►一年似乎很长，那种感觉似乎在少年时候总是这样，特别是在物质匮乏的年代，饥饿感是那么的清晰和可怕，不努力就会挨饿。但我真的忘记了，即便是刻意去思索，到底是啥时候我和家人才远离了饥饿，似乎这个问题确实在当下显得那么的无聊。但白岩松在央视的一期节目中把这个问题当作了话题，我也是在无意中看到后竟然随着节目的进行陷入了深刻的思考之中，直到现在，特别是在讲台上，我还会把这个话题逐渐反思并反复提及。还没来得及讲完这个话题，一学期就到头了，寒去暑来，似乎一年竟然过的比小时候的半年甚至四分之一还要快。时间都去那儿了？还没好好想想，我都已经开始变老了。

当年被贴上做事执着的我，现在竟然变得不再与春风对酒当歌。我别了江湖，我变成传说，曾经的美梦被现实刺破，哥已不再是当年的哥，不再携秋水去揽星河；我入了红尘，我熬着烟火，万丈的雄心一点点消磨。歌词歌曲打动了我的神经，我依然是我。

►年初我们做了计划，年末我们开始做总结，然后年初又继续计划，周而复始。但是我们有没有做三年计划、五年计划？对公司的安全工作有没有更加长远的计划？而不是一年一个小计划。很多人可能会说，三年后我都未必在这家公司了，这样长久的计划没有太大的作用，这可能就是有小计划而没有蓝图的原因。

我们国家自1953年实施的一个五年计划以后，到今天为止，已经到了十四个五年计划，我们也从当初的积贫积弱变成了现在的世界第二大经济体，实际生产力和购买力全球第一的强大国家。蓝图可以让一个国家目标统一，精力集中到一个共同计划中来，所以蓝图非常重要。

对于一个公司来说，公司应该有总体的蓝图，安全工作也应该有自己的蓝图。安全工作的蓝图应该与公司的总体蓝图结合，这样才能让大家力往一处使，才能让安全是大家的事情不成为空话。也让大家对安全工作有预期，而不是今天一个运动，明天一个事件，最后感觉安全在运动，大家在围观。所以安全工作要牢记“网络安全为人民，网络安全靠人民”这句话，这叫做不忘初心，牢记使命。

►从财务指标或经营发展指标的角度看，网络安全部门是成本分担部门，而且是看不见、摸不着的虚成本部门。财务在月度核算时，网络安全部门没有收入，只有成本支出；经营发展部门在月度核算时也看不到网络安全部门的毛利。在企业每个月的各类费用指标报表中，网络安全部门除了人工成本和差旅费等支出外，收入一直默默贡献着“0”。从经营发展视角看，每个月对网络安全的观感都不会太好，也从心底里“鄙视”。

网络安全部门需要想办法体现出自身的经营价值。首先可以对安全工作进行成本量化，比如安全测试工作可以从业务部门进行工作量和成本化转，安全保障工作可以用巡检、漏洞等进行工作量转化，在内部工作支撑方面明确网络安全部门工作的“盈利指标”，跨部门赚的钱也可以体现为收入。网络安全团队能力发展到一定阶段，可以通过科技成果、对外服务、保障支撑等方式实现经济效益，或通过隐性奖励的方式转化，这些都可以作为经营成果的体现。

►安全是产品的属性，和可用性、可靠性、可扩展性一样，属于产品质量属性。质量管理可以采用质量成熟度模型来衡量，例如麦肯锡质量模型、ISO9004成熟度模型、IQMM国际质量成熟度模型等，安全的成熟度模型有CMMI V2.0模型、OWASP SAMM模型、数据安全能力成熟度模型DSMM等，但是针对软件安全技术缺乏统一的指导标准。

很多企业的安全性由安全部门把关，而不是质量部门，那如何衡量产品的安全性呢？虽然威胁建模可以将识别威胁的过程标准化和结构化，但只是粗粒度的风险。例如人员仿冒风险可以采用身份认证的手段来防范，具体到使用哪种认证方式？口令认证还是人脸识别？口令认证是否需要验证码？口令长度设置多少位？这些就很难回答。再比如信息泄露风险通过本地数据存储加密，具体该采用哪种加密算法（DES,3DES,AES,TEA 等）？加密密钥应该采用多少位？分组密码采用哪种模式？这些问题没有标准答案，根据不同应用场景、不同数据（敏感个人数据和一般个人数据）采取的加密方式都不一样。因此，对于企业来说，制定符合自身的具有指导意义的安全标准就非常重要。

