非也，非也。作为“智商高于情商，情商又总是受伤”的安服人，除了靠“银手镯”工种或某云那种吃里扒外来谋生计之外，还有另外一条赚钱路，那就是：“打人先打脸，擒贼先擒王”。

何为“打人先打脸，擒贼先擒王”？根据最近三年国内多个调研机构发布的报告来看，互联网+和数字化转型大行其道之时，愿意在IT投入中花10%以上资金投入网络安全的，70%以上是金融、央企、国企、卫生医疗、电信运营商的龙头，只要抓住了他们的心，还怕养不活我们的胃？

那么，他们的“脸”和“王”是什么呢？按照社会心理学来说，人脑的惯性思维非常强，只要大脑先认可的事物，大脑总会”挖空脑思”去证明先认可的事物是对的。所以，咱们就学着业务发展的模式，以安服特有的角度去讲述他们的网络安全的发展的“故事”。

首先，国家层面按照惯例“十四五网络安全规划”，会分拆为各行业十四五网络安全规划，再分拆到各企业十四五网络安全规划，从这个路径来说，规划二字如雷贯耳，其接受程度远大于Log4j大雷，此乃“擒王”。

其次，由业务发展内生的网络安全发展规划，可以帮助企业去各种行业会上发声，其效果远大于帮客户应急一个挖矿病毒，此乃”打脸“。

所以，解决了“擒王”和“打脸”的核心需求，安服搬砖人终于能找到一个认可自己的好“爹”，不用“35岁打三份工感觉到很幸福”。毕竟，宇宙的尽头不是铁岭，而是编制。

很多人看了第一段，会说，不就是交付几个“什么都说了，又什么都没说”的本子吗？非也，非也。

网络安全规划也分了几个层次，分别是：一、最顶层的顶层安全设计，一般是20页doc，一般带有”顶层设计“字样。二、整体网络安全规划，一般在80-200页doc，包含了各种IT应用场景的网络安全建设方案、内容和实施路径等。三、专项安全规划，一般在60-150页doc，例如云安全规划、移动应用安全规划等专门针对某个领域。

除网络安全规划外，还有业务安全规划、数据安全安全规划，是同属于“大安全范畴”，但与网络安全分属不同学科，不在本章讨论范畴。（凡事不懂就问，为什么分属不同学科？如下图。）

有人又要问了，这不是四大更擅长吗，安服凑什么热闹？Come on！君不见Pwc最近几年也招了很多安服吗？因为再丰富的图形、矩阵、问卷、表格，都不如几天时间打穿花了上千万建设的安全防御体系报告来得刺激。

有人又要问了，那直接上蓝队就行了，还要规划来干嘛？前面说了，要一个人快速接受一件事物，需要“翻译”成他熟悉、精通的事。所以，安服的网络安全规划就是蓝队大佬和客户之间的翻译。把蓝队的攻击成果翻译成安全防御体系优化建设实施路径，也就是前面提到的丰富的图形、矩阵、问卷、表格和PPT。

扯了1500字的淡才步入正题，各位看官想不想锤我？可以，等我打开“懂车帝”先。?言归正传，对于科普文，下面的各项工作内容仅限于普通项目，不属于“钱多、人好、要求高”的特例项目。

普通的网络安全建设类项目一般包括售前阶段、制订规划方案、执行安全评估与蓝队评估、需求分析、安全规划蓝图、安全规划报告、项目汇报推广七个阶段。

售前阶段：本阶段的首要任务是区分客户提出的是问题，还是需求。问题是销售提供的菜单上有，但做得让客户不满意的内容，使用标品解决。需求是销售提供的菜单上没有的，客户不知道该怎么做的，用订制化解决。只有客户提出需求时，才需要安全规划顾问到现场和客户交流。

安服规划顾问需要到现场收集对方的业务战略和业务规划、IT战略和IT规划、传递网络安全规划项目的交付内容、了解起安全规划项目的部门、做安全规划的真是需求是什么、投入费用是多少。

