2. 认识业务

本章简单介绍了认识业务的一些简单方式，只有通过对业务的了解才能完成对业务的安全建设防护。

了解企业所在行业的基础知识

充分了解企业所在行业的相关知识、最新的法规条例、如何演变的业务形态、关键的系统以及通讯协议、具体的业务流程以及制度等；同时关注行业领域内IT的发展 变化、IT所占业务盈利的百分比、IT中安全预算的占比以及关注同行业CIO，CTO对技术趋势的倾向性。了解行业基础，了解业务的核心价值以及发展趋势。业务核心是需要安全架构主动关注的，长期关注的部分。假设一个企业的优势在于跨境支付，那么围绕跨境支付的所有业务以及对应的系统就是核心价值所在。

关注企业的财报

关注企业的盈利能力，公开的财务数据能够知道企业内部是不是足够透明的，良性竞争的企业内部向来是不吝去开诚布公的讨论这些指标。员工经常能在Dashboard看到有多少笔Transaction（交易），Volume（数额）。 无论是公开的还是仅限内部的财务数据，只有在足够盈利或者有着充足储备的情况下，才能去建设安全团队以及完善安全体系建设。

了解你的客户

了解业务架构、应用架构、数据架构、技术架构等；了解业务的具体用户；了解用户的需求，结合现有的资源为客户提供服务。对于安全架构师来说，有时候并不是直接面临用户，而是企业内部的团队，客户不是平等[2]的，因为每个客户都是差异化的。

了解你的行业

了解安全行业的现状，以及各厂商的优劣，包含技术研究、售后支持、性价比等；

[1] 如果攻击面都不清楚，何谈防御呢？

[2] 指不具备相同的背景知识，例如不能奢求财务人员具备研发人员的背景知识，以及不奢求研发人员具备合规的知识。提供安全服务以相同的心态为不同水平的用户提供不同的服务。