企业内部安全团队天生弱势

安全是不被大众看见和感知的，只有当人经历了或者正在经历不安全的事故时，才能认可前置安全的价值。但现实不允许我们先让人切身感受真正的不安全是什么样的，以此去建立人对安全的意识和重视，就好比和平年代的老百姓不能感受战争的残忍，就让国家去打个仗给大家示范示范；就好比小孩子不知道河水的危险，家长就直接把小孩扔河里去淹一淹长长记性，这都是不可行的。

正因为如此，在企业内部，信息安全团队的成员们就天生地成为了弱势和缺少话语权的团队。在天下太平的时候，他们没法证明自己的价值，在天降灾害的时候，他们又变成了被问责和背锅的对象。

企业内部安全团队天生弱势，他们忌惮员工的责骂、妥协于业务团队的一切要求、苟且于财务给的可怜预算、防范于老板随时的瞎指挥。为什么我这么了解，因为本人曾经就是甲方信息安全团队的一员。

甲方安全团队唯一能够施展威严的地方，只剩下面对乙方安全厂商的时候。老板心血来潮要汇报的时候，甲方安全找找乙方厂商汇集一下 PPT 材料；行业出了新名词的时候，甲方安全找来各路乙方 POC。这些都是行业每天都在上演的虚假繁荣景象。

作者多年来，身处网络安全行业，在甲方和乙方之间来回横跳，甲乙的心酸、无奈和卑劣（在甲方的时候自己也时常“欺负”乙方，没有采购的计划也去要产品资料，甚至让乙方做 POC，现在想想真是不厚道）都尝了个遍。好处是真实拥有了两方的视角，能同时理解、同情甲方或乙方。

看待人或事物，没有简单的对错，只是角度的转换而已。

同样的企业，不同的 CSO，安全团队获得的尊重和成就完全不一样；互联网公司，不一定比传统企业更加具有包容性，更加追求技术的创新，更加注重办事的效率；同样的行业，愿意承担风险的胆量，也完全不一样。

勇敢者和怯弱者，守城者和破局者的故事，永不过时。

越弱势，越沉默

越沉默，越弱势

一个企业内，最让老板不痛快的是怎样的人？

1、不是只知道埋头干活，而没有突出贡献的老实人，他们能完成确定性强的任务。

2、不是阿谀奉承、溜须拍马的人，他们能快速执行和推动老板想做的事情。

3、不是好大喜功，挑三拣四的小聪明人，他们挑过去的事也一定能拿到结果。

作为老板群体的一员，最让我不痛快的，是那些没有主见、毫无想法和思考、事事向别人要优先级，遇到冲突和反对意见也从不辩解和为自己争取的人。更别提主动向老板去要求支持和表达自己想要做什么了。这部分人，才是对企业危害最为巨大，但又难以被察觉的“沉默群体”。

这部分沉默群体，只会变得越来越弱势，越来越沉默，直到老板觉得合适时机到了，被推出企业的大门。

还在甲方安全时

我得罪过很多人

我的个性强势，坚持原则。即使在甲方，身处天生就弱势的安全团队内，依然如此。因此多年过去，得罪过很多人却赢得了更多人尊重。

要有所作为，或者改变现实，必须强势，强势必不能讨好所有人，越强势得罪的人就越多，好在收获极大。

和同样强势和自我要求甚高的一群人一起，我们在行业内猛吹终端安全一体化之前的多年前，就完成了数十万员工企业内的安全终端整合；第一代大数据安全平台的上线；把 Websense 和赛门铁克踢出企业电脑终端。我们时常聚在一起，感慨现在行业里吹的风，都是我们 10 年前做完的事情，但当时要去完成这些事情，得力排多少非议和质疑，以及团队斗争，还好我们没有表现出弱势和让步，否则稍有妥协都难有这些成就。

国内网安技术落后

弱势 CSO 也有责任

我们现在生活在一个较为割裂的历史阶段，一面是大家叫苦连连，一面是国家在各个行业和领域都在引领世界。两面都是真实的，作为技术人我先关注后者。同时又作为网络安全从业者之一，抛开躲在暗处的挖洞和渗透高手来说，我们在行业产品和技术上，几乎是完全的落后，更别提引领了。

我们一直在追着以色列的屁股看，盯着美国的一笔笔一融资并购艳羡，拿着一个个 Gatner 的名词大做文章，安全甲乙方都是如此。以前我提到过中国网络安全的原因，大部分还是怒乙方不争，但如果站在更高的一个视角，甲方 CSO 们也并不无辜。

甲方 CSO 们对乙方缺乏尊重，老把乙方当做练手和向上级汇报的材料供体，最终导致甲乙双方相互哄骗的格局；另外甲方 CSO 不够大胆，只敢应用被广为接受和理解的安全产品技术，不能给新兴的乙方安全技术提供生长环境。因此在甲乙双方都不作为（不突破新技术、不打造新产品、不做新市场）的前提下，我们国内的网安行业发展，相较于其他行业远远落后，更别谈引领世界！

[2] 数据分类分级，是中国网安集体编织的“皇帝新衣”

[3] 2024 年中国安全市场和产品技术发展的十大观点

[4] 甲方 10 块预算，买断乙方 100 块的产品，换来 5 毛特效，双方都觉得占便宜了

[5] 中国目前还造不出 Okta 这样的产品