甲方安全和乙方安全的区别

信息安全工作,总会被人分成甲方和乙方,甲乙方原本只是商务层面需方和供方的代称,在安全领域,成了做公司内部安全和为客户提供安全的区别。

通常意义上,什么是甲方安全人员呢?就是在非安全业务的公司从事信息安全工作的人。什么是乙方安全人员呢?就是在主业是安全业务的公司从事信息安全工作的人。由于多年以来的刻板印象,似乎技术人员都不大倾向在乙方工作,对于乙方安全工作的印象是:

工作贼多、收入贼少、福利稀少、管理混乱、产研紊乱

而对甲方安全工作的印象则是:

工作不多、收入特多、福利多多、管理规范、产研标准

既然是刻板印象,说明其印象是不准确的。首先要搞清楚的是,到底什么是甲方,什么是乙方。根据业务的商业模式划分的话,甲乙方关系中的角色能够分为四类:政府机关、个人用户、2B业务和2C业务,其中2B业务是to business的业务,或面向客户的业务,如广告公司给客户做广告、SaaS公司给客户卖帐号,2C业务是to customer的业务,或面向用户的业务,如饭店给用户卖小龙虾、电商平台给用户卖商品。这四种角色的组合不算在内,诸如C2C(比如某乎)、B2B2C(比如某宝)。同一家公司也会经营不同商业模式的业务,既经营2C业务,也经营2B业务,比如多数银行既做个人业务,也做企业业务,而中国人民银行则只做企业业务,不做个人业务。

图中箭头指向的是角色双方的乙方,另一方是甲方。可以看到,许多人印象中的甲方,只不过是做2C业务的公司,在甲乙方关系中,2C业务因为面向用户,没有明确的、清晰的甲方,比如电影没有客户,只有用户,即个体存在的普通观众,而印象中的乙方,是做2B业务的公司,有着明确的、清晰的甲方,比如电视剧没有用户,只有客户,即各个电视台购片部门。

但安全从业者眼中的甲乙方区分,又不止如此,比如阿里,既有2B业务,又有2C业务,但因其经营的业务并非安全业务,安全人员并非处在业务前沿,因此阿里的安全工作也是甲方安全。所以,当我们说甲方安全和乙方安全的时候,实际上是说安全工作是否是业务工作,比如某个不足百人的,主营业务是2B业务的公司,招聘的安全人员,也是甲方安全人员。而由如绿盟、启明星辰这类传统的老牌上市安全公司,因为安全工作就是业务内容,即便公司规模大,业务多,其招聘的安全人员,也是乙方安全人员。

搞清楚了所谓甲乙方之分,工作量的差别就一目了然,业务人员直接影响着公司的营收,势必要比非业务人员整体工作量要大,之所以说整体工作量,是因为具体到个人的工作量大小,由部门整体管理水平以及人数决定。比如SaaS公司的实施交付人员,负责产品在客户现场的交付、配置和培训,对比安全公司的安全服务工程师,负责在客户现场的漏洞扫描、渗透测试和报告编写,都直接和业务目标相关,都需要人工实施,同等工作量的情况下,没有谁比谁更轻松。

所以,觉得甲方安全工作量不如乙方,原因包括,所谓的甲方安全工作对公司和业务而言不是第一位的,在技术人员偏向甲方的情况下,乙方安全人员能力和人数不占优势。

看多了各个大型互联网公司的安全人员的待遇,很多人会觉得甲方安全人员的收入相比乙方更高更稳定,但实际并非绝对。相比安全业务,有很多业务自身的天花板要更高,盈利空间更大,毛利更多,马云说“最好的商业模式是国家”,而除了战争时期,一个国家的军工行业一定不是最赚钱的。不同行业决定了业务的天花板,纯粹的互联网技术领域容易形成垄断或寡头,而服务行业(比如餐饮)的市场占有率则是正太分布,是不会出现垄断或寡头的。所以,即便是甲方安全工作,也会因为公司所在的行业和商业模式不同,盈利能力不同,而薪酬待遇只是公司营收能力的间接体现。