►对于网络安全整体发展趋势，主要基于两个视角，一个是行业发展的视角，一个是企业维度的视角。以三个参数观察在时间和空间两个维度的变化趋势，从而进行预测。

三个参数中，解决方案作为行业发展的参数，从技术与产品发展规律而言，接近线性发展，网络安全的边界作为行业与企业关联的参数，决定了企业网络安全风险的需求与行业解决方案之间的差距。网络安全的边界符合人类风险认知的规律，从初期的缓慢发展，逐渐向指数发展演进。资源是企业在网络安全投入的成本也是行业获得收入的主要来源，为了更好地表现出其中的趋势，我们采用资源比作为参数，资源比是同等效果下的资源投入，也是目前企业管理维度实现降本增效措施的基本趋势。因此虽然资源呈线性增长趋势，但资源比会在需求和解决方案平衡阶段呈指数下降的趋势，在失衡状态下重新表现出增长趋势。

以当下时点为原点，个人认为，2022年末，行业解决方案对企业网络信息安全的需求尚未达到平衡阶段，尚不能解决企业认知的网络信息安全边界的需求。在3-5年内，随着行业解决方案的发展，会达到企业当下认知水平的网络安全边界与解决方案的平衡，企业进入认知水平的风险平衡状态。

►第一步我们分析了我们企业软件开发面临的困境，主要包括以下几个方面：

一是外部采购的软件仍占据相当的比例，特别是一些长尾类的互联网应用，尽管采取了要求供应商提供第三方安全测试报告等措施，仍很难保证其安全性。

二是外包开发人员占比较高，人员流动性较大，安全意识和安全技能培训很难达到预期效果，难以沉淀。

三是面对成千上百的应用和紧锣密鼓的项目，传统的上线前安全测试的工作成本越来越高，就像“打地鼠”游戏一样，很难确保安全漏洞被及时发现，整改成本也居高不下。

四是开发人员面对安全要求的抵触情绪越来越强烈，受害者心态明显，总是反复沟通和修改才能实现安全要求，停留在“就事论事”层面，无法形成安全能力。

五是组件化、微服务化、低代码化开发趋势明显，开发人员越来越习惯于采用“乐高拼装式”方式开发业务应用，逐渐要求安全团队提供安全组件以帮助开发人员专注业务功能开发。

►展望2023，在全球数字化转型的浩荡进程中，企业所面临的网络安全与数据合规的压力将持续增加。面对黑客攻击、监管边际和内部威胁的可能性，我们除了持续应用最先进的网络架构以外，不妨换个视角，探讨面对即将失败的网络防御，如何建立更可用的网络系统。

在数字化时代，由软件、数据和算法构建的网络系统是支持企业业务正常运转的基本要素之一。随着软件产业的快速发展，网络技术的发展促使网络复杂程度、网络攻击频次和数据集中度上升，导致网络系统的整体安全防护难度越来越大。因此，期望通过提升网络系统的韧性，使得整个网络系统面对各种破坏、干扰、中断等不利影响时，能够经受住这些威胁并从威胁中恢复。在NIST SP 800-160中给出了比较全面和权威的解答——网络弹性解决方案。

►这里不得不再次强调隐私影响评估 (PIA)，因为PIA 有助于识别因政策变更以及新项目带来的隐私风险。PIA 是一种重要的隐私设计流程，有助于遵守隐私义务并为企业带来好处。

隐私影响评估 (PIA) 是对项目的系统评估，确定项目可能对个人隐私产生的影响，并提出管理、最小化或消除这些影响的建议。完成PIA可能很简单，重要的是将企业的注意力转向隐私风险。每个PIA将根据项目中涉及的个人信息的性质和范围而有所不同。但是，有一些一般原则始终适用于 PIA。

需要考虑项目的隐私风险和缓解策略，这不仅仅是基本的合规性检查；

应该在足够早的阶段完成，以影响项目的进展方式（例如，在规划和设计或业务案例阶段）；

应该与项目一起进行（有效的 PIA 将考虑如果项目规模或范围扩大可能出现的隐私风险；当项目发生变化时，应该重新审查和更新 PIA）；

应纳入可能感兴趣或受项目影响的利益相关者对隐私风险的反馈；

将映射作为项目一部分的信息是如何收集的，一旦收集到信息，信息将如何流动（谁可以访问它，如何存储它，将用于什么，等等）；

应识别任何隐私问题并提出可以管理、最小化或消除隐私风险的方法（使用信息流图） 。

不是所有的项目都需要 PIA。相比之下，笔者觉得设计隐私是一个更广泛的概念，因为它适用于任何需要处理个人信息的企业，并要求企业在经营的各个方面都考虑到隐私因素。

本月共发出8篇以“回顾与展望，无题”为主题的专家文章，在此附上链接，供诸位参考。

根据征文活动规则，综合每日打卡、投稿及文章阅读量折合积分后，现将参与者总积分表公示↓

在此恭喜刘志诚以90分夺得第一，获得诸子笔会2022的12月月奖，奖金1000元！同时所有发表征文的笔会专家也都将获得200元稿费。