网安100篇分享的心路历程

为了测试公众号而转发的一篇（于2017年7月），所以非正式（算第0篇吧），但是为了表达当时心境，今天回头看看，文章里面有短话还是有些意思。

【学产品，我以前跟所有的工程师都讲，如果不懂产品，你不可能成为一个最好的工程师。真正要做世界一流的工程师不光要懂产品，还要懂整个商业，懂生态。因为你的工作的责任，是能够看到将来，把技术展望到将来的需求，把平台、把开发流程、把你的团队为将来做准备。所以学习是非常非常重要的。】

-----事实上那时候我可能都没意识到其重要性，可能有些浮躁。

那时候看了很多Gartner的文章，可能那时候是建立起了对当前和未来技术趋势的好奇，自己写了几篇总结。

之后，继续“搬砖”，无任何声音，有时候比较怀疑自己了，转折点在2019年，一个变故，似乎打开了另一扇窗户，听了师傅一堂公开课，觉得差距不小，是时候改变了。那时候火的是零信任与数据安全，疫情期间炼内功，2020年4月尝试写了一篇《以零信任技术为指导的数据安全体系》在期刊，2023年11月发现图的内核被“盗用”，哈哈，还是有些用。

那时候，影响我的是当时公司技术氛围浓厚、专家视野广阔和优秀的文章输出，那时候，我想我应该写点儿什么，于是在公众号正式发表第1篇《访问控制技术模型与应用》于2020-6-28（同时，公众号名称改成 身份安全技术），这篇里面有很多延伸概念一直都是讨论的焦点话题，后来一直想重塑这篇初级文章，还没来得及，搞笑的是3年后居然翻出这篇去给他人救急。

第2篇，《PAM，IAM，堡垒机的区别与联系，及其发展杂谈》，很多人不知道发表这篇的背景，我还记得当时是与一位好友周六通话，某种事件激发了我，我需要一个载体“教育”一些人，这篇一夜成稿，发表于第二天（2020-07-19 ），有意思的是文章表达了spa only是技术，可应用于代理系统（如堡垒机），而不是SDP的独享，包括docker技术在堡垒机的趋势（比如应用发布的应用），事实上到2023年后很多堡垒机厂商运用了spa，营销零信任堡垒机，哈哈，不晓得掉坑里没有。

写到这里，突然想起现在还有所谓的专家问：IAM与IDaaS，咋个名称不一样呢，IGA又是个什么呢，区别是啥？

第3篇，《2020网络安全技术成熟度》翻译稿于2020-7月，那时候对SASE及RBI感兴趣，以色列cato是了解的第一家SASE供应商，McAfee是了解的第一家RBI供应商。

第5篇，好像是2020-8月参加CSA零信任第一期培训后，有着相同技术爱好的朋友相聚一起，部分同学自发形成了虚拟小组TNT（至今，TNT还存在，意思是Trust Nobody Team的意思），感谢那段时间TNT伙伴的互相帮助。之后傻乎乎的写下了《让零信任这颗“银弹”飞一会儿》，还记得是凌晨遥望天空，觉得自己感觉到了什么，于是文章有这么一段：

【在大家致敬谷歌BeyondCorp同时，也思考一下国内曾经或早期是否有类似以身份为基础的实践。四川赛贝卡信息技术有限公司2006年（或更早）推出的网镜业务认证审计系统，该系统推出在国产堡垒机起步的年代，甚至更早，该系统虽然工作于旁路模式，由控制中心Server、嗅探器Sensor、Agent认证代理三部分组成，集认证、授权、安全响应和安全审计为一体，为计算机系统提供了一个统一、集中的授权、访问控制和审计平台。网镜系统当时在传递以下讯息：1.授权访问控制，不在基于IP，需要验证身份。2.白名单方式的阻断模式，需要通过认证后再进行访问业务资源，否则被阻断】

-----致敬领导的作品，那时候太经典与超前。

百度了下，网上有人上传到文库了，有兴趣的朋友，可去百度文库下载。

https://wenku.baidu.com/view/adee4a863386bceb19e8b8f67c1cfad6195fe92d.html?_wkts_=1725719833242&bdQuery=%E7%BD%91%E9%95%9C%E4%B8%9A%E5%8A%A1%E5%AE%A1%E8%AE%A1%E4%B8%8E%E8%AE%A4%E8%AF%81%E7%B3%BB%E7%BB%9F

