论互联网企业信息安全的重要性，你知道多少？

对于绝大多数的企业来说，安全是信息技术建设中薄弱而又很难提高的环节，而这个环节上发生的问题又会深刻地影响到整个企业，在互联网+的进程中，一方面互联网企业越来越多，另一方面由外部环境推动的或自发的安全意识越来越强，对安全建设的需求也越来越多，很多企业都开始招聘安全负责人，不乏年薪上百万元和几百万元的安全负责人职位，但事实是很多公司常年用高薪，都招不到合适的安全负责人，其中的原因有很多，比较客观的一条就是这个行业所培养的有互联网整体安全视角的人实在寥寥无几，而这些人大都不缺高薪，也不缺职位。

早年在乙方安全公司的人经历了给客户从零开始建设安全体系的过程，而后来进入乙方的毕业生，接触客户时大都已经有安全体系，无法体验从0到1的过程并从中学到完整的方法论，很多方法论甚至已“失传”，有些方法论原本就只集中在公司总部的一圈人手里，分支机构除了文档得不到“大象”。

BAT这类企业安全也早已经过安全建设期，后来者分工很细，除了几个早已身居总监职位的老员工之外，大多数人无法得知安全体系的全貌，很多人离开了BAT也说不清自己责任之外的事情该怎么做。二三线互联网企业中，很多团队所持有的安全体系并不完整，也不是业内最佳实践，有些甚至就是救火型团队，更难有体系化的积累。 ·当下的很多乙方安全公司，在互联网大潮的冲击下也面临着转型的挑战，要提供符合时代趋势的解决方案仍需努力。

在社区，目前大家都热衷攻防，而不是企业安全建设。攻击者、乙方、甲方之间仍然存在较大的鸿沟，彼此互相不屑，从社区里也多半只能挖掘到一些单点型的防御手法，即便好学的人订阅了所有的安全站点和微信公众号，恐怕也难以学会企业整体安全建设的方法。 基于以上种种原因，我明显感觉到有一堵墙存在于业界、社区、甲方、乙方、想学习的人和信息的不对称之间，我决定动手推倒这堵墙。

如果从一个很微观的角度切入企业安全这个话题，那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向，所以本章从安全领域整体环境入手，以便于读者找到系统性的那种感觉。尽管笔者没有致力于提供关于企业安全的一个非常完整的“上帝视角”，但也尽可能地兼顾了这方面的需求。

企业安全是什么？我认为它可以概括为：从广义的信息安全或狭义的网络安全出发，根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求为目标，而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。怎么感觉有点咬文嚼字？实际上，这里面的每一个项都会决定你的安全整体方案是什么，哪怕同是中国互联网TOP10中的公司，安全需求也完全不一样。

总体来看，传统企业偏重管理，有人说是“三分技术，七分管理”；而互联网企业偏重技术，我认为前面那个三七开可以倒过来。其实这种说法也是不准确的，到底什么算技术，什么算管理，这些都没有明确的定义。安全领域大部分所谓管理不过是组织技术性的活动而已，充其量叫技术管理。