甲方安全和乙方安全的区别

news2024/11/24 16:12:22

信息安全工作,总会被人分成甲方和乙方,甲乙方原本只是商务层面需方和供方的代称,在安全领域,成了做公司内部安全和为客户提供安全的区别。

通常意义上,什么是甲方安全人员呢?就是在非安全业务的公司从事信息安全工作的人。什么是乙方安全人员呢?就是在主业是安全业务的公司从事信息安全工作的人。由于多年以来的刻板印象,似乎技术人员都不大倾向在乙方工作,对于乙方安全工作的印象是:

工作贼多、收入贼少、福利稀少、管理混乱、产研紊乱

而对甲方安全工作的印象则是:

工作不多、收入特多、福利多多、管理规范、产研标准

既然是刻板印象,说明其印象是不准确的。首先要搞清楚的是,到底什么是甲方,什么是乙方。根据业务的商业模式划分的话,甲乙方关系中的角色能够分为四类:政府机关、个人用户、2B业务和2C业务,其中2B业务是to business的业务,或面向客户的业务,如广告公司给客户做广告、SaaS公司给客户卖帐号,2C业务是to customer的业务,或面向用户的业务,如饭店给用户卖小龙虾、电商平台给用户卖商品。这四种角色的组合不算在内,诸如C2C(比如某乎)、B2B2C(比如某宝)。同一家公司也会经营不同商业模式的业务,既经营2C业务,也经营2B业务,比如多数银行既做个人业务,也做企业业务,而中国人民银行则只做企业业务,不做个人业务。

图中箭头指向的是角色双方的乙方,另一方是甲方。可以看到,许多人印象中的甲方,只不过是做2C业务的公司,在甲乙方关系中,2C业务因为面向用户,没有明确的、清晰的甲方,比如电影没有客户,只有用户,即个体存在的普通观众,而印象中的乙方,是做2B业务的公司,有着明确的、清晰的甲方,比如电视剧没有用户,只有客户,即各个电视台购片部门。

但安全从业者眼中的甲乙方区分,又不止如此,比如阿里,既有2B业务,又有2C业务,但因其经营的业务并非安全业务,安全人员并非处在业务前沿,因此阿里的安全工作也是甲方安全。所以,当我们说甲方安全和乙方安全的时候,实际上是说安全工作是否是业务工作,比如某个不足百人的,主营业务是2B业务的公司,招聘的安全人员,也是甲方安全人员。而由如绿盟、启明星辰这类传统的老牌上市安全公司,因为安全工作就是业务内容,即便公司规模大,业务多,其招聘的安全人员,也是乙方安全人员。

搞清楚了所谓甲乙方之分,工作量的差别就一目了然,业务人员直接影响着公司的营收,势必要比非业务人员整体工作量要大,之所以说整体工作量,是因为具体到个人的工作量大小,由部门整体管理水平以及人数决定。比如SaaS公司的实施交付人员,负责产品在客户现场的交付、配置和培训,对比安全公司的安全服务工程师,负责在客户现场的漏洞扫描、渗透测试和报告编写,都直接和业务目标相关,都需要人工实施,同等工作量的情况下,没有谁比谁更轻松。

所以,觉得甲方安全工作量不如乙方,原因包括,所谓的甲方安全工作对公司和业务而言不是第一位的,在技术人员偏向甲方的情况下,乙方安全人员能力和人数不占优势。

看多了各个大型互联网公司的安全人员的待遇,很多人会觉得甲方安全人员的收入相比乙方更高更稳定,但实际并非绝对。相比安全业务,有很多业务自身的天花板要更高,盈利空间更大,毛利更多,马云说“最好的商业模式是国家”,而除了战争时期,一个国家的军工行业一定不是最赚钱的。不同行业决定了业务的天花板,纯粹的互联网技术领域容易形成垄断或寡头,而服务行业(比如餐饮)的市场占有率则是正太分布,是不会出现垄断或寡头的。所以,即便是甲方安全工作,也会因为公司所在的行业和商业模式不同,盈利能力不同,而薪酬待遇只是公司营收能力的间接体现。