比如一家大型互联网公司,每年营业额1000亿,共10000名员工,其人效为1000万,即平均每人贡献1000万营业额,在利润率足够好的前提下,人均百万薪酬不是问题。而一家小型互联网公司,每年营业额1亿,共100名员工,其人效为100万,在相同利润率的情况下,是无法保证人均百万薪酬的。

所以,收入和福利,取决于公司现金流以及人力建设成熟度,而非甲乙方。一个人的能力体现,薪酬是一方面,另一方面是人力成本占比。

企业管理,本质上都是人的问题,公司管理是否规范,是否完善,很大程度上取决于创始人的能力和眼界,因为企业文化和管理风格,都沿袭自创始人的作风。很多大型互联网公司,都会因为规模原因,造成管理上的不规范或过于规范,不规范会造成做事无章法、无规范,过于规范会造成做事保守、刻板,因人而异,没有一种管理水平或风格是能够让所有人都满意的,毕竟商业公司追求的是盈利结果,而非乌托邦。另外,管理规范是随着公司规模的增长而逐渐规范,所以规模越小的公司,其管理越不规范,但这种不规范,反过来也是安全工作的挑战,如果挑战成功,就是升职加薪、赢取白富美,如果不成功,就是怨天怨地、跳槽另一家。

产研是否规范,结果是否可靠,决定了甲方安全工作的上限,以及乙方安全工作的下限。很大程度上,也是企业管理的结果,即找人、用人、育人、留人,产研不规范、不可靠,本质上是找不对人、用不对人、育不了人、留不下人。

所以,管理和产研是否规范,与甲方或乙方无关,可遇不可求。

就安全工作而言,甲方和乙方工作也存在较大的差异:

服务范围指的是安全部门服务的对象,甲方的服务对象局限在公司内部,在公司运营稳定后,面对的是熟悉的文化、业务、人群,犹如服务存量客户。而乙方由于面向所有的客户,理论上是没有上限的,会面对各种不同的文化、业务、人群,业务压力下会面对更多增量客户。

预算占比是指安全预算在公司整体预算中的比例,无论大型公司的安全预算有多么充沛,相比整体的预算都是相对占比小的,比如我国军费开支虽然排名世界第二,但GDP占比只有1.2%。乙方的安全公司,由于业务就是安全,可能安全预算体量不大,但占公司整体支出占比可能要大,毕竟,需要靠安全吃饭。

安全工作的涵盖内容多,方向多,在甲方做安全建设,需要解决不同维度和层面的安全问题,因此安全工作的方向涵盖方方面面,比如:外部有物理安全、主机安全、网络安全、应用安全、数据安全、业务安全,内部有人员安全、身份安全、终端安全、内网安全、物理安全,每一个方面在安全建设逐渐完善过程中都会遇到,但又无法每一方面都自研,因此需要向乙方安全公司采购。而乙方安全公司,由于业务指向和专业性,无法兼顾所有的安全方向,比如做应用安全,会更专注黑盒、白盒、灰盒等安全检测能力。

甲方的安全建设,需要基于已有的资源和预算着手,而任何一种信息技术都存在安全风险,也就有相应的安全技术方向,但服务范围和资源限制,导致甲方安全工作不大可能脱离现有的业务范围进行其他方面的技术发展和研究,比如业务形态只有App的公司,其安全工作几乎无法涉猎IoT安全、工控安全等领域,安全技术工作需要跟随业务的发展和需要,但同时也局限在业务形态之内。乙方安全公司,则因为会面临各种不同的客户、业务和安全需求,其安全技术的涉猎和拓展无论多宽泛,都可以是为下一个客户做准备,另外,从客户的角度,由于对信息安全的刻板印象,不全面的安全知识体系会让客户认为对方不够专业,就像隔壁阿婆会认为程序员应当会修电脑,如果修不了,可能会觉得做程序员不合格。

乙方安全公司的安全岗位如果要划分,除了售前、售后,需要的岗位类型并不会太多,比如安全服务工程师、开发工程师、解决方案专家等,而甲方安全工作中涉及的安全方向多,可能几乎每一个方向都需要有相关的岗位,比如安全培训、安全运营、安全开发、安全测试、安全合规、隐私安全等。

