个人觉得，企业安全其实是一个系统性的话题，但是如今安全生态常见的是把安全割裂，把整体的安全建设需要考虑的内容变成了局部的安全建设。

如何看待局部与整体的问题，其实引入中医和西医的理论进行阐述会显得简单点。西医就是头痛医头，脚痛医教，中医就是把人体看做整个整体去做诊断，所以会有你喉咙痛可能是上火所导致，而不是喉咙本身的问题。

举个例子，一般企业或者第三方服务，针对一个钓鱼邮件事件，可简单得出员工安全意识不高，轻易相信来自于外部的邮件，对伪造欠缺识别能力；同时可以得出邮箱网关识别和拦截能力需要进一步加强，需要设置更多的阻断规则。

当然，上述的结论不能说错误，但是我们可以思考的更加深入一点。邮件钓鱼是否有经常做培训工作，培训的效果是怎么样的有没有去做过测试。如果是钓鱼页面，威胁情报是否生效；如果是可执行文件，终端执行权限是否做了控制；如果是蠕虫，防病毒模块是否开启并且生效。上述抛砖引玉，还是希望能够更加深入的全面思考。

说回企业的安全建设，一般是满足业务的需求或者由安全事故推动。管理者或者行业内的较多安全员喜欢局部性解决问题。如出现办公网爆破服务器并成功登陆的事件时，可能会引进一台堡垒机，从堡垒机进行登陆，可以解决办公网爆破服务器的事情。但是如果从中医的角度去看，问题的现象是办公网爆破服务器，本质可能是网络通道控制不严格。

应该做的是：

检查VPN接入内部网络是否可以绕过堡垒机的管控；

检查生产环境与测试环境等是否存在隔离控制；

开发是否为了方便单独开启其他端口或端口复用；

代理与反向代理策略是否合理；

不同业务之间的隔离情况；

办公网与外部网络访问的控制情；

权限是否过大，内部ACL划分问题。

......

上述只是笔者给出的一些思考方向，不一定就能应对每个场景，请各位参考。

企业安全建设需要站在一个整体去思考，落地的时候可以局部去落地。但是得培养自己整体的思维，不要被安全圈不断发明的新名词所疑惑。