大咖专访 | 从信息安全的本质，谈企业的信息安全建设之路

2021年的中国，企业数字化转型已从“激烈讨论”阶段过渡到大多数企业“已启动数字化转型”进程。在这个大背景下，企业对于信息安全工作的重视程度也已经从“要不要做”提升到“如何做好”的阶段。对此，啪仔特地采访了王勘老师，就企业信息安全建设问题进行了深入的探讨。

王勘，信息安全解决方案资深专家，有教育行业国企、头部信息安全厂商、头部互联网公司等工作经历，具备互联网行业、金融、政务、能源、汽车出行、通信行业等领域的信息安全建设咨询与培训的实战经验，服务客户均为行业头部企业。

啪仔：王老师，您觉得目前企业在信息安全方面主要存在哪些问题？

王勘老师：

第一，信息安全的问题其实并不存在于企业信息本身，而是存在于国内信息安全的发展。众所周知，国内企业的发展历程比较短，缺失一个很好的资本发展历程和完善的体系。在这种情况下，企业为了快速发展，会优先业务的发展和迭代，而忽略企业信息安全的发展，这必然会导致信息安全问题的发生。

第二，业务熵增带来的信息安全问题。当企业的业务越做越大，企业的价值与社会影响力越来越大，业务之间的协同和数据孤岛越来越多时，业务的安全问题必然会发生。因为企业毕竟由人来运作，而信息安全问题又出在人本身，所以企业信息安全的问题会永远存在。

啪仔：那么老师认为在这方面，我们国内与国外相比有哪些差距，会受到影响吗？

王勘老师：

首先我们要明白网络空间是独立的，面对不同时代、不同情况，我们需要走一条适合自己的道路来建设信息安全。不得不承认，国外信息安全发展较为领先，理念较为先进，但是国家网络空间，网络领土主权就是国家主权，基于它的重要性，大众所希望的国与国之间的共享其实是一个不能实现的场景。

而且，从国际上的互联网安全厂商排名中可知，国外的安全厂商更多是以产品攻防、黑客白帽子的对抗为主。在缺失足够的历史、雄厚的资金、丰富的人力管理经验的情况下，结合实情，国内企业的信息安全之路，应该以经营发展、生存、低成本化为主，不能一味借鉴先进成功案例。

啪仔：对于企业要搭建一个有效的安全体系，能给企业提一些建议吗？

王勘老师：

在提出建议之前，需要先了解无效的信息安全建设是什么样的：

纯粹无序的信息安全建设，企业在信息安全领域并无沉淀，做的是薛定谔式安全；

恍然大悟式极端信息安全建设，不出手则已，一出手就是重拳出击。

再次申明，企业信息安全的本质问题，是由于企业业务发展的熵增导致。因此解决信息安全问题的根本，是在业务上进行理性的治理和梳理。

应该聚焦于业务，而不是聚焦于安全；注重于成本的压缩，而不是注重于成本的投放；重视业务与信息安全的协同发展，而不是信息安全的过度建设；加强对业务的理解，而不是自我地建设信息安全产品。

信息安全是理性的，是成本压缩到极致的一种表现。

其次，企业信息安全建设应该是在主航道上修改细节，而非在细节上修改主航道。企业信息安全建设的专家是企业自身，真正能剖析并且改变企业信息安全问题的只有企业自身，让安全专家与企业成为伙伴，帮助企业以业务和服务为出发点，确定企业安全建设的主航道。

最后，企业信息安全建设的难点在于人的治理。企业的信息安全建设，在技术领域比大数据、AI的建设要相对简单，但在人的治理方面却要难得多，它与人的意识、内部流程等都是息息相关的。改进一项技术不难，改变人的固有思维却是很难的。因此企业需要从战略发展治理层面看信息安全，而不是从技术层面看信息安全。在缺少技术优势和人才储备的情况下，从更高的视角和维度来看待信息安全问题，从企业自身的目标、战略意义、社会价值出发，才能真正解决企业的信息安全建设。

啪仔：您觉得未来信息安全建设的重点会是哪些领域？

王勘老师：可以从客观和主观两个层面来讲。

客观层面来说，一是国家网络空间建设，在未来的战场，网络空间是主场。虽然在过去的几十年发展过程中，企业的安全以及关键信息基础设施保护是个薄弱点，但在未来将是主流建设。2017年出台了《网络安全法》，今年《数据安全法》也正式出台，立法越完善，各个行业的各个细分领域也会随之完善自己的合规体系。

二是，数字化转型会是未来主流的方向。对那些经过几十年发展的传统企业来讲，数字化转型必然是其未来发展浪潮中绕不开的话题。但是企业数字化转型带来的第一个问题不是营收和发展，而是企业业务的熵增，那随之而来的就是信息安全问题。信息安全，有人将其理解为网络安全、数据安全、系统安全等技术概念，我更愿意把它理解为“企业业务流中天然产生的自然属性”，安全是为业务服务的，是业务的属性之一，企业信息安全建设应与业务发展保持一致。

另外，由数字化转型引申到智慧城市的建设可以发现，未来的民计民生与关键信息基础设施是息息相关的，未来的交通、轨道、能源、金融等也会与数字化领域息息相关。而数字化带来的智慧城市的建设，与信息安全也是息息相关的。所以，未来在这些领域会有较大的信息安全热点出现。

当然， 对于数字化能力不足的企业，建议在数字化能力建设初期就将信息安全的规划纳入其中，“安全建设越早介入，对于企业的数字化建设越有利”，这一观点已经被普遍认同。

主观层面，从我自身职责的战略定位来讲，叫企业信息安全成本优化专家。所以，我认为成本优化应该是未来的一个主流趋势。

对企业来讲，成本优化是永恒的议题，所以企业信息安全建设应该是极简的，成本优化的。当成本过于充沛时，企业难免会过于注重细节，而导致无法把握主航道。只有在成本缺失或者正好时，才会深思熟虑，把成本用于企业关键航道的建设。当然这是我个人的一些见解，需要时间来验证。

另一个就是人才。信息安全是一个拥有无限可能的领域，它的人才缺口越来越大，甚至越来越多的企业甲方要求乙方建立自己的专业安全队伍。

从市场经济的角度，需求增大，必将导致更多的优秀人才投身安全行业，这对原有的安全人员也是一个挑战，安全行业是典型的“活到老，学到老”的行业，犹如逆水行舟，不进则退。且从教育的层面来看，国家已经开始重视这一领域的人才培养，在将来会有越来越多的人进入信息安全领域。

啪仔：作为一个在安全领域深耕多年的前辈，您有什么建议给即将进入这个行业的新生力量吗？

王勘老师：

1、抛掉职业规划职业可以不按部就班，在漫长职业生涯中，会有很多变数，不要执着于一个规划，在信息安全这个极端的领域，它还没被开发和完善，进入这个行业是一件荣幸且不会后悔的事情，拥有无限的可能性。

2、充满未知难度与无限可能由于安全领域的极端性，从业人员需要付出巨大的思考与努力，可能需要我们糅合诸如经济学、心理学、社会工程学、管理学等多种学科知识去探索，支撑我们帮助企业解决信息安全问题。

3、作为乙方服务于业务一旦进入这个行业，就要接受作为一个乙方角色服务于业务，不要喧宾夺主，站在乙方角色去思考，去考量业务。

本文分享内容力求站在不同角度和立场来分享一些经验之谈，见仁见智，不求正确统一，希望能给大家一些参考帮助，也欢迎大家加群一起探讨。