是不是甲方安全工作比乙方安全工作好做呢?并不是。乙方安全工作由于业务属性,安全工作的价值评估更为清晰、透明,安全工作的落地执行更为简洁、明确,干的好,业绩就好,干不好,业绩也会看出来,前有销售、售前分担职责,后有售后、客服支撑工作。而甲方安全工作的非业务属性,最大的难点在于,如何衡量安全工作的结果和价值,如果推动安全工作的落地,可能辛辛苦苦一整年,一把汗水一把泪,但就是无法将安全部门的价值向上展现,又或者被业务部门一句业务需要怼地落地工作一拖再拖,干好的觉得安全没用,没干好也被觉得安全没用。

如此,是否一定要执着于甲方或乙方呢?只要入水由若蛟龙,又哪管是河是江是大海。

作者:裴伟伟

2024年10月12日

洞源实验室 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/445960.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

从秒级到小时级:TikTok等发布首篇面向长视频理解的多模态大语言模型全面综述

文章链接:https://arxiv.org/pdf/2409.18938 亮点直击 追踪并总结从图像理解到长视频理解的MM-LLMs的进展;回顾了各种视觉理解任务之间的差异,并强调了长视频理解中的挑战,包括更细粒度的时空细节、动态事件和长期依赖性;详细总结了MM-LLMs在…

基于Raspberry Pi人脸识别自动门

人脸识别自动门 简介 在当今数字化时代,智能家居安全变得越来越重要。今天,我要向大家介绍一个结合了安全性与便利性的项目——人脸识别自动门。这个项目通过在门上实施基于面部识别的高级安全系统,使用摄像头验证房主的面部,自…

非线性降维方法与概率图模型

文章目录 摘要Abstract1.降维的动机1.1 线性方法方法1.1.1 主成分分析(PCA)1.1.2 线性判别分析(LDA)1.1.3 线性降维方法中的不足 2.基于流形学习的非线性降维2.1 ISOMAP(Isometric feature mapping)2.2 LLE(locally linear embedding)2.3 LE(Laplacian Eigenmap)拉普…

Leetcode 1203. 项目管理

1.题目基本信息 1.1.题目描述 有 n 个项目,每个项目或者不属于任何小组,或者属于 m 个小组之一。group[i] 表示第 i 个项目所属的小组,如果第 i 个项目不属于任何小组,则 group[i] 等于 -1。项目和小组都是从零开始编号的。可能…

在docker的容器内如何查看Ubuntu系统版本

文章目录 写在前面一、问题描述二、解决方法参考链接 写在前面 自己的测试环境: docker 一、问题描述 由于 lsb_release -a 只能查看自己电脑(宿主机)的系统版本,如果在docker的容器内又应该如何查看Ubuntu系统版本呢&#xff…

mac 桌面版docker no space left on device

报错信息 docker pull镜像时报: failed to register layer: Error processing tar file(exit status 1): write /home/admin/oceanbase_bak/bin/observer: no space left on device 解决 增加 docker 虚拟磁盘大小。 调整完点击重启即可。

高校学科竞赛平台开发:SpringBoot技术选型与应用

3系统分析 3.1可行性分析 通过对本高校学科竞赛平台实行的目的初步调查和分析,提出可行性方案并对其一一进行论证。我们在这里主要从技术可行性、经济可行性、操作可行性等方面进行分析。 3.1.1技术可行性 本高校学科竞赛平台采用SSM框架,JAVA作为开发语…

C#|.net core 基础 - 删除字符串最后一个字符的七大类N种实现方式

今天想通过和大家分享如何删除字符串最后一个字符的N种实现方法,来回顾一些基础知识点。 01第一类、字符串方式 这类方法是通过string类型自身方法直接实现。 1、Substring方法 相信大多数人第一个想到的可能就是这个方法。Substring方法是字符串内置方法&#…