多听少说，对着机器说错了，机器会告诉你“command no found”，对着人说错了，money会给你say goodbye。不要怕麻烦，因为每一个问题都直接关系着项目投入收益比，团队小伙伴都要吃饭养家，不是搞慈善。

制订规划方案阶段：本阶段的文档要包括项目目标、参考依据、项目总体认识、行业安全态势、实施方法与步骤、验收与交付材料等。

参考依据一般依据GB或GB/T的标准，除非客户要求，非常尽量少用ISO标准体系。

项目总体认识来自上阶段和客户共同认定的方向与目标。行业安全态势来源于国内各调研机构的调研报告结合客户现状综合分析。

实施方法与步骤来源于同类项目经验与客户目标、规划的判断。验收交付材料取决于客户付多少钱，买奥迪和奥拓享受的待遇是截然不同的。

执行安全评估与蓝队评估阶段：实施阶段中，安全评估的方法和蓝队评估的授权最为重要。

首先，国内的安全评估基本是20984-2019、22239-2019、行业规范综合制订安全评估矩阵。

其次，蓝队评估一定要有客户授权。谁也不想工作越干越有“判头”，客户也不想担责，对吧？

需求分析阶段：需求提取阶段是安服建设类规划的核心。需要与客户IT发展情况结合，参考蓝队发现可利用脆弱性的难易程度分级分类输出真是的安全建设需求。

为什么是核心的，因为单纯的评估出问题没有经过验证，没有风险证据，通常会被开发部门或业务部门以各种接口推脱，不整改。真出问题，又说这是安全部门的事。

安服顾问需要通过各种证据，包括截图、照片、代码、威胁情报来证明，特别考验安服顾问对安全知识、应用知识、开发知识、沟通能力和汇报能力。

安全规划蓝图阶段：有了上阶段的安全需求分析，需要以客户最熟悉的方式“灌输”给他，即安全建设蓝图。

纯正的咨询公司基本上先有规划蓝图，再对比找差距，而咱们做到需求分析后面的原因是照顾客户各种情绪。因为暴露了那么多问题，或是安全部门不被重视，或是前期投入资源过少等等原因造成，所以规划蓝图上反应出的问题，一定是各方所认可的问题，懂吧？放心，不会有大家都认可后解决不了的技术问题，因为大家都举手的问题整改投入的资源是最多的，整改阻力也是最小的。

安全规划报告阶段：到这个阶段，现场的技术工作基本结束了，整个团队投入到总报告编写阶段。还是那句话，用客户最熟悉的方式表达网络安全问题，图表要漂亮。比如，给央企写报告，一定要参考客户的行文思路、字号、分段、逗号、句号的用法，以及能用图不用表，能用表不用排比的字等。

报告推广阶段：最后就是报告推广咯，万里长征最后一公里。带着自己和客户一起生的“儿子”到各个二级三位、三级单位宣讲，PPT逻辑完整，讲解自信。

特别注意PPT配色，一定使用在线工具自动化，母版用客户的。衣着得体，和客户企业的衣着要求完全匹配。

如果大家认真读完上面的内容，定觉得水。不是不愿意给出方法论、架构、框架、调研问卷、威胁库、差距分析矩阵等干货，而是不能干用团队的成果当自己的脸的傻事。

啰里八嗦一大堆，只能将网络安全规划实施方法略有表达，离真正的网络安全规划尚差N个0day的距离。如架构、框架、方法论和威胁建模等网络安全规划的核心均未涉及，希望有机会做成连载，和各位大佬逐一讨论。

最后，感谢自己所在团队。虽然都是无名之辈，但希望通过项目之火灼烧之后，每个人都变成凤凰。

（来源：我是安服）

（原文链接：https://mp.weixin.qq.com/s/wSumpyAmflXj03sbEk4Z9A）