我們眼中的藍海其實就是下面的水池而已，關鍵你站多高。

　　網絡安全之不可說

　　時至今日，網絡安全已經從一個純粹的IT技術領域延展為全知識領域的范疇；數(shù)字化的快速發(fā)展使得數(shù)字化所關聯(lián)的首先是社會，對于社會而言數(shù)字化承載的一切人事物與IT/OT（美國更傾向于ICT/OT的稱呼）技術密切相連，而串聯(lián)這條線的是業(yè)務，而不是傳統(tǒng)的硬件、軟件、固件、通信，但是上述IT的組件成為數(shù)字化的重要載體。因此，安全問題首先應該打破技術入侵和技術故障來討論，更重要的是討論數(shù)字化的必要性、關鍵性、可靠性和價值觀。虛偽的數(shù)字化只會讓世界更加混亂而不會讓世界變得美好，因為這一切不僅有代表技術實力的人的因素，還包括更多的自然因素。

　　網絡安全專業(yè)公司不愿觸及的供應鏈安全問題；當供應鏈攻擊成為一種趨勢和時尚的時候，大家發(fā)現(xiàn)，他不再像傳統(tǒng)的安全問題一樣，各種專家、專業(yè)公司、業(yè)內大咖群情激憤的提供解決方案，而是選擇了沉默。其實原因很簡單，每個組織都離不開供應鏈問題，從OEM到為了彌補低價競爭帶來的成本問題而使用的低質配件、能力不相匹配的人員以及其他利益鏈帶來的供應鏈問題。當然，無序的過度使用第三方SDK成為整個供應鏈的重災區(qū)。本身的網絡安全行業(yè)都面臨的問題使得正人先正己變成一面丑陋的鏡子，但是，供應鏈安全問題將成為繼社會工程學之后另外一個難解之題。

　　過度的數(shù)字化帶來的情報化的膨脹；如果沒有威脅情報、態(tài)勢感知等術語，情報可能永遠不會成為網絡安全領域內的一個關注點。畢竟國內對于情報學是在一個小眾學科領域的知識。所以狹義的數(shù)據挖掘很少會把產生數(shù)據的視角像情報靠攏。但是，數(shù)據（我更喜歡把數(shù)據定義為有形的可視化，和通過感知所獲得的無形化的產物，如：觸覺、聽覺、嗅覺、視覺、味覺等等多元化的表現(xiàn)形式）所產生的種種觀點使得數(shù)據與情報本身就是同一元素。情報源于數(shù)據，而任何數(shù)據都能被數(shù)字化所表達，因此，數(shù)字化必然帶來情報化的濫用，這時候，數(shù)字本身的保護變成從一個公民隱私到商業(yè)情報，最終可能觸及國家安全的問題。

　　簡單和可靠的彈性安全問題；簡單和可靠這個概念前幾天從深信服的一個觀點中看到，覺得很實在。安全造就了復雜性，而復雜性帶來了業(yè)務的效率難題和維護的復雜性，這與安全初衷不符，但是如何簡化安全，這不是用一兩個概念能實現(xiàn)的，我們往往喜歡后置安全（可能這會大大拉動GDP吧）但是后置安全往往會改變業(yè)務邏輯架構。如何建立前置安全，其實雖然國家立法三同步（同步規(guī)劃，同步建設，同步使用），但是真正的三同步的落實不僅是如何遵循政策，而是需要專業(yè)的方案解決商和專業(yè)的項目管控組織以及項目實施組織。比如：等保定級，一個新系統(tǒng)定級到底應該從哪個階段開始，從系統(tǒng)工程理論角度而言，新系統(tǒng)定級應該是在需求階段產生，設計階段滿足，開發(fā)/采購階段實現(xiàn)，交付驗收階段確認，最后在部署運行階段備案。但是網絡安全等級保護最大的短板就是把整個IATF最大的主線-系統(tǒng)工程理論給抹殺。彈性是谷歌所強調的問題，彈性是為業(yè)務在行程不斷變化過程中的可伸縮性的問題，安全也必須具備彈性而不是一種固化的模式，彈性、可靠性、保密性、完整性和可用性構成谷歌的重要安全架構支柱與思想。