三、由组织的安全需求维度去思考企业安全体系

回归到具体的企业安全的思考。企业是组织最常见的形态之一，因此企业的安全也包括三个层次：

　　3.1 企业财务安全，这个略去不谈。

　　3.2 企业价值实现安全

企业的核心目标是围绕合法为第三方提供产品或服务来实现自身价值，并获取利润。企业实现自己的价值的核心过程可以用企业价值链来表达：

围绕企业的价值链，我们可以理解更细化的四类企业价值实现的安全：

　　3.2.1 资产安全

企业的目标是通过对第三方提供有价值的服务或产品来获得合法的利润。这个过程当中，企业需要有资金运营，把资金转化成企业资产、生产资料、设备，又转化为产品或服务。对有有价值的实体资金、资产、生产资料、设备，产品，他们都可能遭受危害或损失：

可能因内部外部的恶意行为带来的损失。

可能因内部管理不善带来的损坏

一般从安全角度，我们更关注第一种情形，这种情形下，我们可以看到威胁来源与内外部的恶意人员，希望通过非法的行为，达到对企业的资金、资产、设备、生产资料非法侵占(所有权)，或非法利用其牟利(非法使用权)或破坏的目的，从安全的视角，则会根据资产的价值维度，设计访问资产的信任体系，检查和识别非法对资产的受控使用和操作，来达到保全资产安全的目的。

　　3.2.2 业务安全

企业实现自己价值的过程中，不免要与客户或合作伙伴进行各类业务行为，这里面可能存在着安全风险，主要包括：

恶意客户或合作伙伴可能采用欺诈的方式给企业带来损失

部分客户通过不公平的方式获得更大利益给企业其他客户带来不公平导致企业遭受危害。

恶意人员通过业务行为中获得的信息，伪冒企业或企业产品相关人员身份欺诈第三方给企业带来危害。

在高风险环境里发生业务行为，给企业、客户或合作伙伴带来的危害。

3.2.3 生产安全

企业需要通过提供自己的产品和服务能呈现自己的价值。在生产和提供服务的过程中，可能面临很多生产安全风险，主要包括：

需要在一个危险的环境下作业，危险环境可能给企业的资产、企业的员工、周边环境相关的第三方带来危害或损失。

需要使用具备一定危险度生产设备和生产资料来作业，由于对生产设备安全属性的质量问题，或者对生产设备和生产资料的管理或操作不善，可能给企业的资产、企业的员工、相关的第三方带来危害或损失。

需要多道工序加工，对产出有安全属性(有毒、易爆、非绝缘等)的产品质量管控存在缺陷，导致输出的产品给企业的客户、企业的合作伙伴、相关的第三方带来危害或损失。

3.2.4 生态安全

在现代化生产过程中，很难靠一个企业独立完成从最初的原料直到产品再到交付给客户的所有价值链过程。需要有合作伙伴一起来进行分工协作。这里面可能存在着安全风险，主要包括：

合作伙伴交付的用于生产用途的产品、设备、原料可能存在有安全属性(有毒、易爆、非绝缘等)的质量问题，最后传导为生产安全问题。

合作伙伴交付的用于企业的产品、设备或服务，可能本身就有可被恶意人员利用的安全问题，最后传导为资产安全问题。

合作伙伴通过为企业提供服务，可以获得企业运营相关的数据、信息、知识和情报。合作伙伴可能将这些数据和信息交付给其他未被企业许可的第三方如竞争对手，可能会给企业带来危险。(企业竞争情报里，有企业通过成立一家供应链公司给竞争对手以低一点的价供货方式去获得竞争对手经营和重大订单的情报信息的案例)。

　　3.2.5 总结

资产安全，核心关注被保护用户拥有所有权或保管责任的财物自身价值的被危害和被损失的情况；

业务安全，核心关注在业务过程中带来的对业务的危害和损失.

生产安全：核心关注在企业生产过程中，由于对生产环境、生产资料和设备、生产工艺环节的问题，可能给企业、员工、外部第三方带来的危害和损失。

生态安全：核心关注企业的上下游供应链和合作伙伴，由于供应链和合作伙伴交付的产品与服务传导导致的生产安全问题，以及供应链和合作伙伴获取在合作中获取的信息和数据的安全。

　　总结如下

威胁来源威胁行为受威胁对象

资产安全内外部恶意人员窃取和入侵行为企业财物

业务安全恶意客户

业务环境相关的外部恶意人员欺诈行为

企业业务

生产安全内部人员和外包人员操作失误

缺乏保护环境

缺乏质控环节企业财物

企业员工

企业业务

其他第三方

生态安全合作伙伴交付产品和服务缺陷

将获取的企业信息给第三方企业财物

企业员工

企业业务

其他第三方

以上几者的视角是有较大区别的：

资产安全的核心是以保护资产的当前价值为最优，为了保护资产价值，可以一定程度上牺牲其他关联者的利益，如易使用性，可能给其他第三方带来的危害等等。所以以资产安全视角发展起来的安全体系，一般都是以限制资产流动性的保险柜模式为主，通过边界控制和减少危险访问来保护资产。

业务安全的核心是以保护业务价值最大化为最优，所以识别恶意用户概率的同时需要保证真实客户的体验与公平。所以以业务安全视角发展起来的安全体系，一般以业务相关因素(业务对象、设备、行为)的风险/可信识别和控制模式为主，以不降低合法交易/业务的同时降低不可信或欺诈交易/业务来控制风险。

生产安全的核心是以保护企业投资实现未来潜在价值的过程为最优，确保生产效率的同时，减少在生产过程可能对其他资产和第三方的损失。所以以生产安全视角发展起来的安全体系，一般以生产过程中的相关因素(生产资料、设备、生产人员、产品)的行为规范控制、高危物质识别和监控、全流程溯源为主的管理和监控体系为主，保证生产效率的同时，降低对外部的损失的概率，并能在发生安全事故后快速定位和处置。

(责任编辑：安博涛)