1.7 企业的安全生态

安全的问题越来越宏大，涉及的主体越来越多，主体之间的关系纷繁复杂却又不都是那么直观，这种情况和我们生存所依赖的自然生态环境的概念有些相似。因此，本书尝试提出“企业的安全生态”（Enterprise Cybersecurity Ecology, ECE）概念来理解企业网络安全工作的内在规律并寻求可行之路。

此处的“企业的安全生态”，主要指企业的网络安全生态。这里，使用“生态”一词，是一个借用，或者说是一种比喻。如果把企业看成一个世界（一定的时空范围），企业中的各个部门或专业条线以及员工就是这个世界中的生物群落或有机体，这样就相当于构成了一个生态系统（或生态圈）。具体到企业的网络安全工作场景，就可以称其为企业的网络安全生态或企业的安全生态（以下简称为“安全生态”）。

对安全生态的理解可以有不同方法，大致来说可以有两种：一种是“系统论”，侧重对安全生态结构和运行机制的理解，而将安全生态看作是一个生态“系统”；另一种是“环境论”，侧重对安全生态的环境效应的理解，而将安全生态看作是一个生态“环境”。环境效应是指，企业的运作（经营）效果与自身开展安全工作本身对外输出的影响和企业因网络安全原因受外界的影响之间的关联作用。

（1）“系统论”的观点

一般来说，构成一种生态需要三种要素，即生态主体、生态环境和生态调节。从功能上说，生态主体可分为生产者（加工者）、消费者以及分解者等几类不同的基本角色。生态环境是指生态主体共同生存和生活的一定的时空范围以及所包含的供生态主体所需的物质、能量和信息。生态调节泛指某些机制或规律，决定着生态主体在生态环境中的行为或活动，如自我调节、（负）反馈调节机制等。此外，一个生态系统还存在代谢机制，可以分为单向流动机制、简单循环机制和完全循环机制。具备完全循环机制的生态系统是代谢封闭系统，可持续运转。仅有单向流动或简单循环机制的生态系统是代谢开放系统，不可持续运转。生态系统中，不同生态主体或生态群落之间都遵循一种“位置原则”，彼此竞争又相互合作，使得生态系统整体具有达到某种动态的稳定状态的趋势，体现出一定“弹性”，能够自身维持内部平衡。这种“位置原则”又可被称为“生态位法则”，是指生态系统中的主体都拥有自己的角色和地位，在生态系统中占据一定的空间和资源并发挥一定的功能，即有价值，或者值得存在。

参考这种“系统论”的观点，企业的安全生态应当可以是一种生态系统，是一种开放的复杂巨系统。

定义6 企业的安全生态（系统）是指在企业在其运作的范围和时间内，内部各部门或专业条线及员工，为了企业自身网络安全的目的，通过彼此间的相互配合与影响而形成的相互依赖的动态平衡（系统）。

其中，企业的各个部门或专业条线以及企业的员工构成企业的安全生态系统的主体；企业及来自企业内、外部的“业务需求”“安全需求”“监管要求”等安全专业资源以及企业的“人”“财”“物”“时间”等基础性资源构成安全生态系统的生态环境；安全事件处置、挑战应答机制或应力机制等构成安全生态系统的生态调节。主体之间遵从“位置原则”，为了企业整体的利益和各自的利益而彼此竞争又相互配合。

定义7 挑战应答机制（或应力机制）是指企业由于外因（竞争、监管、破坏）作用而面临危机时，企业管理者和企业内部各部门或员工之间产生相互协作，以抵抗这种外因的作用并试图使企业从危机状态过渡到没有危机的状态。

挑战应答机制可以是人为设定的机制，也可以是自发形成的机制。例如，通过设置专职的安全部门来应对安全挑战，就是一种人为设定的机制；员工在日常的工作中主动检举揭发来源不明的软件或恶意程序等，就是一种自发形成的机制。

