数据安全的边界与产业竞争的红海蓝海

一、引言

最近关于数据安全为什么效果不好以及如何从业务安全的角度看数据安全发了一系列文章。但也仅从企业安全的边界一个维度进行论述为什么数据安全既需要关注系统安全也需要关注业务安全。

而从企业安全产业的目标和产业发展来看，目前企业安全的需求、解决方案的产品和服务产业格局如何，为什么企业需求与产业解决方案存在巨大的鸿沟，仍需要辨析与阐述。

合规驱动，风险驱动作为安全的目标和驱动要素的辨析多次提及，网络安全与数字安全在时间维度的发展和沿袭变化也数次论述，安全运营实现安全控制策略能力建设基础上的持续改进和实时调整和优化，支持企业风险的动态管控也是我提倡动态、实时安全的主要观点输出。因此，本文试图总结出一个框架，从五个维度论述数字化时代网络安全的全景，希望给网络安全产业在数字化时代的竞争指出一个蓝海战略。当然，从自私的角度而言，也是希望产业提供更多适配的产品和服务以解决企业面对的数字化网络安全主动防御压力。

二、分析框架

1、企业安全需求

企业在信息化时代关注的的是系统安全，是信息系统的异常带来的安全风险，脆弱性围绕着信息系统，外部威胁的攻击目标也是信息系统，系统以及数据的完整性、可用性，数据的机密性（CIA）构成网络安全保障的目标。

数字化时代伴随作业和业务的信息化，除了信息化时代的企业安全目标，需要关注作业过程和业务过程的可用性、完整性和机密性。除了关注黑客和APT对信息系统的威胁，需要加强关注黑灰产和恶意员工利用作业和业务流程的脆弱性威胁业务。

遗憾的是，企业在作业流程和业务流程的规范化、标准化、数字化差异巨大。这一方面在于脱离传统技术驱动的网络安全范畴，一方面在于业务和作业数字化受制于业务商业模式的核心竞争力和业务逻辑数字化能力。因此，对业务安全的风险分析形成的企业安全需求认知和关注普遍不足。

当然，并不是说系统安全不涉及业务安全保障的范畴，从图中我们可以看到，系统安全虽然重在系统，但方案也会覆盖业务安全的部分内容。同理，业务安全自然也会覆盖系统安全的需求，提升系统安全的防御能力。

2、企业安全的产业解决方案

如果说系统安全与业务安全定义的是安全的需求，那么能力建设和安全运营则是企业安全的解决方案。信息化时代注重安全能力建设，通过安全产品的部署实现安全风险的控制措施落实，信息化时代企业安全的边界和节奏，注定安全能力建设是安全的防御核心。而伴随着数字化时代的极速发展，企业的边界不断突破，变化的节奏日益频繁，灵活调整的安全策略日益重要，安全运营所实现的动态安全策略的优化调整，实时的预警，分析，应急处置和报告，成为安全工作的重心。安全运营的重要性与安全能力建设的重要性日益趋同。

同理，安全能力建设并不是完全忽略了安全运营。作为安全运营服务的一部分，无论是漏洞管理，攻防能力，检查和审计服务都是自网络安全信息化时代起就成为安全能力建设的一部分。只不过检查、监控、预警、审计、分析、溯源、响应、报告等一系列实时、动态的安全运营机制在网络安全数字化转型中地位日益重要，范围更为广泛。与此同时，安全运营能力的指标定义，数据获取，以及分析，响应，自动化管控同样对安全能力建设提出更多、更高的要求。所以，安全能力建设与安全运营服务是你中有我，我中有你的互相促进的关系和作用。

从产业链的角度来看，产业中把企业网络安全需要的能力定义为产品，把企业网络安全需要的服务和运营定义为服务，从而形成不同的品类和厂商，围绕着企业网络安全防御需求，形成产业架构。

