感谢您阅读《网络安全之：等保测评大环境与背景》，本篇为您继续介绍网络安全和等保测评的内容，您可前往信创致远http://www.dengbao110.com/查看完整版内容。

后来在网络安全行业不太景气的那个年代我好像碰到了安全行业的天花板。我实践了最后一跳做了一家网游公司的技术负责人,社会俗名CTO,由网络安全转向全线技术管理。说实话,在这段时间里我并不是特别重视安全,一方面跟自己是安全出身有关，另一方面这确实是位置决定想法的事情,不是安全不重要,而是有很多事情比安全更重要。老实说,安全这个事情跟金钱关系密切,当你有100万元的时候拿出2万元买个保险箱装它们你觉得值,但你只有2万元的时候要拿岀8千元买保险箱,大数人都会不愿意。还是那个问题：“为什么做安全一定要去大公司”。我窃以为很多公司的CEO、CTO对安全的认识,翻译过来应该是:被黑是一件很负面的事情,所以找个人筹建团队打包了,只要不出事就行。他们不是真的认为安全非常重要,也不会把安全当成一种竞争力。现在说这句话并不是在影射过去,当下国内很多企业的观念仍然停留在这个水平上。

后来我去360经历了短暂的时光,再次以乙方的身份拜访了企业级客户,很偶然地发现大多数乙方安全公司的顾问或工程师其实都没有企业安全管理的真正经验。虽不能把这些直接等价于纸上谈兵,不过确实是乙方的软肋。在甲方企业高层的眼中,攻防这档子事可以等价于我花点钱让等保测评机构公派几个工程师给我做渗透测试然后修复漏洞,不像大型互联网公司那样上升为系统化和工程化的日常性活动。离开数字公司后,我到了全球化的公司(华为)从事产品线安全,负责两朵云：公有云和终端云。产品线安全属于甲方安全,又跟很多甲方安全不太一样,比传统意义上的甲方安全介入得更深,覆盖率更高的SDLC,直接导向产品的源头。对绝大多数甲方而言,你也许在用OS的Dep&ASLR,也许在用各种容器,但你很少会自己去发明轮子,你也许会自己造一个WAF这样的工具,但你可能很少会像微软那样要自己去搞一个EMET这种涉及安全机制层面的东西。但在产品线安全里,这一切都会更进一步,不只是像互联网侵检测洞扫描等,而是从设计和威胁建模的角度去看整体和细节的安全。这又拓展了我从R&D的视角看待以及分析网络安全问题的眼界。因此,我可以站在一个比较全面、客观、中立的立场来说等保测评,我不会说某些方式属于纸上谈兵,也不会把攻防捧得至高无上。