（2）“环境论”的观点

如果从更加宏观的角度来看，企业是处在更大、更宏观的生态系统之中，行业、社会等都可以是生态系统，网络空间安全本身也可以是一种生态系统。根据“位置原则”，企业所在的（竞争）位置和所面临的竞争关系，就更加显性地体现在其所处的更为宏观的生态系统的“生态环境”之中。同样，对于立足于企业的安全部门来说，也处在企业的安全生态系统之中，安全部门或专业相对于其依托的周边“环境”表现有一定的独立性。这些“环境”包括文化环境、制度环境、组织环境等。

“环境论”的观点更加关注企业的安全生态所处在的一系列内、外部环境以及企业竞争过程中受“位置原则”支配的问题。

本书认为，上述对企业的安全生态的两种理解并不是本质上对立的两种观点，它们只是立足点和关注角度不同，倾向于融合上述两种观点。事实上，安全生态理论还在快速发展之中，在合理性论证、必要性论证、必然性论证以及方法论的研究和实践等诸多方面还面临诸多挑战，其本身还有待进一步完善。

1.7.1 企业的安全环境

企业的安全环境包括内部安全环境和外部安全环境，和企业的安全生态环境存在交集但内涵又不完全一样。企业的内部安全环境基本上就是企业的安全生态环境，而其形成和存在，在很大程度上是由企业的外部安全环境来推动和决定。

1.内部安全环境

定义8 企业的内部安全环境，是指存在于企业内部的有利于保障企业实现自身利益目标的各种物质的或非物质的因素的总和。

“物质的因素”可以简单理解为日常办公或开展工作所需的物质基础，如工作场所、工具、能源等。“非物质的因素”是指组织机构、工作流程，以及管理者和普通员工的关于网络安全的基本价值观、企业文化、工作氛围等。这里，“环境”的概念是指相对于“人”（员工）本身而言的各种存在，它反映的是企业安全范畴内所拥有的客观物质条件、所处在的工作状况和所具备的实际工作能力，是企业保持自身安全的内在基础。

组织机构主要是指企业的安全管理部门与其他部门之间在人员组织、职责划分、任务衔接等方面的相互关系的具体形式。一个企业的组织机构中，网络安全部门的位置，直观反映了企业最高管理者对网络安全的认识水平和对网络安全工作的重视程度，能在很大程度上表征该企业网络安全水平的高低。甚至可以说，企业的组织结构是决定企业内部安全环境的直接原因。组织机构和工作流程是相互匹配的一对“搭档”，有“足够的合适的人”才能“做成该做的事”。

企业文化，或可称为文化氛围，主要是指企业的所有员工所共同拥有的一个思想观念和管理风貌，包括价值标准、生存哲学、思想教育、行为准则、礼仪典礼、企业形象等。企业文化中关于网络安全部分的内容，是构成内部安全环境的重要组成部分，可以被称为企业的“安全文化”。当代企业在自己的企业文化中建设、容纳、提升自己的安全文化，会调动员工（不仅是专职网络安全工作的员工）从事安全工作的积极性和创造力，提升企业的凝聚力，有利于强化员工对企业的归属感和认同感，促进自发应力机制的形成和强化。同时，企业的员工还会向外部辐射这种情感从而能够美化企业的外在形象并提升企业合法性。此处所说的“企业合法性”泛指企业在具有特定的价值观或社会规范的体系（如网络空间）内开展运营活动或施行的行为，被广泛地认为具有恰当性和正当性。

企业（安全）文化是形成内部安全环境过程中指向“人心”的根本性的因素。它是那部分“软性”的约束力量，是企业制定战略与成功实施战略的重要条件和手段。如果在企业文化中，从传统上就漠视网络安全或者根本就不存在企业的安全文化，那么，内部安全环境将会失去“土壤”。

内部安全环境的“好”与“不好”，对企业的安全生态具有重要意义。好的内部环境中，各部门会形成网络安全工作的合力，在合力的作用下，网络安全工作会屡创佳绩，内部环境会持续向好，这会形成一个理想的良性循环和持续自我优化的过程。相反，一个不好的内部环境中，各部门对网络安全工作推诿扯皮、互相掣肘，会严重销蚀企业的活力，造成人浮于事或者各自为政的局面。在缺乏合力与向心力的情况下，网络安全工作将举步维艰，为企业的正常运营和可持续发展留下隐患。进而，企业会在内外部压力的作用下问题频出，还很可能会形成恶性循环。内部安全环境的恶化，最终会导致企业安全生态的分崩离析。

