过去几十年间，企业安保的职业模式大致经历了三次演变——从传统的“3G”形象到所谓的“4D”概念，再到最新的“5维安保”（5-dimensional Security）。这个过程不仅是几个名词的更替，也体现了安保这个行当从“成本中心”向“战略赋能者”身份的转型。

3G形象：门、枪、人

“3G”就是 Guards（保安人员）+ Gates（门禁围墙）+ Guns（武装响应）三个英文词首字母缩写。

这是上世纪90年代以前最主流的安保模型，也是大多数人对安保（security）这个行业和保安（security guards）这个职业的印象。直到今天，仍有很多人（包括安保业内人士）还把“安保”和“保安”混为一谈。这一点以前谈过很多次了，此不赘述。

3G安保时代的核心管理逻辑是——“把坏人挡在外面，把资产锁在里面”。

这种模式只能提供一种表面上的“安全感”，很多时候是“假安全感”（false sense of security），说白了就是给自己壮胆儿，做个样子，显得有人在而已，但无法为企业提供全面的安全防护，一旦出现内部泄密、内外勾结、供应链遭受攻击、网络勒索或声誉危机，3G安保模式基本束手无策——现代社会的绝大多数安保风险并不能只靠传统实体安保措施来杜绝。

于是，大家开始寻找下一代答案。

4D：一个听起来很厉害的概念

大约2015年前后，安全圈开始非常流行“4D安保”的说法，4D是下面四个英文字的首字母缩写：

• Deter（威慑）——指各种安保措施（含人防与物防/技防）的功能首要在于犯罪震慑

• Detect（探测/侦测）——指安保措施的第一道防线要敏于侦测不法企图

• Delay（延缓）——指安保措施在侦测到不法企图后要能起到延缓、阻碍不法行为继续进行的作用

• Defend（防御）或 Deny（阻止）——指安保措施最终要能有效制止不法行为

有人说这个概念其实本质上仍是“被动防御”的思维，只是在原来的门+枪+人（3G）基础上增加了更先进的摄像头、报警器和快速反应而已。

这个模式也也无法回答董事会经常挑战安保部门高管的两个问题：

• 我们到底面临多大以及哪些安保风险？

• 我们花在安保上的每一分钱，是否真的降低了这些风险、带来了多少商业价值？

这几年好像很少再听到人们说4D概念了，不过我仍然认为4D是“安保分级管理”（security layers）概念的一个最佳范例。

5维安保：从“守门人”到“商业护航者”

近几年，国际安全顾问协会（Security Executive Council, SEC）提出了一个新概念：“五维安保模型”（5-Dimensional, or “5-D Security”），把安保从单纯的执行部门，升级到了企业战略职能部门。

这个理论中的“五维”指的是：

1. Risk-Based（基于风险）

把有限资源投入真正高概率、高影响的安保风险上，安保部门高管要学会用企业风险管理（ERM）的语言和董事局对话，而不是只汇报“本月抓了几个小偷”。

2. Research-Guided（研究驱动）

建立企业内部威胁情报团队，持续跟踪地缘政经形势、最新攻击趋势、行业科技动态等，安保决策不再靠直觉，而是靠数据和行业基准（industry benchmark）。

3. Intelligence-Driven（情报主导）

从被动等报警，变成主动应对威胁。情报周期（收集-分析-预警-处置）成为日常工作核心，而不是偶尔搞个“红蓝对抗”做样子。

4. Metrics-Verified（指标验证）

所有安保工作都要有KPI，而且必须和业务结果挂钩。（*涉及量化绩效指标，以后专门讲）

5. Business-Valued（商业价值）

安保部门不再是“花钱的黑洞”，而是被视为：

保护利润的最后一道防火墙

维护品牌声誉的核心力量

支持业务扩张的战略伙伴（比如为新市场进入做安全尽职调查）

当这五个维度都运转起来的时候，跨国集团的安保负责人第一次真正坐到了高层决策桌的主桌上，而不是像过去一样列席或屈居二线。

4D时代，保安穿上了防刺背心，配备了甩棍、辣椒水、橡胶棒、围墙上监控密布；

5维时代，现代企业的安保负责人应该是一位既懂地缘政治、又会数据分析、既能和CEO, CFO用商业语言对话的“风险免疫官”，又会和信息/网络安全专家探讨安全技术问题，还懂得如何管理基层安全团队、培养年轻安全专业人士。

从3G到5维，不是简单的技术升级，而是一场认知层面的变革。这个变革刚刚开始，需要每个从业人员去思考并身体力行。

安保这个行当何去何从，security这个职业未来如何发光，都看你我如何认识和面对这场变革。

你所在的企业，现在在哪个阶段？