说说网络安全行业的上限和下限

最近看到很多有关我们这个行业的各种文章，春节后也破天荒去几个甲方去沟通了一些数据安全和培训的项目。结束之后就想到了一个有趣的组合词，按照专家的意见，通过百度索引了一下这个组合词的含义，如下：“上限和下限通常用于描述某个范围的最大值和最小值。在数学和统计学中，上限是指某个集合或数列中的最大值，而下限则是指最小值。在编程中，上限和下限通常用于控制循环或数组的访问。例如，可以使用上限和下限来指定一个循环的起始和结束条件，或者用来确保数组索引不会越界。”

我们姑且不去解释和分析这个词义，仁者见仁智者见智，解释多了反而会造成很多不必要的争议，正如我讲课常说的“用案例说话”，先说说我最熟悉的网络安全培训行业吧。

中国信息安全测评中心（当年叫中国信息安全测评认证中心）最早推出了中国最权威的第一个信息安全认证CISP（注册信息安全工程师），最早这个课程是12天的线下培训，实打实12天，先不谈成本和大家众说纷纭的具体实施，授权培训机构只有一家“银长城”。培训量虽然不大，拿证书的至少按这个量去听了课，效果好不好另当别论。到了2010年左右，压缩为8天，的确这中间存在诸多因素，比如：培训机构的成本问题，受训人员的时间问题，虽然时间压缩了，但是内容量却增加了，毕竟技术在变革，对信息安全的要求也在变革。这个阶段开始了师资授权认证和开放授权培训机构，可以说，这时候CISP的受众才开始真正形成。到了2017年授课时再度压缩为5天，作为这个版本的参编者而言，这个变革确实是经过了很大的争论，从在职教育的单位可授权周期，在职人员的知识接收周期而言，五天已经是极限，同等的CISSP和CISA国际认证也是把时间定义在五天。经过一番激烈的辩论，最终把时间定义在五天。一直以来，我给学员都说，不要求你30小时都记住，那个叫自欺欺人或者吹牛逼，但是至少要保证每天能记住1个小时的知识量并应用在具体工作中，也就是说每次培训完至少有5个小时的知识可以实际应用，你去汇报工作、上论坛至少可以用这个5个小时压缩吹出15分钟的内容，这叫学习。所以，排除疫情因素影响，我是反对线上培训，尤其是只刷题看录像的模式。虽然CISP被外界如何诟病，但是目前而言敢说从数量、质量、认可度能超越这个体系的国内认证没有一家。有些时候，我们不能总是追求上限，但是我们也不应该努力去追求下限。什么是这个领域的下限，昨天看到一个认证培训通知，四天时间，两天线上，两天线下，参加考试，就能获得“专家”“XXO”认证，还能如何如何，一考多证；其实一个认证培训没有了基础要求，这个授课时是不是真能获得这种能力；当然这个还不是下限，有些机构、组织为了说不清楚的因素努力创造下限；发5天的培训视频，几百道甚至上千道试题，然后就包过了。机构只要做好收钱，找题工作，这就是好机构，没有了成本负担，就可以无底限的去打价格战，人家收9000，我们收5000。最后，培训沦落为卖证，至于说还有没有更底的限呢？只能说，太平洋的水永远不知道最深的地方在哪里？

上周谈起一个项目，甲方200万预算，最后被某家30万中标；昨天恰好看到一个19800的万兆防火墙+6年原厂服务的单子，引得行业内议论纷纷。其实低价竞争早就不是一个秘密或者是创造，还是一个上限和下限的问题。我们应该追求的是技术的上限，成本的下限。但是上限和下限是个相对概念不是一个绝对概念。低价可能说明这个乙方具有雄厚的资本支撑或者有足够的市场份额分销成本，但是当价格没有了下限，请问余生该如何度过？产品的迭代是网络安全快速迭代发展的必然，风险的迭代、数字化的迭代加速了网络安全相关产业的迭代，没有了持续的研发资本支撑，最后只能沦落到放弃研发，一味的OEM和开源改进，甚至是外包或收购。到那时候，网络安全和国家安全岂不是沦为空谈？从2022年到现在，看看安全公司裁员，研发人员往往成为不可或缺的一部分，从表面看，他们属于公司成本，重资产。但是，从网络安全产品角度而言，他们才是公司的前途和未来，当一帮专业的开发被另一帮连网络技术都不懂的产品经理左右的时候，离开可能是更好的选择。企业的生存需要市场来支持，网络安全产业是一个技术型产业，在数字化的强依赖下，网络安全产业甚至关系国计民生，当这个产业纯粹沦落为商业化产业会成为什么样呢？《高山下的花环》有一个痛彻人心的场景“小北京用八二无后坐力炮打击越军据点，连开两炮臭蛋，被越军发现后中枪牺牲，而这两发炮弹正是文革期间生产的”如果有一天我们的安全产品变成这种臭弹，我们如何面对网络作战、网络入侵？

今年要着力关注数据安全，和甲方聊天时发现，现在做数据安全的机构已经变成了泛滥。律师成了数据合规的生力军；数据安全产品解决数据全生命周期问题；软件开发商也冲出来宣称可以解决数据安全问题；更不要说集成商、服务商，简直是百花齐放，百家争鸣。其实一个问题，如果大家真可以做，这反而是数据安全产业的一大幸事。然而数据安全到底是什么？有多少人能说清楚。数据安全不像传统网络安全，网络安全可以脱离业务，但数据安全必然是强相关。一个数据项的变更会导致整个业务逻辑重构，但是往往在数据保护中，针对数据的去标识化、脱敏、加密需要针对字段级颗粒去完成和实现，这时候，数据安全最终与业务、功能、模块、角色、权限就成为一体，一旦业务逻辑不能重构，那么请问各位专家，你们的产品，你们的服务该如何解决这些问题？一旦数据安全变成传统的“加壳”，那么业务的影响谁来解决？在商言商，每一个商人都希望自己能够有更多的商业利益，当商业利益和国家安全产生冲突的时候，谁先谁后，这就是一个意识形态领域的问题，可能有读者要说，这种提法太扯淡，有钱就行。我不反对，也没必要反对；同样，疫情三年到现在快5年了，这5年中我们这个行业更多的是突破下限的故事，很少看到上限（吹牛逼的别算），也就是说太多的负能量的消息让很多人对这个行业失去了信心和希望，下限屡次被突破；我们真正需要正能量来激活这个行业，这个市场，这就需要上限来表达。什么是下限，做你力所能及而不是卖包；什么是上限基于公司整体的能力踮起脚尖做事，这就是上限。

总结一下，本文想说明的一个问题，凡事都有上限和下限，上限和下限只有平行过度，当我们今年的下限位于去年的上限的时候，即使下限被适当的突破，这个行业也是光明的。因为我们在进步。如果国家不给这个行业制定上限和下限，行业就应该有一个自律的规范来定义上限和下限，哪怕是在一个省、一个市。上限和下限的目的不是为了封闭和隔离，而是为了更好的促进产业的发展，促进经济的发展。同时上限和下限也是职业道德的一种体现和遵从。一旦行业没有了底限，这个行业也就彻底腐朽了。