2.外部安全环境

企业，无论其规模的大小，都处在一种外部安全环境之中。这种外部安全环境通常由5个方面的因素构成。

（1）客户因素

这可能是构成企业外部安全环境的核心因素。任何一个企业都不会对自家客户（或服务对象）的需求置若罔闻，自然对客户的安全需求也不会例外。客户对安全的需求可能并不会非常明显，或者并不会非常迫切，这是客户根据自身对外界环境的感知和对自我价值的判断来决定的。但是，这并不能成为企业不重视客户安全的理由。对企业的选择权在客户而不在企业自己，毕竟，市场对资源的配置会起决定性作用。企业的客户对自身所使用的产品或服务的安全需求或所需要达到的安全目的，对企业的生存和发展构成重要影响，是构成企业的外部安全环境的重要组成部分。

（2）监管因素

监管因素即合规性要求或合法性要求，是社会对企业的硬性要求。同时，企业所处行业，或企业的同行们之间，对彼此的约束和共处，也构成了客观上的对彼此的监管因素。监管因素的存在不以企业的意志为转移，是来自强制力或企业不可抗力的因素，是构成企业外部安全环境的重要组成部分。

（3）供应链因素

供应链因素侧重于陈述一个事实，即没有哪个企业可以从头到尾完全地依赖自身的能力而存在于“市”或“世”。几乎每个企业都会购买或使用来自企业外部的软件、硬件或服务。几乎每个企业都需要依赖上游的供应和下游的消费，来完成自身的业务。不同的企业在这样的社会分工和协作中，成为“链条”的一环或一段。事实上，单从这个角度来说，应该就能直观地理解现代企业都是处在一种“环境”之中。甚至，成功的企业还能在一定程度上塑造环境并从涵养环境的过程中获得巨大的收益。特别是，在网络空间的环境下，越来越多的企业会使用云服务，或将自身的一些服务需求社会化，通过购买专业服务的方式来降低自身的成本，这就不可避免地将自身原本封闭的运营环境进行了外化，从而不得不在运营过程中需要考虑到外部的环境因素。从另一个角度来说，每个企业都会被它的上、下游企业要求在安全方面要达标或合规并证明它自身的安全性，以便这些上、下游企业能够最终向它们的客户保证或追溯自身的安全性。有关供应链因素的内容，也可以被归入第三方安全风险管理的范畴。

（4）竞争对手因素

这其实是一种在竞争中此消彼长的过程所带来的影响。只要企业有同行进行竞争，就无法回避这个因素。从经济的角度来看，性价比更优的企业总是占有优势，同时，为了巩固并扩大自己的优势，一定会通过设置行业门槛（或称为“确立标准”）的方法为竞争对手或潜在的竞争者“制造麻烦”。安全，即是这种门槛的重要组成内容，是竞争过程中，领先者的技术优势的主要表现领域，也是领先者发挥优势超越对手的先锋领域。还存在另外一种情况，就是某种形式的“行业同盟”的存在，形成“寡头”“垄断”可能会抵消部分竞争因素，即以“卖方市场”的方式牺牲客户对自身安全利益的诉求。这种情况下虽然在某个行业中能够形成小气候，但是无论是哪个“同盟”企业，终究都不能脱离社会（网络空间）而单独存在，还要在更大的环境中面临竞争。

这个话题还涉及一些生态系统中生态主体多样性的问题，此处不多讨论，留待后续。本书持略微保守一些的观点，倾向于将竞争对手因素也作为企业外部安全环境的一部分加以识别和考虑。

