12年网络安全从业经验，熟悉网络安全、数据安全及安全运营等领域，擅长企业网络架构和安全架构设计。近期一直在深耕开源安全相关工作，并持续开展SRC平台运营推广。

随着国际形势和网络安全态势日益严峻，网络安全不仅是企业需要关注的问题，更是为了国家安全需要兼顾的责任，企业的风险可能会影响到国家安全。国家倡导数字化转型，但是企业在数字化转型过程中面临的挑战是巨大的，不能因盲目发展业务而忽略强化网络安全能力，网络安全是数字化转型稳定可持续发展的关键因素。

网络安全贯穿企业内部的各个环节，需要全面建立适合自身的网络安全防护体系。网络安全防护体系不可能由某个组织或特定厂商独立开展，需要建立良好的网络安全生态，通过协同联合和技术能力融合。特别是在新技术、新应用大量使用的今天，发挥网络安全生态体系的整体能力将更加重要，以体系化智能化的建设模式，护航数字化变革。

目前网络安全技术生态表现为以大厂带动中小创业公司，大厂有人有资源，可以用最高的效率完成技术实现，也可以很好地完成客户需求对接，以更多的需求来完善产品的技术特性。但更多地是为了产品的输出，将功能标准化，缺点就是技术深度不足。

反之中小创业公司往往是以某个技术点完成突破，形成具有场景适应性的方案或产品，早期在特定的行业或场景中应用得很好，不久会因为资金投入和研发实力等原因无法做到最好。再发展将是大厂吃作坊，产品是保住了，但融入大厂后又回归到老问题。小公司创业者带着促进安全产业发展的情怀被磨灭，能够上市或被收购慢慢变成了二心，成功后可能不甘寂寞寻找新的安全方向或者转行投资，但多数倒在了路上。

其实安全技术生态不应该是这个发展规律，应该有一种持续向好的发展模式，大企业有大企业的担当，小公司有小企业的创新冲劲。企业要求的是一个简单易用见效的安全体系化方案，每个安全技术公司都能在其中扮演该有的角色，拒绝内卷和重复；发挥所有企业的强项，打通安全产品供应商技术壁垒，让兼容贯通成为根本；集所有顶尖的技术能力赋能企业，用最合适经济的产品方案与企业业务融合。

虽然企业通过购买安全产品扩大了安全市场的体量，但到底有多少安全产品或策略对企业是真正有用的？这一点是需要思考的。有人说为了合规，合规是安全技术工作的惰性借口，“合规是基线”其实是个理想状态，多少合规设备最终都躺在机房里的铁盒子。安全技术生态显然不是某一相干方能够达成的，需要所有参与其中的主体都能够首先思考，再去规划执行，希望以后能够真正向着安全技术生态的目标前进。

每个企业的运营发展都离不开第三方供应商的支撑协助，企业都扮演了供应链上下游中的某一个角色。在数字化转型浪潮中，想要整个趋势、整个产业链持续良性发展，每个企业都需要在做好自身业务的基础上，扮演好产业链中角色的作用，进行全方位考虑，共同推动整个产业链形成良好的生态。

基于生态伙伴业务类型和企业性质进行风险评估，制定有针对性的评估指标，明确服务价值链中存在的网络安全风险。针对各类第三方合作伙伴在合作准入方面制定明确的评估细则，量化辅助合作决策。

厘清供应商之间的交互关系，在交互链接场景中建立有效的管控机制，形成企业自身的供应链生态图谱，实时跟进生态图谱的动态性，指导持续的风险评估工作，通过可视化的风险图谱调整风险应对策略。基于供应商合作生命周期，制定全流程的风险管控措施，涵盖生态合作的战略决策、安全准入、常态管理、持续评估、变更退出等阶段。规范供应商合作管理体系，开展合作风险意识宣贯，帮助生态伙伴提升安全防护水平及合规协作能力，以更强的实力参与到生态安全共建的工作。只有供应链上的每个企业都将安全能力和安全意识提升到一个高水平，整个产业或行业的安全防护水平才能更上一个新台阶，国家安全也必然坚不可摧。

