隨著整個社會的數字化程度越來越高，信息安全成為備受矚目的話題，企業所面臨的安全威脅和壓力與日俱增。搭建高效的信息安全體系，降低信息安全風險是各大企業密切關注的重要議題。

擁有多年信息安全管理經驗的行業老兵馬金龍（嗎啡），將自身的甲方安全積累凝結成《企業信息安全體系建設之道》一書，全面介紹了完整的企業信息安全體系的各個要素。近日，我們有幸邀請到作者本人，與大家聊一聊從業多年以及寫作背后的心得體會，希望為廣大的安全從業人員帶來一些啟發和參考。

企業安全建設面臨內外部阻礙 但求自身所學為同行提供增益

嗎啡目前就職于新浪公司，從事企業的安全建設工作已經超過15年，回顧一路走來的歷程，其坦言遇到過許多不同的問題和挑戰。

企業以追求利潤和績效為第一目標，因此在大多數公司中，安全作為成本項受重視程度普遍不夠，導致安全團隊在預算、資源和人力方面常常捉襟見肘。此外，在跨部門溝通方面，如安全團隊與開發團隊之間往往缺乏有效的溝通，導致安全措施無法被正確地實施。

除了組織和管理層面的難點，在技術方面，新產品新應用的快速發展源源不斷地引入新生的安全威脅和風險，安全人員如何不斷更新技能和知識，以便能夠有效應對這些挑戰，是每個安全團隊都會面臨的問題。比如，公司希望使用AI機器人招待客戶，需要如何制定安全策略，才能避免“雪佛蘭經銷商1美元賣掉一輛SUV”這樣的事件重演。

每個安全團隊遇到的問題不盡相同，歸根結底是缺少一個開展工作的切入點。隨著《網絡安全法》《數據安全法》《個人信息保護法》以及信息安全及隱私相關法律法規的不斷完善，公安部等級保護、工信部CP年檢以及各部委的執法檢查緊密開展，企業的安全合規工作被前所未有地提升至更重要的層級，這便是開展工作的良好契機。

但羅馬不是一天建成的，企業信息安全體系的建設也一樣，需要有目的、有規劃，循序漸進地進行，是一個持續不斷發展的過程，這成為嗎啡分享自身所學所用想法的起點。他的同行好友，獵豹移動高級總監林鵬（lion_00），也是《互聯網安全建設從0到1》一書的作者，在書籍出版后說道，“不求銷量，只想為信息安全事業留點東西、做些貢獻。”這句話讓嗎啡很是觸動，“如果我把自己所學的企業信息安全體系化建設的知識總結梳理出來，也許能給安全從業人員或有些對企業安全體系建設感興趣的朋友帶來一點啟發和幫助。”于是，這才有了《企業信息安全體系建設之道》一書與大家的見面。

風險和需求日益升級 安全體系建設需與時俱進

嗎啡從事安全工作的這些年，也正是互聯網、云計算、大數據等技術和應用蓬勃發展的時期，企業的IT架構、業務環境和企業面臨的安全風險都發生著翻天覆地的變化，自然地，企業安全體系的建設也在不斷更新。最初，企業安全建設主要集中在防火墻、入侵檢測系統等基礎安全設施上，數字化轉型持續深入，企業開始關注全面的安全，包括威脅情報、云安全、數據安全、移動設備和物聯網安全、零信任、供應鏈安全等各個方面。嗎啡為我們總結了產生明顯變化和提升的幾個風險點和需求點：

威脅情報 - 隨著網絡攻擊的復雜性和頻率增加，企業需要更快速地響應威脅，而威脅情報可以幫助企業實時監測和分析威脅，配合自動化處理自動采取相應的防護措施，大大提高了安全工作的效率。

云安全 - 隨著云計算的普及，上云成為了各企業的首選，云安全也成為企業安全的重要組成部分，企業借助云原生安全保護在云端的數據和應用程序，同時防止外部攻擊者利用漏洞進行攻擊。

移動設備和物聯網的安全 - 隨著移動設備和物聯網的普及，形成了萬物互聯的態勢，企業開始面臨新的安全挑戰，這包括保護移動設備免受攻擊、確保物聯網設備的合規性等，企業也在不斷地制定及更新安全策略，并采取相應的安全措施來應對這些新的威脅。

零信任模型 - 零信任模型對于傳統邊界防護是一種新的安全框架，它強調在任何情況下都不信任外部實體，除非經過驗證和授權。這種模型可以幫助企業更好地保護其網絡和數據，減少內部和外部的威脅。

人工智能和機器學習在安全中的應用 - 人工智能和機器學習技術在安全領域的應用日益廣泛，這些技術可以幫助企業自動識別和預防潛在的威脅，提高安全防御的效率和準確性。

數據安全 - 隨著數據隱私法規的日益嚴格，企業應該制定相應的管理及技術策略措施來確保其數據的安全性和合規性，包括對數據進行加密、匿名化處理，嚴格遵守相關的數據保護法規。

供應鏈安全 - 隨著供應鏈的日益復雜，供應鏈安全成為企業需要關注的重要問題。企業需要確保其供應鏈中的各個環節都符合安全標準，防止供應鏈中的任何環節成為潛在的安全風險。

管理、技術、運營三足鼎立 協同保障安全體系有效運行

技術在不斷發展，新的安全挑戰在不斷出現。為了應對這些挑戰，企業需要不斷更新其安全策略和技術，確保其安全體系能夠適應不斷變化的環境。嗎啡在書中從安全管理、安全技術、安全運營三個部分來講解企業信息安全體系的建設之道，在他看來，這是企業信息安全體系發揮作用缺一不可的三個方面。