（5）恶意势力因素

恶意势力因素主要包括互联网黑色产业、敌对破坏势力等。互联网黑色产业（简称“黑产”，例如职业“薅羊毛”的“羊毛党”），在一些企业的管理者看来，可能还仅仅是一种“寄生”在企业某种业务之上的“癣疥之疾”，虽然会造成一些损失，但通过媒体的放大也不啻为一种有效的话题营销，可能最终并不是什么坏事。但是，凡事有度，姑且不论那些因为自身能力问题被“薅羊毛”的企业所付出的资金成本和机会成本，单就那些心存侥幸容忍“薅羊毛”的企业来说，“羊毛党”们有组织、有规模、有分工地来企业“挖矿”，绝对不会是来当“活雷锋”，他们的背后一定都有自己的利益目的。事实上，“黑产”绝不仅仅是“薅羊毛”这么温柔，在利益的驱使下，他们会走得更远——不仅仅是对一个企业进行破坏——还会给一定范围内的互联网用户（或网络空间的人类角色）都造成损失，如遂行诈骗、控制（引导）舆论等。“黑产”的方法可以被敌对破坏势力用来作为工具，而敌对破坏势力难免也会收编一定的“黑产”作为外围，不一而足。“黑产”可能和敌对破坏势力并没有什么技术上的严格界限，都是企业在一定条件下所不得不面对的破坏者，是不可回避的外部安全环境的一部分。

以上5个因素并不是完全独立的发挥作用，很多情况下是作为整体来影响企业，在企业边界之外形成企业必须面对的安全环境。

外部安全环境的严苛与否，对企业的安全生态具有关键意义。严苛的外部安全环境一定会催化企业安全生态的形成和进化。反之，友好的外部安全环境会在很大程度上延缓甚至是限制企业安全生态的发展。事实上，如果没有来自网络空间这种特殊时间—空间之内的威胁，安全可能也就不会成为一个问题——至少不会是一个很大的问题——企业的安全生态就是因应这种人为挑战而出现和存在的。和内部安全环境的恶化会最终导致安全生态的分崩离析不同，外部安全环境的恶化，反而会刺激企业安全生态的茁壮成长。

3.内外安全环境之间的关系

企业无法左右自身所处的外部安全环境。对企业而言，为了生存和有效应对这种来自外部安全环境的挑战，更现实的做法应该是想办法去适应这种环境，为应对外部压力而不断地调整自身内部的环境，聚集生态，就像自然界之中的生物演化那样。最终，足够强的企业，还可以被自身安全生态所使能，甚至可以获得改造自身外部安全环境的能力。

一方面，外部安全环境的压力可以在很大程度上塑造或驱动企业内部安全环境中的非物质因素。企业出于自身需要，必须首先要能够足够准确地感受到这些压力，进而对压力做出最恰当的反应，最后通过企业的运营和服务过程，理想情况下会以负反馈的方式输出到外部环境之中，以试图减轻企业面临的压力或使企业走出危机。这就要求，企业的内部组织机构、工作流程、安全文化、工作氛围等都需要具有一定的功能效果——出于企业可对外部安全环境输入的压力做出最恰当的反应的需要。

这其实是一种“环境选择”的观点。在这种“选择”过程之初，企业的管理者并不知道什么反应才是“恰当”的，恰恰是经过付出代价的“试错”之后，最终留下来的，才是“恰当”的。可以用一个中国的成语“亡羊补牢”来形容这种过程。这说明，企业内部安全环境的形成，可以是对外部环境的一种适应。即企业内外安全环境之间的关系中，外部安全环境通常处于主导位置。

另一方面，由于企业的内部安全环境可以通过自身的运营和服务过程向外部环境（当然，也包括对外部安全环境）施加反馈作用，所以，在企业内外安全环境之间的关系中，内部安全环境也并非只能处于从属位置，两者之间也可此消彼长，存在一定的相互制约的可能。这应当是一种动态平衡，也可以说是内部安全环境对外部安全环境的特异性选择。应当注意到，企业的外部安全环境并不总是一成不变，或者说，企业的外部安全环境存在不稳定性。

这种不稳定性，一是由于其自身也处在更宏大范围的生态系统之中而可能受到其中的应力机制的影响所导致；二是由于企业的内部安全环境的改善可以反过来对外部安全环境施加影响所导致，这种影响也可以被称为“博弈机制”。