之后的几个月里，对零信任“追溯”了下，又瞎写了几篇，哈哈，似乎引起了一丢丢注意。

值得回味的是，其实2018年就看到过零信任实践者的视频，那时候没有怎么注意，就压箱底了，在（《零信任网络》作者之一Gilman首次公开演讲）中。

2020年9月底与师傅等人讨论这个SDP横空出世与VPN的看法。

2020年11月，随便发了篇洞察类《身联网》，3年后，什么视联网，数联网，XX联网等各路联网都来卷了。

不知攻焉知防，受朋友影响，看看MITRE为ATT&CK，打个伏笔，百篇之后的文章会映射到这里。

心情不好，起个大早。咋个DOD写的那么清楚了，一个组织还认识不透零信任，乱来，无奈，于是转发一篇《6个零信任神话和误解》。

2022年很忙，几个月不发文了。时间来到2022年3月，Gartner新名词SSE来了，先科普下，为了以后的几篇。

清明时节雨纷纷，远程浏览露真真。（RBI从头到尾差不多掌握了，吹吹风）。

事实上，RBI的生命力一直存在，大家没有注意罢了，或许在另个领域有对其的催化作用。在之后的时间中，也很高兴认识国内RBI同行。

同时坚定的作为RBI传播者，那时还想召集大家开个研讨会，不过太忙没有业余时间，一直搁置。

2022年国庆，把DOD零信任参考架构卷完，并持续保持DOD动向关注。

在终章中夹杂了一些笔者添加的信息，如初代零信任与现代零信任，ABAC动态思维历史（从2000年开始），国内身份管理不是业界所谓零信任开始才重视，事实上国内的线路最早是2003年中国移动4A规范立项开始。

【近期回顾看看，似乎还需进一步调整，以前写得还不太完善，后续文章分享吧】

同时DOD零信任明确提出了“从以网络为中心到以数据为中心的安全模式的范式转变”，当时笔者时间来不及，没进一步阐述，在后续文章隐约告诉大家，你们认为的盒子零信任都是错误的。

零信任是一种思维方式的转变，它不是解决所有问题，我们永远不会到达那里，大多数安全技术都与零信任相称或支持零信任。如果这为接近安全提供了北极星或一般思维方式，那就是它的价值所在。你永远不会到达完整的零信任终点线，或许只是一种信仰。”

到了2023年春节，我想打个总结吧，发表《2023年身份安全的5个趋势》，

Gartner有一张很好的闭幕主题幻灯片，上面写着

“是时候学习、忘掉和重新学习IAM了！”鼓励所有网络安全领导者恳求这种心态来应对未来的威胁。当Gartner说这句话的时候，想起一本书名《你以为，你以为的就是你以为的吗？》。

传统IAM的范畴已经扩大，本质是一种思维模式，一种工具的集合体。

每年IDSA联盟都要组织一个关于“身份”的讨论，在其身份管理日分享前沿资讯与技术。

2023-5-6，基于Gartner发表的《Gartner Build an Identity-First Security Approach to Empower Digital Business in China》，笔者融合了相关的知识背景，进行了解读，信息量比较多，大家可随时回顾。【封面是美丽四川的四姑娘山，欢迎来玩】

2023-09-10，教师节，发表《为什么API安全是重要领域》，想不到呀想不到，这篇居然是本公众号阅读量第一的文章，笔者没想通，API安全那么香吗？或许现在不香了，大家差不多都看懂了吧。在这篇文章当中，其实回顾了2020年的一篇《零信任网络》作者之一Gilman首次公开演讲。

与此同时，DOD/CISA 关于零信任的动作依旧在进行，发表了几则新闻和解读，这时候自我主权身份（SSI）再次进入视眼，不得不回顾再次学习一下什么是“身份”，很有趣，是时候忘记你所认为的。

同时，不会忘记RBI的重要性，因为这时候发现RBI似乎还在发展。

很早就知道我哥所在公司推崇的一个技术--eBPF，在运维监控圈子风靡得很，当我看过之后，发现在网络安全行业有所作用，现在似乎成了某种解药。

卷一波译文，结束混沌的2023年。

时间来到，2024年春节，再次预测一次，

趋势一、数字信任的重启

趋势二、去中心化身份已来

趋势三、身份治理和管理的重要性

趋势四、身份威胁与检测响应

趋势五、态势感知的再次蔓延

趋势六、浏览器扩展程序的试探

趋势七、非标准应用程序集成

2024年8月28日，数说安全发表《2024网络安全十大创新方向》将安全态势管理列为之一，里面包含各种态势。。

一句话：“态势感知”这个词已经无法取代，在大家的心里根深蒂固。

由于感知到2024年没多少时间，所以春节期间采用混编模式陆续发布了一些板块儿。

板块儿1：数据安全

告诉大家

板块儿2：身份安全（集中式）

告诉大家，我们应该正确理解 数字信任。

2024年春节后，我觉得应该对自我主权身份（SSI）需要进一步了解，于是，并在相关组织做了分享，我觉得还不够，需要进一步梳理和认识。

板块儿3：身份安全（分布式）

2024 RSAC大会之后，AI对网络安全产生了巨大影响，大家开始探索AI+安全的研究与落地，于是开始卷AI了，有些力不从心呀，世界的变化能不能慢一些。

板块儿4：AI+

与此同时，大家开始模仿“数据空间”了，自我主权身份得到了进一步重视，零信任进一步升华，放一篇出来看看吧。

调皮一下，想着还是弄一个花里胡哨的东东，表达的意思是大家能不能让元素产生“化学反应”，产生新的东西，让大家卷卷，哈哈。

最后，再次感谢大家的关注，我想以后提升下质量减少数量，过段时间再见！

刚好于2024-9-8凌晨写完