比如一家大型互联网公司,每年营业额1000亿,共10000名员工,其人效为1000万,即平均每人贡献1000万营业额,在利润率足够好的前提下,人均百万薪酬不是问题。而一家小型互联网公司,每年营业额1亿,共100名员工,其人效为100万,在相同利润率的情况下,是无法保证人均百万薪酬的。

所以,收入和福利,取决于公司现金流以及人力建设成熟度,而非甲乙方。一个人的能力体现,薪酬是一方面,另一方面是人力成本占比。

企业管理,本质上都是人的问题,公司管理是否规范,是否完善,很大程度上取决于创始人的能力和眼界,因为企业文化和管理风格,都沿袭自创始人的作风。很多大型互联网公司,都会因为规模原因,造成管理上的不规范或过于规范,不规范会造成做事无章法、无规范,过于规范会造成做事保守、刻板,因人而异,没有一种管理水平或风格是能够让所有人都满意的,毕竟商业公司追求的是盈利结果,而非乌托邦。另外,管理规范是随着公司规模的增长而逐渐规范,所以规模越小的公司,其管理越不规范,但这种不规范,反过来也是安全工作的挑战,如果挑战成功,就是升职加薪、赢取白富美,如果不成功,就是怨天怨地、跳槽另一家。

产研是否规范,结果是否可靠,决定了甲方安全工作的上限,以及乙方安全工作的下限。很大程度上,也是企业管理的结果,即找人、用人、育人、留人,产研不规范、不可靠,本质上是找不对人、用不对人、育不了人、留不下人。

所以,管理和产研是否规范,与甲方或乙方无关,可遇不可求。

就安全工作而言,甲方和乙方工作也存在较大的差异:

服务范围指的是安全部门服务的对象,甲方的服务对象局限在公司内部,在公司运营稳定后,面对的是熟悉的文化、业务、人群,犹如服务存量客户。而乙方由于面向所有的客户,理论上是没有上限的,会面对各种不同的文化、业务、人群,业务压力下会面对更多增量客户。

预算占比是指安全预算在公司整体预算中的比例,无论大型公司的安全预算有多么充沛,相比整体的预算都是相对占比小的,比如我国军费开支虽然排名世界第二,但GDP占比只有1.2%。乙方的安全公司,由于业务就是安全,可能安全预算体量不大,但占公司整体支出占比可能要大,毕竟,需要靠安全吃饭。

安全工作的涵盖内容多,方向多,在甲方做安全建设,需要解决不同维度和层面的安全问题,因此安全工作的方向涵盖方方面面,比如:外部有物理安全、主机安全、网络安全、应用安全、数据安全、业务安全,内部有人员安全、身份安全、终端安全、内网安全、物理安全,每一个方面在安全建设逐渐完善过程中都会遇到,但又无法每一方面都自研,因此需要向乙方安全公司采购。而乙方安全公司,由于业务指向和专业性,无法兼顾所有的安全方向,比如做应用安全,会更专注黑盒、白盒、灰盒等安全检测能力。

甲方的安全建设,需要基于已有的资源和预算着手,而任何一种信息技术都存在安全风险,也就有相应的安全技术方向,但服务范围和资源限制,导致甲方安全工作不大可能脱离现有的业务范围进行其他方面的技术发展和研究,比如业务形态只有App的公司,其安全工作几乎无法涉猎IoT安全、工控安全等领域,安全技术工作需要跟随业务的发展和需要,但同时也局限在业务形态之内。乙方安全公司,则因为会面临各种不同的客户、业务和安全需求,其安全技术的涉猎和拓展无论多宽泛,都可以是为下一个客户做准备,另外,从客户的角度,由于对信息安全的刻板印象,不全面的安全知识体系会让客户认为对方不够专业,就像隔壁阿婆会认为程序员应当会修电脑,如果修不了,可能会觉得做程序员不合格。

乙方安全公司的安全岗位如果要划分,除了售前、售后,需要的岗位类型并不会太多,比如安全服务工程师、开发工程师、解决方案专家等,而甲方安全工作中涉及的安全方向多,可能几乎每一个方向都需要有相关的岗位,比如安全培训、安全运营、安全开发、安全测试、安全合规、隐私安全等。