例如，为了应对“羊毛党”时不时来“薅”企业“羊毛”的这种来自企业外部安全环境的压力，某企业甲选择了招募专门的业务安全团队进行对抗的策略，形成了安全部门与业务部门根据营销任务随时组建联合任务团队的内部安全环境。在形成这种内部安全环境之后，甲企业的大型线上营销活动都会事先经过审慎的安全评估并在活动期间设有专门的实时监控进行全程保障。并且，甲企业的安全部门和监管机构、执法力量日常保持着良好、密切的工作联系。这种情况下，“羊毛党”对甲企业展开行动的成本被大幅提高，以至于最终不得不放弃对甲企业展开行动而是将“黑手”伸向了内部安全环境远差于甲企业的乙企业（甲的同行竞争对手）。在这个例子中，甲企业的内部安全环境在与“羊毛党”的博弈过程中，暂时居于上风，从而加剧了甲企业外部安全环境的不稳定并最终在客观上恶化了竞争对手乙企业的外部安全环境，即企业内外安全环境之间的关系中，内部安全环境对外部安全环境具有一定的选择作用。

企业的内外安全环境之间有直接或间接的联系，不宜将两者孤立地看待。本书在此仅简单地做出一些定性描述。更多细节，例如，基于定量方法给出一些关系模型的内容，有待后续补充完善。

1.7.2 企业的安全赋能

网络空间条件下，企业涵养自身的安全生态，不仅是一种明智之举，更可能是一种无奈的被动之举。良好的安全生态将会发挥出巨大的结构性作用，会为企业的持久发展赋予能力和能量，是企业建立安全生态所得到的红利。可将这种作用过程称为“安全赋能”。

能够获得安全赋能的前提，是企业已经建立安全生态，表现在三个方面：①建立了基本恰当的安全组织；②建立了覆盖企业全体的安全文化；③具备了必要的网络安全技术手段条件。

定义9 安全赋能，是指企业通过自身的网络安全生态，使其利益相关方去获得或发展安全感（或安全保障）。

其中，“利益相关方”不仅仅是指企业的客户、合作伙伴、监管机构等企业“外部”的群体（或角色），更重要的，还包括普通员工、管理者、领导者、所有者等这些企业“内部”的群体（或角色）。

也可以将企业作为整体来看，则安全赋能就是企业的一种“自我赋能”，是直面网络安全挑战的自力图强。自我赋能也包括企业的内部群体（角色）作为安全生态的一部分而对自己赋能，这是因为自我赋能的过程就是自我提升的过程，赋能过程的“受体”（相对地，安全生态就是赋能过程的“供体”）可以首先是自己，其次，可以外化、复制、传播到更宏大的框架范围内。自我赋能和给他人赋能，在本质上并没有太多不同之处。

从另外一个角度来说，安全赋能可以被视为是一种“同化”行为。企业通过这种同化行为可以获得更加丰富的生态环境，可以构建并维持生态主体的多样性，从而更有利于自身安全生态的稳定。最终，企业通过安全赋能还可获得改造自身外部安全环境的能力。

安全赋能包括两个层面的含义，一是能力层面，二是能量层面。能量层面的“能量”，主要是指心理学意义上的能量，是指与企业利益相关方的人员的心理能量。

本书假设两个层面的含义之间并没有先后顺序或递进的关系，暂不对不同层面之间的关系进行阐述，仅就其大致含义进行说明。

1.“能力层面”

“能力”的内涵会因为其主体的身份或角色的不同而不同。对企业“内部”角色而言，“能力”包括完成工作所需的专业技术能力、管理能力和职业化能力（自主学习能力、执行能力、沟通能力）等。对于企业“外部”角色而言，“能力”包括达成自身目的的能力、选择的能力等。这当中也包含由经验而凝结的技巧。

从能力层面来看，安全赋能是企业安全生态对企业内外的相关主体（利益相关方）赋予了必要的网络安全经验（知识）和网络安全保障技能。也可以更宏观地来理解，安全赋能使企业利益相关方被赋予了获得安全感的能力。即，企业内外的相关主体获得了并可发展出能够正确认识网络安全问题，能够对自己或弱者进行一定程度的网络安全保护的能力。

