我們眼中的藍海其實就是下面的水池而已，關鍵你站多高。

　　網絡安全之不可說

　　時至今日，網絡安全已經從一個純粹的IT技術領域延展為全知識領域的范疇；數字化的快速發展使得數字化所關聯的首先是社會，對于社會而言數字化承載的一切人事物與IT/OT（美國更傾向于ICT/OT的稱呼）技術密切相連，而串聯這條線的是業務，而不是傳統的硬件、軟件、固件、通信，但是上述IT的組件成為數字化的重要載體。因此，安全問題首先應該打破技術入侵和技術故障來討論，更重要的是討論數字化的必要性、關鍵性、可靠性和價值觀。虛偽的數字化只會讓世界更加混亂而不會讓世界變得美好，因為這一切不僅有代表技術實力的人的因素，還包括更多的自然因素。

　　網絡安全專業公司不愿觸及的供應鏈安全問題；當供應鏈攻擊成為一種趨勢和時尚的時候，大家發現，他不再像傳統的安全問題一樣，各種專家、專業公司、業內大咖群情激憤的提供解決方案，而是選擇了沉默。其實原因很簡單，每個組織都離不開供應鏈問題，從OEM到為了彌補低價競爭帶來的成本問題而使用的低質配件、能力不相匹配的人員以及其他利益鏈帶來的供應鏈問題。當然，無序的過度使用第三方SDK成為整個供應鏈的重災區。本身的網絡安全行業都面臨的問題使得正人先正己變成一面丑陋的鏡子，但是，供應鏈安全問題將成為繼社會工程學之后另外一個難解之題。

　　過度的數字化帶來的情報化的膨脹；如果沒有威脅情報、態勢感知等術語，情報可能永遠不會成為網絡安全領域內的一個關注點。畢竟國內對于情報學是在一個小眾學科領域的知識。所以狹義的數據挖掘很少會把產生數據的視角像情報靠攏。但是，數據（我更喜歡把數據定義為有形的可視化，和通過感知所獲得的無形化的產物，如：觸覺、聽覺、嗅覺、視覺、味覺等等多元化的表現形式）所產生的種種觀點使得數據與情報本身就是同一元素。情報源于數據，而任何數據都能被數字化所表達，因此，數字化必然帶來情報化的濫用，這時候，數字本身的保護變成從一個公民隱私到商業情報，最終可能觸及國家安全的問題。

　　簡單和可靠的彈性安全問題；簡單和可靠這個概念前幾天從深信服的一個觀點中看到，覺得很實在。安全造就了復雜性，而復雜性帶來了業務的效率難題和維護的復雜性，這與安全初衷不符，但是如何簡化安全，這不是用一兩個概念能實現的，我們往往喜歡后置安全（可能這會大大拉動GDP吧）但是后置安全往往會改變業務邏輯架構。如何建立前置安全，其實雖然國家立法三同步（同步規劃，同步建設，同步使用），但是真正的三同步的落實不僅是如何遵循政策，而是需要專業的方案解決商和專業的項目管控組織以及項目實施組織。比如：等保定級，一個新系統定級到底應該從哪個階段開始，從系統工程理論角度而言，新系統定級應該是在需求階段產生，設計階段滿足，開發/采購階段實現，交付驗收階段確認，最后在部署運行階段備案。但是網絡安全等級保護最大的短板就是把整個IATF最大的主線-系統工程理論給抹殺。彈性是谷歌所強調的問題，彈性是為業務在行程不斷變化過程中的可伸縮性的問題，安全也必須具備彈性而不是一種固化的模式，彈性、可靠性、保密性、完整性和可用性構成谷歌的重要安全架構支柱與思想。