▶安全源于业务对风险的偏好，必定要靠业务来落地执行，涉及管理、技术和运营等多方面的工作。随着业务和技术上下文的动态变化，安全的变化来自于多个方面：

1、安全围绕服务的业务对象发展而变;

2、安全随着安全责任的不断明晰而变;

3、安全随着攻防的理论思想演进而变;

4、安全随着支撑技术持续升级而变。

▶安全的变也体现在概念的内涵与外延的变化，相对于传统的网络，系统，应用安全，现在更关注的是研发，业务，数据的安全，而且安全和合规越来越紧密，数据，算法的安全和传统攻防意义上的安全差距越来越大。

▶网络空间安全的核心是人，人也是带来变化的主要原因。对于一个组织而言，人员的加入与退出，带来跨越边界的变化，同时也影响一系列系统账号、权限、数据等。在职人员的岗位变更、职责调整等，也会带来一些变化。这些都是明显的变化，是可以通过标准化的流程来控制。人员意识、心理、态度的变化，却未必能被捕捉到并得到适当的处理，这些变化所带来的影响也是难以预料的。所以，组织对人员心理健康的关注、安全与隐私意识的培养和度量、组织与员工关系的适当调整就变得尤为重要。

▶安全之变还是安全应对问题时自我定位的变化。当保密性和完整性被安全自我强化，放弃可用性的时候，业务、产品和运维也就能够拿起可用性的大棒驱赶安全之时。安全搞了很多方法论，却走向自我封闭。因为新业务，新XX，这样的话术反复作为理由，就像是没有安全，系统就无法工作一般，无法通过问题修正软件一样。大门最终还得打开。

▶昨天虽然是周六，但职场人依然忙碌于充电，清华五道口首席经济学家论坛，上海管理科学论坛，规格高，内容含金量也高，却被线上的主题注意力的耗散和信息量的熵增抵消掉了。与此类似，如今数据驱动安全带来的变化不是数据不足，而是数据过多带来的信息失灵，不在于信息的真实性与丰富性而在于决策者的认知能力、处理能力和带宽，显而易见，安全从业者这方面的能力有待提高。

▶企业数字化的过程是艰难的，需要“逢山开道，遇水架桥”的开拓精神，无论哪种路哪种桥都需要安全防护栏，虽然防护栏的样式多种多样，变化多端，但安全的目标却是不变得，那就是确保企业数字化转型之路走地更加稳健。

▶不同的企业有效开展安全工作方式千差万别，但是不变的是要找到与上层的安全沟通语言，不同领导这方面差异很大。有的用风险管理概念容易接受；有的得用如何促进业务发展的语言容易被接受。一定要找到适合自己公司的这些沟通语言，可以让工作事半功倍。

▶疫情反复持续三年了，病毒的变化愈加凶险，应对措施的滞后和提前预防的效果都成了试剑石！再没有特别网安措施居家办公近乎常态情况下，“在线坐牢”凸显的管理滞后和屁股决定脑袋的奇葩现象不断曝光！这让常态化抗疫背景下的网安信安必须实事求是，摒弃想当然，研究现象，利用规律，重视人性，落实人本，移步换位，软件定义一切是趋势，服务亦然。

▶人教版小学数学教材插画事件持续发酵，从开始的审美、画风，延续到星条旗，倒挂国旗，漏下体，抓胸，掀裙子，漏内裤，日本战斗机等一系列涉黄，涉政，丑化的意识形态问题，不可谓不触目惊心。香港的教材事件，新疆的教材事件，余音未消，波澜再起。关键是这些都在数亿中国人面前堂而皇之的竟然十年，荼毒之深，影响之广，让人不寒而栗，深挖竟涉及吕敬文等总顾问的利益纠葛，简直是匪夷所思。其实安全也一样，习以为常的背后可能apt已经蛰伏已久，等待你的可能是致命一击，像教材怪编辑，审核无用一样，他们可能根本没看，安全你也不要怪那些基于规则的数据驱动的分析能力。

▶需求成为市场是因为其价值性的规律被发现。寒暑交替是因星汉移位。信息交互是需求，变化形式有规律，安全与威胁如影随形本质是价值性存在，所以从无秘到加密，从手工到机械再到电子手段；从硬件到软件，从SDN到软件定义一切，从固定加密发展到一次密，甚至流式加密算法。。。变在为不变服务！

▶应用的安全性设计和高性能等非功能设计本质上并没有什么不同，都是应用这个多面体的一个面，都与应用自身有着非常紧密的关系。在敏捷开发的背景下，我们应改变以往瀑布式的由安全人员主导安全架构设计的方式，转而逐步培养熟悉应用的应用架构师具备安全架构设计能力。安全架构设计人员一方面应通过输出培训和工具帮应用架构人员提升能力，另一方面通过评审掌握重要系统安全细节，实现抓大放小，从整体上减少沟通成本，提高交付产能。

▶正如疫情防控一样，面对业务的敏捷要求，安全必须以快制胜，不断压降安全综合成本，一方面让安全防护能力像口罩和疫苗一样人人可用，通过提前研究并提升安全产品便携度；另一方面让安全检测能力像核酸和抗原检测一样唾手可得，依靠加大检测频率取胜，做好安全事件应急。

▶安全团队外围管控式的安全是兜底的思路，而真正意义的安全是与效率、体验的平衡，是根据应用的当下情况主动做出的最优选择。这就需要应用开发人员改变认知，主动承担安全责任，这种思路的转变是安全团队应该着力推进的。

▶变化随时在发生，而且将以越来越快的速度和意想不到的方式出现，怎样做才能以静制动，以不变应万变呢？外有安全防御体系，内加强自身抵抗力，也就是产品本身的安全性，从需求，设计，开发，测试每个阶段都融入安全活动，从源头抓起，把安全风险扼杀在摇篮里。

▶两天时间读完《华为数字化转型之道》，这应该是传统行业数字化转型教科书般的手册了，尤其是对跨国跨地域2B企业的业务前端，事无巨细的信息化2.0设计，我一直吹嘘数字化是管理信息系统过渡到业务系统，华为用作业系统我觉得应该属于0.7版的数字化，对于制造，供应链管理，研发等生产业务系统的数字化并未涉及，倒未必是藏私，相对于中台和后台，前台对很多企业而言已经大有裨益，4架构说的业务架构，信息架构，应用架构，技术架构，以及实时，按需，全在线，自定义，社交的roads模型等干货颇多，颇有启发。前几天听智坚讲安全数字化，回过头来，确实，安全的变化的确需要从信息化到数字化转型。

更多内容及打卡详情，参见诸子云知识星球。

本月共发出12篇以“安全之变”为主题的专家文章，在此附上链接，供诸位参考。

根据征文活动规则，综合每日打卡、投稿及文章阅读量折合积分后，现将参与者总积分表公示↓

在此恭喜 朱文义 以0.4分的微弱优势夺得第一，获得诸子笔会2022的5月月奖，奖金1000元！同时所有发表征文的笔会专家也都将获得200元稿费。

当然，这只是一个良好的开始。5月已过，6月伊始，新一轮的征文再次开始了！6月主题为“远程办公与安全”。

诸位可以就此主题畅所欲言，如有想要补位参与进来的朋友，请扫下方海报二维码。