在这一层面，安全赋能所赋之“能”的来源是企业独有的网络安全知识（体系）。这个网络安全知识（体系）包括一切可以接触到的通用的网络安全知识（如学校里学来的、培训机构里学来的等），还包括本企业独有的网络安全知识（由企业运作过程中积累的经验，经过萃取和提炼，沉淀形成）。当然，形成这种独有的网络安全知识（体系）的前提是网络安全成为企业运作过程中获得正式认可和广泛接受的技能和专业，能够在企业的运作过程中发挥作用。

此外，安全赋能的方式，在能力层面大致会是一种类似“言传身教”的模式，即赋能过程的受体，通过跟随学习赋能过程的供体所展现或提供的示范而获得能力。通常，宜宏观地将安全生态整体认为是赋能过程的供体，而不宜微观地将安全生态中的某个主体认为是赋能过程的供体。

例如，某范围内的大型企业的安全部门配合客户服务部门除了与客户进行常规的业务（即企业运作目的所涉及的服务）接触以外，还对客户输出业务相关的网络安全技术和安全保障标准，免费指导客户参照安全保障标准建设自身的生态系统、为客户提供技术指导、参与客户的安全保障过程管理等。这就是一种企业对客户进行安全赋能的形式。受到赋能的客户，自然延展了该企业的安全生态。安全赋能在整体上有助于为该企业形成更加友好的运作环境。

2.“能量层面”

此处所说的“能量”，大致是指一种能够对人的心理产生积极影响的力量，能使人的行为、态度、行动更具有建设性。这种建设性表现为，人在遇到挑战或困难时，能够保持开放、温和、认真、冷静的态度并最终寻找到可以战胜挑战或克服困难的方法。这种心理层面的能量是非物质的，不可见但真实存在，不仅难于用语言描述，而且甚至还不愿被人们提及。因为，人们通常会拒绝谈论那些无法用具体的或具有可操作性的术语来表达的任何内容。

从能量层面来看，安全赋能就是企业安全生态在心理层面使得企业内外的相关主体（利益相关方）因为获得了可靠的网络安全保障而得到信心，并且得到合法性方面的归属感（从众心理）。信心，是一种富有影响力的能量。利益相关方对安全的信心只能来源于可靠的技术和有效的管控。当人们对企业的运作过程充满信心之时，会更倾向于采取建设性的行动，倾向于与企业合作并保持相互利益的一致。这对企业而言，至关重要。企业的安全生态正是因为能够结构性地产生可预期的安全结果，而能够传递出巨大的安全信心，即会使这些利益相关方感到安全。这种信心的传递，无论是对企业的员工而言，还是对企业的客户和合作伙伴而言都尤为重要。毕竟，在大多数情况下，在激烈的竞争当中，焦虑远比信心更容易被获得并且更容易被传播。

从这个角度说，安全赋能就是让这些利益相关方能够获得并保持信心，积极参与或主动协同，为企业发展谋得利益和最优效果。这其实是一种“共赢”，在1.7.3节还会提到。

在这一层面，安全赋能可以有两个不同的方式。一是对企业“内部”角色而言，企业可以通过自身安全生态系统的细粒度划分，将日常工作领域内所面临的网络安全挑战封装为微观的“小安全生态”，授予他们明确的权和利，使他们有足够的意愿、资源和自由度来经营自己的“小安全生态”。这会使他们在自己的领域内最大限度发挥自身的安全潜能，用他们对网络安全工作的参与感、成就感来树立他们对企业整体网络安全的信心。二是对于企业“外部”角色而言，企业的安全生态就是一个为他们自己提供安全保障的场景，是一个透明、互动的平台，服务过程的安全信息可以高效快速流转，一切关注点都按需可见。甚至还可以通过企业的安全生态聚合更大范围内的资源为己所用。这种对网络安全的明确界定的相互期望，可以树立他们对企业的信心，使企业对他们进行安全赋能。

