我们眼中的蓝海其实就是下面的水池而已,关键你站多高。
网络安全之不可说
时至今日,网络安全已经从一个纯粹的IT技术领域延展为全知识领域的范畴;数字化的快速发展使得数字化所关联的首先是社会,对于社会而言数字化承载的一切人事物与IT/OT(美国更倾向于ICT/OT的称呼)技术密切相连,而串联这条线的是业务,而不是传统的硬件、软件、固件、通信,但是上述IT的组件成为数字化的重要载体。因此,安全问题首先应该打破技术入侵和技术故障来讨论,更重要的是讨论数字化的必要性、关键性、可靠性和价值观。虚伪的数字化只会让世界更加混乱而不会让世界变得美好,因为这一切不仅有代表技术实力的人的因素,还包括更多的自然因素。
网络安全专业公司不愿触及的供应链安全问题;当供应链攻击成为一种趋势和时尚的时候,大家发现,他不再像传统的安全问题一样,各种专家、专业公司、业内大咖群情激愤的提供解决方案,而是选择了沉默。其实原因很简单,每个组织都离不开供应链问题,从OEM到为了弥补低价竞争带来的成本问题而使用的低质配件、能力不相匹配的人员以及其他利益链带来的供应链问题。当然,无序的过度使用第三方SDK成为整个供应链的重灾区。本身的网络安全行业都面临的问题使得正人先正己变成一面丑陋的镜子,但是,供应链安全问题将成为继社会工程学之后另外一个难解之题。
过度的数字化带来的情报化的膨胀;如果没有威胁情报、态势感知等术语,情报可能永远不会成为网络安全领域内的一个关注点。毕竟国内对于情报学是在一个小众学科领域的知识。所以狭义的数据挖掘很少会把产生数据的视角像情报靠拢。但是,数据(我更喜欢把数据定义为有形的可视化,和通过感知所获得的无形化的产物,如:触觉、听觉、嗅觉、视觉、味觉等等多元化的表现形式)所产生的种种观点使得数据与情报本身就是同一元素。情报源于数据,而任何数据都能被数字化所表达,因此,数字化必然带来情报化的滥用,这时候,数字本身的保护变成从一个公民隐私到商业情报,最终可能触及国家安全的问题。
简单和可靠的弹性安全问题;简单和可靠这个概念前几天从深信服的一个观点中看到,觉得很实在。安全造就了复杂性,而复杂性带来了业务的效率难题和维护的复杂性,这与安全初衷不符,但是如何简化安全,这不是用一两个概念能实现的,我们往往喜欢后置安全(可能这会大大拉动GDP吧)但是后置安全往往会改变业务逻辑架构。如何建立前置安全,其实虽然国家立法三同步(同步规划,同步建设,同步使用),但是真正的三同步的落实不仅是如何遵循政策,而是需要专业的方案解决商和专业的项目管控组织以及项目实施组织。比如:等保定级,一个新系统定级到底应该从哪个阶段开始,从系统工程理论角度而言,新系统定级应该是在需求阶段产生,设计阶段满足,开发/采购阶段实现,交付验收阶段确认,最后在部署运行阶段备案。但是网络安全等级保护最大的短板就是把整个IATF最大的主线-系统工程理论给抹杀。弹性是谷歌所强调的问题,弹性是为业务在行程不断变化过程中的可伸缩性的问题,安全也必须具备弹性而不是一种固化的模式,弹性、可靠性、保密性、完整性和可用性构成谷歌的重要安全架构支柱与思想。
本文经樊山老师同意,转自其朋友圈,如需引用或转载,请注明出处,尊重原作者(樊山老师)!
做对用户有真实价值的网络安全服务
一起揭穿网络安全的一些常见的神话!
通过 4 件事来确保网络安全
联系客服