安全管理是企業安全體系的基礎，它涉及到制定和執行安全策略、規范和流程，確保員工遵守安全規定，以及進行安全意識和培訓等。安全管理是整個安全體系的核心，它為其他方面提供指導和支持。

安全技術是企業安全體系的重要手段，它通過采用各種技術和工具來保護企業的網絡、系統和數據免受攻擊和威脅。安全技術包括防火墻、入侵檢測系統、加密技術、身份認證等。

安全運營是企業安全體系的重要環節，它涉及到對安全事件進行監控、分析和響應，確保安全策略的有效實施。安全運營需要與安全管理、安全技術緊密配合，共同應對各種安全威脅。

這三個方面是相互關聯、相互支持、互為保障的。安全管理為安全技術和安全運營提供指導；安全技術為安全管理提供技術支持；而安全運營則是安全管理、安全技術的實際應用和執行環節，確保企業安全體系的有效運行。就如同安全防護措施的正確實施需要同時有安全管理手段和安全技術手段一樣，安全管理手段用來指導及監管，安全技術手段用來實施和驗證。兩種手段像人類走路的兩條腿一樣，相輔相成，配合前進。

在過往與諸多業界人士的交流中，許多企業都或多或少存在管理、技術、運營三方建設不到位的情況，因此出現了“策略不落地”“重技術輕管理”“制度技術都有但安全依然做不好”等等問題。想要解決這些困難，需要公司高層的重視，修正并完善安全體系，同時嗎啡表示，實施落地上還需要“人”“技術”“流程”的加持。

人 -確保每個員工都了解并遵守安全規定，通過培訓和宣傳來提高員工的安全意識，增強他們的責任感和積極性。

技術 - 采用先進的安全技術和工具來保護企業的網絡、信息系統和數據，要定期評估和更新這些技術和工具，以應對不斷變化的安全威脅。

流程 - 制定明確的安全策略和流程，確保每個員工都了解并遵守這些規定。

如果暫時還沒有得到高層的重視與支持，嗎啡建議不妨借助外力，比如合規要求、執法檢查等進行推動。

保持應有的關注和謹慎 成為團隊和安全體系的強有力支持

更詳細的方法論、建設步驟和技術細節留給讀者們查閱書籍，說到底，想要這些手段發揮作用，安全人員始終是體系中最核心的支柱和最重要的變量。嗎啡對此表示，安全人員在工作過程中應該具備兩個屬性——“應有的關注”和“應有的謹慎”。

這兩個概念可以簡單理解為是對安全問題的警覺性和對安全措施的審慎態度。前者可以和安全意識相對應，是對安全問題的認識和理解，它包括對潛在威脅的識別、對安全風險的評估以及對安全措施的重視。提升安全意識可以幫助員工更好地理解安全問題，認識到自己的責任和義務，從而更加謹慎地處理信息安全問題。后者可以和安全驗證相對應，是指在采取安全措施之前，通過各種手段和方法來驗證安全措施的有效性和正確性。許多時候，安全人員在采取安全措施時往往忽視了驗證環節，導致安全措施未能充分發揮作用或者根本就是錯誤的，所以安全驗證能力也是提升整體安全性的重要環節。

為了提升員工的安全意識和安全驗證能力，可以采取以下措施：

定期組織和開展多樣式的安全培訓，提高員工對安全問題的認識和理解。培訓內容可以包括最新的安全威脅、常見的攻擊方式以及應對策略等。可以通過內部宣傳、海報、郵件等方式，向員工宣傳信息安全的重要性，提醒員工時刻保持警覺。

定期組織安全演練，讓員工了解如何在真實場景中應對安全威脅。通過模擬攻擊、病毒植入等場景，讓員工了解如何快速識別和應對這些威脅。

制定詳細的安全驗證流程，確保員工在采取安全措施之前進行充分的驗證。對于未通過驗證的安全措施，要進行重新修訂或重新驗證，確保其有效性和正確性。同時，鼓勵員工在發現安全問題或漏洞時及時上報，對于提供有價值信息的員工給予獎勵或表揚。這樣可以激發員工對安全問題的關注，同時也有助于企業及時發現和處理潛在的安全威脅。

承過往有益知識經驗 鑄未來不斷進化的安全道路

最后，談及寫作過程，嗎啡坦言遇到了各種各樣的困難，幾度曾想放棄。最難忘的是有一天，修改文稿瀕臨崩潰，便決定直接將內容拆成幾個系列通過公眾號發布而不再出版。那時，好友胡珀（lake2，資深安全專家）發來了承諾的書序，一股說不出的感動讓嗎啡重新燃起了堅持下去的動力。

不僅是林鵬和胡珀，這本書得到了數十位就職于甲方企業、安全廠商的行業大咖的支持和推薦，其中不乏多位各領域頭部企業的安全負責人，以及安全行業中如雷貫耳的資深老炮。正是這些前輩的經驗沉淀和無私分享，讓更多從業者的道路，可以走得更加堅定坦蕩。正如嗎啡在書中所言，安全人員應該具有自主學習的能力，善于總結經驗與教訓，不斷完善、充實自身知識體系，并學以致用；還應該盡職盡責，有強烈的使命感及責任心。這會給團隊帶來強烈的安全感，為今后業務拓展和監管合規提供強有力的支持，在安全領域成為團隊成員心中堅實的后盾和信心來源。