3.其他几个问题

在本节的结尾，还需要再简单提及三个相关问题。

第一，“赋能”这个词有可能存在转译陷阱问题。按照中文习惯，“赋”和“能”通常是作为两个词使用，而罕见“赋能”的用法。例如，在《新华字典》的解释中不存在“赋能”这个词条。而近二三年来这个词却频频出现在各种媒体之上，大有时髦之感。本书似乎也未能免俗，提出了“安全赋能”的概念，或许是被耳濡目染所致？根据公开资料，在媒体上大行其道的“赋能”大致是来源于Team of Teams一书的中文译本书名，而后“赋能”一词开始在中文环境中流行开来。先是出现在一些商业精英著作资料中的“管理赋能”“组织赋能”，而后出现在一些政策文件中的“产业赋能”“5G赋能”，最后泛化在各种场合有关创新的话题之中。“赋能”一词的英文对照词是Empower或Empowerment，通常的直译是“使……有能力”或引申为“授权”。因此推测，“赋能”是首译者采用意译法的结果。对于“赋能”的理解，可以是“激活、唤醒内在的某种东西，使能够”的意思，或者是“使某事成为可能或可行”的意思，还可以是字面的“给予能力、给予能量”的意思。

第二，作为对照，简单讨论一下企业的“安全使能”问题。“使能”和“赋能”两词的含义十分接近，“安全赋能”与“安全使能”的不同，主要体现在原则上的不同。“安全赋能”强调以人为本，重在调动人的内在积极性主动去寻求安全，是安全生态可持续发展的一种体现；而“安全使能”侧重的是客观的“能够”——哪怕是使人能够有条件做一些最终不符合他们利益的事情也在所不惜。例如，一些企业会寻求一些第三方安全服务提供者，利用服务者所具备的资质，通过为其提供能够“使得”他们达标的不真实评估资料，而方便他们在安全事项上变得“合规”。简单来说，“安全使能”是一种手段（或权宜之计），而“安全赋能”则是一种方法（或战略）。如果有必要将“安全赋能”和“安全使能”翻译成英文，则分别用Empowering of Cybersecurity和Enabling of Cybersecurity，可能会比较贴切一些。

第三，关于安全赋能概念的局限性问题。前面虽然从不同的层面提及了安全赋能可能是安全生态发展的趋势或结果，大致说明了针对谁赋能、赋什么能、用什么方式赋能以及赋能的收益如何等问题，但仍没有提出较为完整的方法和可操作流程——没有计算出通过安全赋能可以实现何种程度的价值回流、价值能够回流多久、回流多少，也没有说明安全赋能的运营方法，没有明确启动安全赋能或退出安全赋能的边界条件是什么等——还需要进一步的思考和实践。在这种情况下提出这样一个概念，其实也是冒着风险。这就好比一位商家在当众招徕顾客说：我有个好东西，能帮你，试试看？而作为顾客，可能大都会对此将信将疑。

安全赋能涉及企业的组织结构和管理模式，不同企业的安全赋能会有明显的不同，但是，作为一种愿望，总还可以尝试一下。本书倾向于认为，安全赋能是安全生态的必然结果，没有安全赋能能力的“安全生态”是不成熟的“生态”。

1.7.3 业务与安全共赢

企业存在的目的就是完成自身的业务任务，业务不存在了，则企业也就没有了继续存在下去的理由。企业的最高管理者以及企业的管理团队和各个部门，为了完成企业的业务任务，将完成业务、优化业务、提升业务作为自身的首要工作内容来考虑，也无可厚非。但是，偏偏就在这个过程中，出现了一个“矛盾”——业务与安全之间的矛盾——不是所有企业中都有这种矛盾，但这种矛盾却是一个客观的常态。

1.关于业务和安全的矛盾

从事业务的人对工作的关注点总是聚焦在谋求业务的发展上，聚焦在谋求如何增加收入或者扩大业务受众上。他们的这种努力，归根结底就是谋求在其从事的业务的生命周期里尽可能多地获得收益——尽可能快速地度过业务成长期并尽可能延长业务成熟期。这是一种对效率的追求，是一种和时间赛跑、和机会博弈的较量。

