企业安全背景

现有企业安全建设框架有很多，以合规为导向的、以场景为导向、以数据为导向的建设体系，这些能力都是以防御的视角进行建设，面对黑客的攻击很多时候是捉襟见肘的。本文将以攻击者的视角对企业风险进行全面分析。

以合规政策为导向

此类的建设体系在我国基本是以等级保护、关基保护、密码测评、分级保护、XC等为建设依据，对象基本都是业务系统为纬度。

优势：符合国家合规建设要求，以基础安全防护设备能够保护大部分的脚本小子的攻击；

劣势：面对APT攻击时往往容易被攻破。

以业务场景为导向

此类的建设体系一般有重大安全保障场景、终端安全防护场景、，对象可能是用户为纬度。

优势：有针对性的防护场景，在此场景下面对黑客能够有很好的效果，并且有完备的管理制度来保障场景落地的操作性；

劣势：投资较大，很难覆盖全部场景的安全建设。

以数据安全为导向

此类的建设体系包括DSMM、DSG、数据全生命周期等，对象一般是数据库、数据字段、文件、音频、视频等。

优势：在最底层进行保护，就算被攻破，数据的破解也不容易，并且可以看到数据的全流向，是目前比较热门的建设体系；

劣势：对业务系统性能、使用上影响较大，难以推广。

以新型技术为导向

此类建设体系包括云原生安全体系，对象一般是云平台。

优势：采用新技术在理念、能力方面都有较大的优势，发现的安全风险较少；

缺点：需要较为强的研发技术，并且安全能力基本都需要适配。

以安全模型为导向

此类建设体系包括：滑动标尺模型、IPDDR、PDR等安全体系，对象一般是整个企业环境。

优势：经过长时间验证的成熟模型，有较多的参考实例；

缺点：建设