【网络基础知识】网络通信概述与TCPIP、UDP协议

网络基础知识 介绍网络基础知识,譬如网络通信概述、OSI 七层模型、IP 地址、TCP/IP 协议族、TCP 和 UDP 协议等等, 旨在以引导入门、了解为主,其中并不会深入、详细地介绍这些内容; Linux网络编程入门移步:【Linux网络…

Mac上强大的菜单栏管理工具

想要Mac用的好,各种工具少不了,一款好用的软件对于提高使用效率和使用舒适度来说非常必要,iBar-强大的菜单栏图标管理工具 随着 Mac 运行的软件增加,状态栏中的图标也越来越多,不仅看得眼花缭乱,而且刘海屏…

小米电机与STM32——CAN通信

背景介绍:为了利用小米电机,搭建机械臂的关节,需要学习小米电机的使用方法。计划采用STM32驱动小米电机,实现指定运动,为此需要了解他们之间的通信方式,指令写入方法等。花了很多时间学习,但网络…

怎么把音频的速度调慢?6个方法调节音频速度

怎么把音频的速度调慢?调慢音频速度不仅可以帮助我们更好地捕捉细节,还能让我们在分析和学习时更加从容。这对于音乐爱好者来说,尤其有助于理解复杂的旋律和和声,使学习过程变得更加高效。而在语言学习中,放慢语速则能…

计算机网络第1章(概述)万字笔记详细版

1.1、计算机网络在信息时代的作用 计算机网络已由一种通信基础设施发展成为一种重要的信息服务基础设施计算机网络已经像水,电,煤气这些基础设施一样,成为我们生活中不可或缺的一部分 我国互联网发展状况 中国互联网络信息中心CNNIC 1.2、…

剪辑达人必备:四大抖音视频剪辑工具推荐!

在抖音这个短视频平台上,一个好的剪辑可以让视频内容更加生动有趣,吸引更多的观众。今天,我们就来探讨一下如何利用几款强大的剪辑工具,让你的抖音视频脱颖而出。 福昕视频剪辑:专业与易用并存 直达链接:…

RabbitMQ 入门(二)基本结构和消息模型

一、RabbitMQ的基本结构、角色和消息模型 MQ的基本结构: RabbitMQ中的一些角色: - publisher:生产者 - consumer:消费者 - exchange个:交换机,负责消息路由 - queue:队列,存储消息…

Linux下Docker方式Jenkins安装和配置

一、下载&安装 Jenkins官方Docker仓库地址:https://hub.docker.com/r/jenkins/jenkins 从官网上可以看到,当前最新的稳定版本是 jenkins/jenkins:lts-jdk17。建议下在新的,后面依赖下不来 所以,我们这里,执行doc…

前端开发攻略---前端ocr图片文字提取功能

1、引入资源 通过链接引用 <script src"https://cdn.bootcdn.net/ajax/libs/tesseract.js/5.1.0/tesseract.min.js"></script> npm或其他方式下载 npm i tesseract 2、示例 <!DOCTYPE html> <html lang"en"><head><meta…

【漏洞复现】SpringBlade menu/list SQL注入漏洞

》》》产品描述《《《 致远互联智能协同是一个信息窗口与工作界面,进行所有信息的分类组合和聚合推送呈现。通过面向角色化、业务化、多终端的多维信息空间设计,为不同组织提供协同门户,打破组织内信息壁垒,构建统一协同沟通的平台。 》》》漏洞描述《《《 致远互联 FE协作办公…

Pytest中fixture的scope详解

pytest作为Python技术栈下最主流的测试框架&#xff0c;功能极为强大和灵活。其中Fixture夹具是它的核心。而且pytest中对Fixture的作用范围也做了不同区分&#xff0c;能为我们利用fixture带来很好地灵活性。 下面我们就来了解下这里不同scope的作用 fixture的scope定义 首…

【fisco学习记录2】多群组搭建

说明 文档参考&#xff1a; 多群组部署 — FISCO BCOS 2.0 v2.11.0 文档 (fisco-bcos-documentation.readthedocs.io) 多群组搭建之前&#xff0c;先暂停之前的单群组&#xff0c;并删除&#xff1a; cd fisco bash nodes/127.0.0.1/stop_all.sh rm -rf nodes/ 实现图&…