对照一下：从事安全的人，他们对工作的关注点总是聚焦在谋求企业的安全上，聚焦在谋求如何减小损失或抑制运作过程（将要）面临的风险上。他们的这种努力，归根结底就是谋求在其服务的企业里，让一切都遵循法律、规范或有益的经验——尽可能地思虑周全不留漏洞并尽可能地留有后路以便降低不可预期的失败带来的损失。这首先是一种对价值的追求，进而是一种对概率的控制，是一种和风险共舞、和未知博弈的较量。

安全人员和业务人员在追求上都涉及公司的利益，前者是希望保有、保护、尽可能少损失，而后者是希望占有、占领、尽可能多的收入。本来是一件事的两面，无非是一个侧重守正，一个侧重创新，本质上他们没有对立的基础，但确实又往往存在矛盾。那么，问题出在了哪？

首先，人的认识能力存在局限。隔行如隔山，业务人员和安全人员各自的专业背景和职业定位不同，这不可避免地使彼此之间存在认知上的隔阂。这种隔阂在彼此缺乏信任感和有效沟通的情况下，会比较容易引起彼此的冲突。随着冲突的积累，事情的性质就会发生变化。

其次，企业管理者的价值观导向，对企业整体的价值观导向有很强的塑造作用，而且也存在认知能力的局限。坦率地讲，如果团队的领导决定冒险前进，那团队的成员又能有多大的能力可以选择稳妥地前进？当然，如果团队成员决定拒绝执行领导者的命令，导致团队危机，那就是另外的情形了。

最后，技术角度来说，要想安全就必要付出代价。这代价可能是成本方面的代价，也可能是机会方面的代价，还有可能是操作特性（或者叫客户体验）方面的代价（如简便性、快捷性等）。但是，企业无法准确衡量这些代价的大小，无法量化失去安全保障后会对企业造成多大的损害，这就使得企业无法获得所需的关键信息，无法就如何分配有限的资源做出理性的决策。这种情况下，如果工作人员所需的授权不足、威望不够，并且还没有趁手的工具来维持规则的权威，甚至规则都是缺失的，那谁又会去选择用阻力最大的方式来履行职责呢？

所以，这是个假性的矛盾。这个“矛盾”之所以是矛盾，几乎完全是由于人自身的认知能力不平衡的问题所造成。把业务和安全之间的“矛盾”说成是从事业务的人和从事安全的人之间由于工作产生的矛盾，可能更贴切一些——企业里提倡的“对事不对人”的职业精神被抛在脑后，从“针对事”演变成了“针对人”，甚至演变成企业内部的“江湖之争”。

2.共赢是理念，更是方法

业务和安全没有真正的矛盾，所以，“矛盾”必然可以化解。以安全生态的观点来看，业务人员和安全人员各有自己的生态位置，每位员工有自己的生态位置，每个岗位也有自己的生态位置。由于每个生态位占据生态环境中的一定量的资源并发挥一定的功能作用，所以，这些生态位之间不只是有竞争，还有合作，而且竞争有上限，合作有下限，否则，就会被生态系统淘汰。过度竞争会造成竞争主体之间不可调和的矛盾，过度合作（妥协）会造成生态系统的不可持续，两者各有其度。因此，这种动态的平衡所体现出的弹性可以很好地调和矛盾并维持整体稳定。这种整体稳定对生态中的所有主体都是有利的和最优的，也就是，所有主体处在了共赢状态。

如果将企业锐意进取的样子比作是一只雄鹰，那么业务和安全就是这只雄鹰的一体之两翼。如果将企业在攻坚克难的样子比作是一辆战车，那么业务和安全就是这辆战车的驱动之双轮。这“两翼”和“双轮”需要均衡发展，也必须要均衡发展。这种“发展观”是“国家安全观”的一部分，既是一段时期内我国境内的宏观政策方向，又是有理有据的经验总结，很是值得认真借鉴。安全是业务发展的保障，业务发展是安全的目的。安全需要业务配合，业务需要安全支持，这大概就是业务与安全共赢的写照。

引入了安全生态，共赢就从一种理念，变成了可供遵循和应用的方法。