是不是甲方安全工作比乙方安全工作好做呢?并不是。乙方安全工作由于业务属性,安全工作的价值评估更为清晰、透明,安全工作的落地执行更为简洁、明确,干的好,业绩就好,干不好,业绩也会看出来,前有销售、售前分担职责,后有售后、客服支撑工作。而甲方安全工作的非业务属性,最大的难点在于,如何衡量安全工作的结果和价值,如果推动安全工作的落地,可能辛辛苦苦一整年,一把汗水一把泪,但就是无法将安全部门的价值向上展现,又或者被业务部门一句业务需要怼地落地工作一拖再拖,干好的觉得安全没用,没干好也被觉得安全没用。

如此,是否一定要执着于甲方或乙方呢?只要入水由若蛟龙,又哪管是河是江是大海。

作者:裴伟伟

2024年10月12日

洞源实验室 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2209860.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ROS2 通信三大件之动作 -- Action

通信最后一个,也是不太容易理解的方式action,复杂且重要 1、创建action数据结构 创建工作空间和模块就不多说了 在模块 src/action_moudle/action/Counter.action 下创建文件 Counter.action int32 target # Goal: 目标 --- int32 current_value…

[Python学习日记-45] Python 中模块的介绍与导入

[Python学习日记-45] Python 中模块的介绍与导入 简介 模块的概念与好处 模块的分类 模块导入和调用 自定义模块 模块的查找路径 简介 在前面的学习当中偶尔我们会看到 import ... 一个什么东西的,或者 from ... import ...,那时候并没有进行介绍&…

react+ts+vite 别名一直爆红问题

已经配置如下代码安装了types/node import path from "path"; // https://vitejs.dev/config/ export default defineConfig({plugins: [react()],server: {proxy: {"/api": {target: "http://localhost:3000",changeOrigin: true,rewrite: (pa…

如何选择安全的谷歌浏览器插件

在数字时代,浏览器插件为我们提供了极大的便利,增强了我们的浏览体验。然而,随着便利性的增加,安全性问题也日益凸显。选择安全的谷歌浏览器插件是保障个人信息安全的重要步骤。以下是详细的教程,帮助你选择和使用安全…

81 NAT-静态NAT

一 NAT 出口方向实验 1 配置接口的IP地址 2 配置nat 静态映射 3 测试 无法ping 通 202.38.1.100 4 接口上开启静态Nat映射规则 [FW-Router-BJ-GigabitEthernet0/1]nat static enable 6 5 查看配置 [FW-Router-BJ]display nat static 6 测试 7 查看NAT 会话状态 8 静态…

Qt自定义一个圆角对话框

如何得到一个圆角对话框? 步骤: 1、继承自QDiaglog 2、去掉系统自带的边框 3、设置背景透明,不设置4个角会有多余的部分出现颜色 4、对话框内部添加1个QWidget,给这个widget设置圆角,并添加到布局中让他充满对话框 5、后续对…

Redis协议详解及其异步应用

目录 一、Redis Pipeline(管道)概述优点使用场景工作原理Pipeline 的基本操作步骤C 示例(使用 [hiredis](https://github.com/redis/hiredis) 库) 二、Redis 事务概述事务的前提事务特征(ACID 分析)WATCH 命…

【HarmonyOS】HMRouter使用详解(二)路由跳转

路由跳转 HMRouter中使用HMRouterMgr的静态方法push()和replace()来实现路由跳转。使用pop()方法来实现页面返回 push :目标页面不会替换当前页,而是插入页面栈。可以使用pop实现页面的返回操作。replace:目标页面会替换当前页,并…