当下安全厂商和企业之间还处于点对点连接状态，甚至还处于单方向连接状态。安全厂商将自己标准化的产品售卖给企业，企业是否在网络安全能力建设中应用或者发挥作用，安全厂商和企业之间未形成有效连接，此模式不仅浪费了企业的安全资源，也没能促使安全厂商的产品打磨优化，更重要的是没能帮助企业有效提升安全能力。

另外安全产业存在同质化竞争严重，为获得客户打价格战。未能建立有效的生态合作，导致过低毛利难以支撑产品迭代的持续性，恶性循环，必然生存压力大。安全厂商之间整体态势竞争大于合作，产品和技术之间存在大量功能重复，造成资源浪费。部分领域的安全产品发展到一定阶段，可能通过国资的引入来加强产业整合，但因尚未形成体系化、规范化的产业格局，只能是安全厂商各自借助国资抢占市场导致竞争加剧，不利于网络安全产业生态的健康发展。

网络安全需要协同。从甲方视角看，需要通过在行业建立联合机制，比如央企联盟、行业协会等，借助中间的虚拟组织充分挖掘行业或企业的安全需求和痛点，聚合分析相似需求再去定制化构建有效的技术能力和解决方案，建立需求方和供给方之间的有效连接关系。从乙方视角看，基于场景需求的产品输出将是投入产出比最高的，避免了资源浪费和重复研究，针对大型的安全场景可以在安全厂商之间建立协同，形成以价值为导向的生态合作体系，供应商共同构成一个网状的生态链条，互为资源、相互赋能，按照市场规律获得相对应的市场回报，合作关系宽松紧密。

网络安全相关方仍处于孤立状态，需要在企业和厂商之间建立有效网关机制来推进生态发展。网络安全保险恰好可以扮演服务网关的角色，借助保险与其他利益相关者合作进行主动风险管理，实现“事前检测预防、事中持续监控、事后理赔响应”的全过程安全保障。

当前网络安全行业错综复杂，导致甲乙双方信息严重不对称。网络安全保险作为网络安全创新业务模式，能够成为企业和供应商之间的桥梁，通过保险将企业和安全厂商建立紧密联系，建立行业标准化的网络安全保险产品方案，提升行业内企业网络安全风险防御能力。

从网络安全公司业务拓展的角度，可以打破调研和拜访的传统合作路径。将网络安全公司建设成为网络安全保险的后端服务资源池，更多扮演被需求方的角色。网络安全保险公司筛选模型是基于市场数据，网络安全保险能够根据企业安全需求匹配出对应的最优秀网络安全公司。随着网络安全保险持续赋能作用，不仅能够提高网络安全公司产品和方案实力，也进一步提升了投保企业的网络安全水平。

近期数字经济和数字要素概念的兴起，业务和数据紧密结合，网络安全作为保障的基座，也将全面与数字经济融合。网络安全数据很少有人提及，就好比安全防护设备一样，早期边界安全认知时期，大家都认为安全防护设备是一种“安全”设备，忽视了他本身也是一种“设备”，也有被攻击的可能性，而且一旦被攻击成功危害更大。其实网络安全数据也是企业甚至国家的重要数据，网络安全数据包含各种安全设备的数据以及内部脆弱性、外部威胁等方面。企业需要强化安全意识，提升保障措施，避免此类数据泄露。

行业主管部门作为网络安全的监督管理部门，需要及时掌控不同行业或企业当前的网络安全状况。主管部门构建安全数字生态，构建打通各行业的网络安全统一管理平台，实时管控不同行业或企业的网络安全风险状况，了解企业信息系统的健康状况、风险概率等关键指标，并实现可视化管理及可量化报告输出，助力主管部门全面提升监管能力。

情报是安全数字生态最佳落地场景，威胁情报可以帮助企业实现对未知威胁的预防预判，事前建立针对性防御方案，有效降低事中分析预警和事后应急响应的成本，提升风险应对效率。但由于当下威胁情报来源较多，情报的标准化不高，导致安全运营人员的分析负荷较大。作为甲方企业希望威胁情报数据能够建立生态，各安全情报机构能够共建共享，联防联控，协同输出有效精准的情报策略，前移威胁情报的分析处理能力，真正让企业作为威胁情报的使用者，提升防御效率。