3、分析框架

如果以纵轴代表企业的安全需求，横轴代表企业的安全解决方案，我们可以把前面讨论的系统安全、业务安全、安全产品、安全服务画出4个圆圈，这四个圆圈彼此交叉，形成了一个维恩图，可以代表网络安全需求和产业在数字化时代的现状，维恩图交叉部分需求和解决方案匹配良好的区域，也是竞争比较激烈的红海区域。

而交叉边界的底线可以看作是合规的底线需求，如果我们说安全合规，本质上是从需求、解决方案的角度看到企业的底线需求。所以合规的中心是我们列出的横轴与纵轴的交叉点，而合规的边界往往是需求和解决方案的园圈的中心点。

所以这也是为什么安全不能以合规驱动为终点，合规驱动只是免责的起点，并不能对企业核心竞争力密切相关的安全风险提供全面支持。涉及到企业间的差异，合规只能提出不能逾越的最大公约数的底线和红线，而不能不考虑差异性和成本对全量风险进行规制，需要尊重企业风险接受程度的风险决策自由度。

数字化时代企业安全的边界有两个因素制约，一是企业的风险接受度和安全策略投入成本制约，一是产业的产品和服务的解决方案的能力和投入产出比的盈利需求制约。因此以四个园圈的外部切线为边界组成的矩形可以理解为网络安全的边界，也即途中的虚线矩形。

矩形中四个圆圈未覆盖的部分虽然在边界内，但形成市场需要突变的因素介入，毕竟目前来看既无市场需求，又无解决方案覆盖，属于未知区域。但在四个圆圈中交集之外存在空白的区域，则是要么有企业安全的需求缺乏相应的解决方案，要么是具备了解决方案的能力，但企业尚未意识到或从风险接受度角度已经接受了的风险。而这些区域尚属未充分开发的市场，是可以通过创新开疆拓土的蓝海市场。

三、边界与蓝海战略

1、企业安全需求的拓展

企业安全的需求和解决方案的现状存在认知和实践上的鸿沟，这体现在从风险的角度并未明确企业安全风险的边界。业务安全的系统边界是产品和服务解决方案的交叉点，中心是合规的系统边界，在业务的边界层面上来看，超出产业能力的范围有限，本质上受制于系统安全的产业链解决方案供应能力。

首先需要突破认知，提升业务安全的风险识别与分析能力，需要把业务安全的边界提升到合规的系统边界，园的中心与合规的中心重叠。上层的切线边界应该作为业务安全的需求边界，也是需求和解决方案需要考虑的范围。

2、企业安全的蓝海市场在哪里

为什么大家感觉到网络安全市场的过度竞争导致的产业发展受到制约，这是因为现状偏离了理想的状况，是产业的中心围绕着系统安全展开，产品和服务围绕着系统安全领域进行创新发展，覆盖了系统安全更多的空白区域，不止产品和服务达到了能力建设与策略运营的边界，而且在系统安全的解决方案上达到了边界。换句话说，产业制造了更多企业并没有真实需求的系统安全产品与服务。

理想状况下，合规是企业安全最小需求，产业产品和服务至少要全部满足企业安全的合规需求，但由于产业的重心偏离的原因，竟然出现产业的产品和服务竟然难以满足企业业务安全的合规需求的情况，这是需要重点注意的关键领域。

产业发展的重心是需要把以系统合规的系统边界切线为中线改变为以合规中心的横轴为中线，实现从系统安全到业务安全的全面过度，方能实现对企业安全合规需求的全面覆盖，并以此为基础扩大业务安全需求解决方案的产品与服务供应能力。

四、建议

综上所述，企业安全从需求的角度而言，需要关注作业流程和业务流程数字化相关的业务安全风险。企业从认知上需要突破企业安全局限于系统安全的需求，突破企业安全认知的边界，完善企业安全需求。产业则更应该从企业安全的真实需求出发，关注业务安全带来的企业安全蓝海市场，面对困难，通过创新拓展，形成新的安全产品和服务，为企业业务安全提供全面的解决方案。从而摆脱红海竞争的困境，实现产业发展的飞跃。

声明：本文来自IT的阿土，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。