但是难以量化），ROI和CICO（虽然可以量化，但是数字基本很扯淡），还是横向风险比较价值（数字能量化，也不扯淡，但不直观）等常见方式来说，基本CIO和CTO都不太会吃这套了（当然，财务线大佬们很热衷）。

因此，打算从一个比较新的角度来聊这个问题，是本篇短文的开篇。

最后插一句，本文不打算聊安全外化，因为外化就是安全的价值实现之一。

基础：安全的价值在哪里？

我很喜欢用桥来开场，这也是我私下聚会常说的例子，虽然未必准确，但也是个人的一些想法。

如果说，有条河隔绝了两岸，而两岸人民有交互需要，这就是业务的产生。造桥的时候，为了保证业务优先，先造了个石板桥，石板桥大家都懂的，我小时候上大学时候在偏远地带，每次都要经过类似的石板桥，于是乎，大家过桥都十分小心，怕摔进河里，信息化的雏形也就是这样，业务为王，完全可以觉得不用安全，安全是白花钱的。

但是如果你是CIO甚至是企业主，你会安心业务一直在简陋的石板桥上行进么？不说不说监管要求，有大业务来了，承重够不够，宽度够不够，有没可能从桥上掉下去，桥下有没有人打算顺手拿点货物？

于是，基础的护栏造起来了，这也是安全的雏形。

没过多久，有人跳河了，于是决定把护栏提高。

又没过多久，卡车把护栏撞断了，于是决定把护栏加固。

再后来，跳河的人翻过护栏还是跳了，于是决定把护栏做成全封闭。

有人说，桥会断，于是在隔壁造了一座一模一样的桥。

安全就是这么做起来了，你说安全必要么，是必要的，但是我们已经可以看到，安全的投入是无穷的，安全的产出是难以测量的，难不成，你还要去计算跳河的数量？

这个时候，可能你意识到了，安全就是防范风险，是风险对抗的托底，这就是安全的基本价值，安全值钱的基础就在于和风险一体两面。

外力：事件令安全值钱

我曾经见到过一个CIO被大老板顶着责骂，原因如下：“你花了我几千万去做备份，三年了，每年又是几千万投下去，三年了，系统甚至都没有启动过，你花了我这么多钱，每年折腾咨询折腾演练，有什么成果？”

确实，那还是在CISO没有大行其道的年代，安全就是这样，出事了觉得安全无用白花钱，不出事觉得安全无用浪费钱，如果没有外因的驱动，安全确实里外尴尬。确实说，养兵千日，用在一时，但用在一时，并不能保证打胜仗。

外部事件的驱动可以促进并提升安全的价值。对于信安而言，每次都是泣血的事件推动安全水平的提升，无论是政策方向，还是技术方向。近年来的东风，确实给了安全很大的价值空间，无论从行业地位和从业待遇，都是飞速成长。

内功：联合令安全值钱

本文的重点是联合，确实安全目前是当红炸子鸡，也顺风顺水。但是我们可以发现，安全依然还是个小众行业，同时，人员的不断稀释也导致行业单兵作战严重。

因此，联合将会把目前的安全价值提升到一个高度，NBA球星都抱团了，安全行业也不妨一试（虽然我也早就这么做了）。

这里的联合，指的是同业安全联合，也指的是安全行业联合，例如诸子云就是个很好的尝试。

安全目前依然在雏鸟阶段，虽然有诸多高手映衬，但单独飞翔依然有难度。此时，团结能团结的力量，才是上策。

安全人员不是被不断稀释么，造血来不及，就直接联合同行业呀，这样的好处很明显，因为同行业面对的风险是基本相同的，尤其是细分行业，那更是高度相同，加强同业联合才能更好的做好信安，和促进行业发展。

安全技术不是参差不齐么，那就联合后学习先进经验，查遗补漏提升自己，等保的初衷也是如此。

安全走的路，其实就是当年运维走过的路，信息化走过来的路，吸取历史教训，学习更快的走法，才能更好的体现自己的价值。

结语

外力是势，内功是劲，如果自己能力不足，联合当然是成功之道。

联合的阻碍，是私心，是政治，但是为了行业，不要把安全束缚在自己的小圈子里。因为只有把圈子放大，圈子扩大到行业，到更大的范畴，才能聚沙成塔，实现价值。