从甲方视角看乙方商业化安全产品的需求

一、总体策略布局规划

 

二、关于信息安全工作的定位

乙方商业化团队的职责是通过产品和技术能力，向甲方IT部门和安全部门提供服务，赋能甲方业务。

因此，乙方商业化团队应该多多站在甲方的视角进行产品和技术规划，从本质上讲，企业的商业价值是为客户提供服务，业务永远是其根本和主业，IT的价值在于把技术做好，为公司提供先进的、安全的、有市场竞争力的IT平台和工具，服务好客户。因此IT万不可跳脱出来，就着技术论技术，甚至倒逼公司做投入。信息安全作为IT的一个细分领域，也同样必须统一到这个认识上。作为甲方的安全从业人员，必须基于公司的业务、发展阶段和内外部环境，综合统筹制定安全规划和实施路径，帮助企业达成商业目标，与业务的差别仅仅是分工不同、职责不同而已。

同时，对于甲方安全团队来说，他们所面临的信息安全问题包罗万象，涉及技术与管理、研发与测试等全链条，从物理层到应用层，从机器到人都需要纳入到工作范畴里，从体系、规划、架构、管理与技术落地以及运营迭代形成闭环。这是一个复杂的系统工程，需要整体系统性思维，乙方的安全服务和安全产品需要找准真实客户的实际需求，根据自身的供给能力，按照年度计划持续完善自己的产品和服务，不断给甲方创造更多的实际价值。

对乙方来说，有两个点是值得思考的：

• 一是，跳出企业安全的领域，关注到2C、2B、2G的企业生态安全，这也是数字化发展过程中，企业边界的生态环境发展的必然，安全的薄弱环节往往出现在生态领域内，但目前看来，大部分安全厂商关注的仍是企业内部的安全，产品的场景适应性不足
• 二是，安全不要局限在传统的系统，网络，主机，应用的范畴，应改关注数据、业务领域，从技术风险的维度来全面考量企业的网络信息安全风险，这两点与Gartner提出的EASM有异曲同工之妙。

 

三、客户价值交付的两种形态 - 产品/服务

乙方商业化公司对客户交付价值有两种形态：一种是产品形态，一种是服务形态。

服务和产品都是能力和资源的组合。企业所拥有的资产就两部分：一部分是能力，一部分是资源。

• 能力，是管理能力、组织能力、流程能力、知识能力、人员能力。
• 资源，是人力资源、信息资源、数据资源、软硬件资源和资金资源。

把资源和能力组合起来，以新的组合形态（服务或产品）交付出来，就是我们的业务。

云环境下的乙方安全产品，相对于传统安全架构，就是做一件将安全服务软件化、自动化的事。过去，客户信息科技部门主要有两个：一个是数据中心，一个是开发中心。

• 数据中心是把企业的IT基础设施，依赖ITILV3的人工为主的流程化管理，为上层的应用提供IT服务。
• 相关的IT服务管理，就是把计算、存储、网络、安全、数据库、大数据等技术专业的资源、操作、运维，通过人工流程和半自动化的工具组合成一种非软件化、自动化的IT服务形式，交付给上层的应用。

云安全产品属于IT服务管理下面的一个子领域，它的核心任务就是把企业安全的相关工作软件化建模(攻防模型抽象)，依靠一系列的虚拟化、软件化、服务化的云产品/云平台，向用户交付一种软件化、自动化、服务化的云服务。