西门子828d的plc一些信息记录

1、虽然是200的plc但是引入了DB的形式替代原来的V存储区。 2、用户自定义DB块范围,DB9000-DB9063,共64个DB块。 可用地址范围如上图 机床MCP483面板地址表,其它类型的面板地址自己在828d简明调试手册里查看。 如何上载828d的plc程序: 1.通…

web-105linux权限提升

rsync未授权本地覆盖 Rsync 是 linux 下一款数据备份工具,默认开启 873 端口 https://vulhub.org/#/environments/rsync/common/ 借助 Linux 默认计划任务调用/etc/cron.hourly,利用 rsync 连接覆盖 前提条件就是需要知道rsync的密码或者存在未授权 -提…

【成品设计】基于Arduino平台的物联网智能灯

《基于Arduino平台的物联网智能灯》 整体功能: 这个任务中要求实现一个物联网智能灯。实际测试环境中要求设备能够自己创建一个热点,连接这个热点后能自动弹出控制界面(强制门户)。 功能点 基础功能 (60分) 要求作品至少有2个灯…

发布-订阅模式(Publisher-Subscriber)

实际上,发布-订阅模式只是观察者模式的一个别称。 但是经过时间的沉淀,似乎他已经强大了起来,已经独立于观察者模式,成为另外一种不同的设计模式。在现在的发布订阅模式中,称为发布者的消息发送者不会将消息直接发送给…

Linux下基本指令

Linux下基本指令 登录系统输入ssh root,在后面输入ip公用地址,按下enter键,会弹出一个密码框,输入密码即可登录成功。 Xshell下Altenter全屏,再重复操作是取消全屏。 clear清理屏幕。 01. ls 指令(用来…

[红队apt]文件捆绑攻击流程

免责声明:本文用于了解攻击者攻击手法,切勿用于不法用途 前言 欢迎来到我的博客 个人主页:北岭敲键盘的荒漠猫-CSDN博客 本文整理黑客通过文件捆绑进行攻击的流程思路 文件捆绑原理 废话只多说这一句。 1.exe和2.exe被你捆绑为3.exe。 那么你点击了3.exe就等于点…

信息安全工程师(45)入侵检测系统组成与分类

前言 入侵检测系统(IDS)是一种网络安全设备或软件,能够监控和分析网络或系统活动,以检测和响应潜在的入侵行为。 一、入侵检测系统的组成 根据互联网工程任务组(IETF)的定义,一个典型的入侵检测…

文科类考研答题规范与卷面整洁度提升:高效备考的秘诀

随着考研竞争的日益激烈,考生们为了在众多竞争者中脱颖而出,纷纷寻求提升自己的备考策略,答题规范和卷面整洁度在文科类考研中显得尤为重要,本文将从答题规范和卷面整洁度两个方面,为广大文科类考研学子提供一些建议&a…

LeetCode刷题日记之回溯算法(一)

目录 前言组合组合总和III电话号码的字母组合总结 前言 今天开始学习回溯算法啦,虽然直接递归学习的时候有涉及到回溯但是没有系统性的学习,希望博主记录的内容能够对大家有所帮助 ,一起加油吧朋友们!💪💪…

飞腾X100适配Ubuntu说明

【写在前面】 飞腾开发者平台是基于飞腾自身强大的技术基础和开放能力,聚合行业内优秀资源而打造的。该平台覆盖了操作系统、算法、数据库、安全、平台工具、虚拟化、存储、网络、固件等多个前沿技术领域,包含了应用使能套件、软件仓库、软件支持、软件适…

实践体验密集小目标检测,以小麦麦穗颗粒为基准,基于嵌入式端超轻量级模型LeYOLO全系列【n/s/m/l】参数模型开发构建智能精准麦穗颗粒检测计数系统

对于常规的目标检测任务来说,诸如:COCO、VOC这类基础的数据场景,涌现出来了一些列性能初衷的检测模型,YOLO系列就是其中的佼佼者,不断地刷榜取得了越来越好的效果,不过这些评测指标是基于COCO、VOC这类公开…

基于Python+sqlite3实现(Web)图书管理系统

项目名称:LibraryManagementSystem 一、系统目标 使用了Python作为语言,以django为后台,sqlite3作为数据库,UI基于bootstrap的图书管理系统,模拟图书管理的真实场景,考虑客观需求,界面简洁、操作方便&…