OSP4E 0：构建开放的企业安全态势方案

2025-08-11, 杭州

国内网安的“态势”一般指的是“态势感知”里的态势（Situation）而非“姿态”（Posture），这样的用语认知实际上会微妙地影响人们安全管理的思路。比如说这几年ASPM、CSPM之类的产品实际上做得很局促、逼仄，而厂商往往需要以XDR、BAS等名义去给甲方推荐东西——因为要顺着多数甲方管理的思路，“我要的是他打过来我能防住，不是我自己需要多做一堆奇奇怪怪的管理”，直觉上这句话就会否定掉主动的姿态管理。

另一方面，由于众所周知的原因，国内很多安全甲方其实成天干的是开会、汇报、采购、上架甚至是修电脑之类的活，实际上他们并不是很有时间去反思整个企业的安全大盘应该怎么做。知其安的聂君师傅在这方面有非常多的经验积累和思考，不过金融业姑且还是照着人行金监的监管去刻模子建设的，到了网信和网安管理的领域（区县中小企业和机关单位），主观能动性、成本和监管的精力都很有限，问题会更头疼。

此外，这两年经济形势不太好，伴随着机关单位和小微企业的新建信息系统需求减少，做交付的企业就更难过了；本来就不注意交付安全的外包公司，招人成本只会更低，花在安全上的预算只会更少，交付的制品的安全质量也很差，压力最后还是传导到提供公共服务的甲方单位们。

这个时候，构建开源、开放的企业安全态势方案就很重要了。在这个文章系列里，我将反思如何构建开放的企业安全态势方案，并在部分领域付诸实践。

文章列表

待补充。