提前声明，本文无焦虑营销、无卖课、无软文、无广告，单纯聊聊经济下行安全行业的现状，解答某个同学的问题，文章观点仅供参考。

今天在群里看到有师傅在讨论某企业为了降本增效干掉了自己的安全团队负责人，消息来源不可信，但是也能看出来安全行业在企业中的尴尬地位。没问题的时候在老板看来要你何用，出问题的时候同样会觉得要你何用，这都防不住。

干了这么多年安全，老板通常不在乎你的技战法、纵深防御，老板在乎的是在有限的资金支持下，尽可能降低网络安全风险，这就带给甲乙方人员严峻挑战。之前也有同学问过，自己刚入职参与一家甲方安全建设，有什么可以参考的资料没，我想了想，目前权威一点儿的书籍也就是《企业安全建设指南：金融行业安全架构与技术实践》，这本书内容不做解读，各位有空可以从知识星球自行下载电子版观看，也可以购买实体书阅读。

其实我想聊的是，对甲方安全人员来说，你得心里有谱，充分考虑当前现状，也就是现状调研，不能照搬乙方片子，乙方的片子主要是为了推销自家产品，与企业当前现状契合度没有那么高。先为企业把脉，看看在有限的资金支持下，优先来补全自己企业里的短板，没必要一上来就整那些高大上的东西，容易把自己拖垮。评估参考的方向有以下几点：

1、企业规模

不足百人的小公司，也没啥专业的安全团队，通常可能只有一两个运维或者压根没有，如果不是短而精的公司或者大集团的小公司（安全能力靠集团统一管控），重点对公司的网络、服务器进行管控，最好将服务器和办公网络进行划分，对网络进行监控，使用一些如panabit或者其他开源产品，对网络进行准入控制；使用一些如：jumpserver或者闭源堡垒机来控制服务器；如果涉及对外业务，可以部署一些开源或者社区版的waf，没必要裸奔；另外如果怕企业被入侵，可以部署一些蜜罐，不奢求反制，好歹做到被攻击了还能给自己提个醒。对于中大型公司，公司都有统一规划，个人服从公司统一安排就行，盯着自己的OKR，做好自己本职工作就行。

2、企业业务

不同行业其实安全建设的方向是不同的。举个简单的例子，金融行业安全运营的同学侧重在有限的预算下，优先满足监管单位的要求，满足要求下，多花一分钱都是罪过，除非对自己工作或者钱包有利。对于电力行业，虽说也有监管要求，但是保障业务稳定性是第一要义，网络和系统只要能稳定运行，就不会去动，除非你能拍着胸脯对领导说出了问题我负责。另外电力行业的网络尽可能做隔离，对比其他行业(笔者只是调研了发电网络，基于发电网络得出的观点)，网络的承载很低，设备吞吐很弱，但是网络有隔离，相对来说是安全的，做好终端管控，做好网络隔离，减少攻击面，降低整体安全风险。

3、当前安全建设现状

梳理当前企业安全建设都有哪些，重点梳理防护手段，安全人员数量，做到心里有数，判断当前安全建设是否合理，是否有可以迅速提升的建设方向，主要是经济实惠成熟稳定，要不后续乙方离场，留下一地鸡毛。另外不少建设方向是需要投入安全人员进行运营的，得考虑当前安全人员的数量及是否能满足运营能力。

4、安全预算

安全预算是很重要的，预算的多少，决定你当年或者明年的重点工作方向，举个简单的例子，预算充足，那就可以着重在保障公司的业务的上进行投入，在公司的短板上进行补齐。一定要清楚，设备是要钱的，乙方也是要钱的，如果没钱乙方销售可能连跟烟都不舍得招呼你，另外安装社区版或者开源平台的服务器也是要花钱的。以前在为企业规划SDL体系建设的时候，在调研的时候通常和安全团队聊的都是是否可以得到企业高层的支持，如果没有，对于哪些安全团队可能会和其他团队产生冲突的制度规范就得慎重制定。

当前安全行业存在极端行径，工作内容复杂，行业不被理解，工作容易背锅等等情况，个人是无法改变当前现状的。笔者也是一个普通人，智商垫底，普通家庭，普通学校背景，普通工作背景，没有满满一页CVE编号PPT，也没有大佬悉心教导，这么多年也一点一滴走过来的。对于那些刚入行的同学，网安肯定不是一条康庄大道，但是山就在那里，如果决定前行，那就努力踏出一条路，相信未来也会有不一样的收获。