我們眼中的藍(lán)海其實(shí)就是下面的水池而已,關(guān)鍵你站多高。
網(wǎng)絡(luò)安全之不可說
時(shí)至今日,網(wǎng)絡(luò)安全已經(jīng)從一個(gè)純粹的IT技術(shù)領(lǐng)域延展為全知識領(lǐng)域的范疇;數(shù)字化的快速發(fā)展使得數(shù)字化所關(guān)聯(lián)的首先是社會,對于社會而言數(shù)字化承載的一切人事物與IT/OT(美國更傾向于ICT/OT的稱呼)技術(shù)密切相連,而串聯(lián)這條線的是業(yè)務(wù),而不是傳統(tǒng)的硬件、軟件、固件、通信,但是上述IT的組件成為數(shù)字化的重要載體。因此,安全問題首先應(yīng)該打破技術(shù)入侵和技術(shù)故障來討論,更重要的是討論數(shù)字化的必要性、關(guān)鍵性、可靠性和價(jià)值觀。虛偽的數(shù)字化只會讓世界更加混亂而不會讓世界變得美好,因?yàn)檫@一切不僅有代表技術(shù)實(shí)力的人的因素,還包括更多的自然因素。
網(wǎng)絡(luò)安全專業(yè)公司不愿觸及的供應(yīng)鏈安全問題;當(dāng)供應(yīng)鏈攻擊成為一種趨勢和時(shí)尚的時(shí)候,大家發(fā)現(xiàn),他不再像傳統(tǒng)的安全問題一樣,各種專家、專業(yè)公司、業(yè)內(nèi)大咖群情激憤的提供解決方案,而是選擇了沉默。其實(shí)原因很簡單,每個(gè)組織都離不開供應(yīng)鏈問題,從OEM到為了彌補(bǔ)低價(jià)競爭帶來的成本問題而使用的低質(zhì)配件、能力不相匹配的人員以及其他利益鏈帶來的供應(yīng)鏈問題。當(dāng)然,無序的過度使用第三方SDK成為整個(gè)供應(yīng)鏈的重災(zāi)區(qū)。本身的網(wǎng)絡(luò)安全行業(yè)都面臨的問題使得正人先正己變成一面丑陋的鏡子,但是,供應(yīng)鏈安全問題將成為繼社會工程學(xué)之后另外一個(gè)難解之題。
過度的數(shù)字化帶來的情報(bào)化的膨脹;如果沒有威脅情報(bào)、態(tài)勢感知等術(shù)語,情報(bào)可能永遠(yuǎn)不會成為網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的一個(gè)關(guān)注點(diǎn)。畢竟國內(nèi)對于情報(bào)學(xué)是在一個(gè)小眾學(xué)科領(lǐng)域的知識。所以狹義的數(shù)據(jù)挖掘很少會把產(chǎn)生數(shù)據(jù)的視角像情報(bào)靠攏。但是,數(shù)據(jù)(我更喜歡把數(shù)據(jù)定義為有形的可視化,和通過感知所獲得的無形化的產(chǎn)物,如:觸覺、聽覺、嗅覺、視覺、味覺等等多元化的表現(xiàn)形式)所產(chǎn)生的種種觀點(diǎn)使得數(shù)據(jù)與情報(bào)本身就是同一元素。情報(bào)源于數(shù)據(jù),而任何數(shù)據(jù)都能被數(shù)字化所表達(dá),因此,數(shù)字化必然帶來情報(bào)化的濫用,這時(shí)候,數(shù)字本身的保護(hù)變成從一個(gè)公民隱私到商業(yè)情報(bào),最終可能觸及國家安全的問題。
簡單和可靠的彈性安全問題;簡單和可靠這個(gè)概念前幾天從深信服的一個(gè)觀點(diǎn)中看到,覺得很實(shí)在。安全造就了復(fù)雜性,而復(fù)雜性帶來了業(yè)務(wù)的效率難題和維護(hù)的復(fù)雜性,這與安全初衷不符,但是如何簡化安全,這不是用一兩個(gè)概念能實(shí)現(xiàn)的,我們往往喜歡后置安全(可能這會大大拉動GDP吧)但是后置安全往往會改變業(yè)務(wù)邏輯架構(gòu)。如何建立前置安全,其實(shí)雖然國家立法三同步(同步規(guī)劃,同步建設(shè),同步使用),但是真正的三同步的落實(shí)不僅是如何遵循政策,而是需要專業(yè)的方案解決商和專業(yè)的項(xiàng)目管控組織以及項(xiàng)目實(shí)施組織。比如:等保定級,一個(gè)新系統(tǒng)定級到底應(yīng)該從哪個(gè)階段開始,從系統(tǒng)工程理論角度而言,新系統(tǒng)定級應(yīng)該是在需求階段產(chǎn)生,設(shè)計(jì)階段滿足,開發(fā)/采購階段實(shí)現(xiàn),交付驗(yàn)收階段確認(rèn),最后在部署運(yùn)行階段備案。但是網(wǎng)絡(luò)安全等級保護(hù)最大的短板就是把整個(gè)IATF最大的主線-系統(tǒng)工程理論給抹殺。彈性是谷歌所強(qiáng)調(diào)的問題,彈性是為業(yè)務(wù)在行程不斷變化過程中的可伸縮性的問題,安全也必須具備彈性而不是一種固化的模式,彈性、可靠性、保密性、完整性和可用性構(gòu)成谷歌的重要安全架構(gòu)支柱與思想。