1.5　安全趨勢

未來已來，如果只著眼于當下的安全，很可能疲于奔命，被超越或拋棄。因此，必須看到安全的趨勢方能提早布局，確保立于不敗之地。

1.安全度量

安全度量是指如何衡量企業安全的效果。做安全的人遇到的最大挑戰就是講不清楚安全的價值。安全這個東西很微妙，不像業務可以用銷售額和用戶數來衡量，也不像運維可以用可用性指標（比如故障數）來衡量，也不像研發可以用bug數、項目完成率、擴展性、專利等來衡量。安全往往是事件性的，很可能你什么都不做，但一年都不出問題；也可能你花了很大力氣，花了很多錢，卻還是問題頻出。所以我們很難用單一的事件性指標來衡量數據安全做得好還是不好。

企業做安全，最終還是要對結果負責，對于安全效果，有兩個最關鍵的核心指標：一個是漏洞數，一個是安全事件數。這兩個關鍵安全指標，卻沒有一個安全廠商愿意承諾，他們通常都只愿意承諾賣出設備的功能效果，或者服務的響應時間。由于漏洞數涉及企業發現能力，每年第三方漏洞報告平臺（如補天或CNCERT）上，漏洞數量排前十的大多是互聯網公司，但不能因此認為互聯網公司安全能力靠后，相反，由于互聯網公司面臨安全威脅且自身發現能力（各種SRC雖然是白帽提交的安全漏洞，但可以理解為自身發現能力提高導致）較強，所以發現的漏洞數量靠前。很多沒有爆出安全漏洞的企業不是因為做得有多好，而是自身發現能力不夠。

在這種情況下，有必要把漏洞數分成兩類：一類是通過眾測與SRC獲得的外部上報漏洞數量，一類是通過自身安全防護和檢測發現的安全漏洞數量。某些金融機構已引入專業的藍軍團隊進行攻防，檢測紅軍安全防護和安全檢測能力，將是未來安全度量的發展趨勢。

安全事件數的情況和漏洞數大體相同，不同點是，安全事件數沒有第三方報告平臺，數據主要來自于監管通報等被動暴露以及主動發現，數據統計要更難一些。

2.歷史問題免疫

運維管理目前事實上的標準是ISO20000服務管理體系，這套體系也稱為ITIL運維流程管理，ITIL眾多流程中有個核心流程—問題管理。問題管理有個有意思的做法，通過問題管理的思維模式，對企業所有曾經出現過的歷史故障進行舉一反三的持續改進，從而實現對歷史故障免疫。

既然安全性要當作可用性來運維，那么安全管理也應該能做到對歷史問題免疫，而這也應該成為安全未來趨勢之一。筆者理解歷史問題免疫有兩個含義：一是對企業曾經出過的安全漏洞和安全事件做舉一反三的徹底整改，從人、技術、流程、資源四個維度分析問題產生根源，查找差距，并建立機制進行防護，從而根本上解決已出現的安全問題，實現歷史安全問題免疫。二是對已部署的安全措施的有效性做100%確認，比如已經部署了防病毒客戶端，那么就一定要關注防病毒客戶端安裝率、正常率兩個指標，這兩個指標能做到99.99%的應該算執行力和安全有效性不錯的企業了。類似的指標也同樣應該在已部署的安全措施中得到確認。嚴格來說，歷史問題免疫這一點其實不能算安全趨勢，而應該是常識，在各種安全概念層出不窮的今天，希望越來越多的甲乙方能回歸常識。

3.安全成為屬性

越來越多的企業重視信息安全，這種重視可能是主動的，但仍然被動居多。不管怎樣，今天的安全人員面對的安全環境越來越惡化，但得到的資源和支持卻比任何時候都多，這一點體現在：安全將成為各類系統甚至人才的關鍵屬性之一。舉個例子，十年前，很少看到系統需求階段就會有安全需求，測試階段有安全測試，開發人員需要接受專業的安全編碼開發規范培訓。十年后，這些都很常見了，甚至是標配（默認）。對安全知識和技能的掌握也從單純安全人員必備變成了開發人員的必備技能，實際上，安全意識和安全開發能力較強的開發人員，薪酬水平和發展空間已高于技能單一的程序員。程序員在用代碼改變世界的同時，也有義務更好地保護世界。安全將成為越來越多的需求品，成為非專業安全人員的一種標配屬性，這將是安全發展趨勢之一。

4.安全人才缺口增大

安全人才缺口越來越大，想必各企業的安全主管或者CSO都深有體會。甚至越來越多的甲方企業，會要求乙方建立專門服務于本企業的專業安全隊伍。從市場經濟的角度看，需求增大，必將導致更多的優秀人才投身于安全行業，這對原有安全人員也必將是個挑戰。安全行業是典型“活到老、學到老”的行業，逆水行舟，不進則退，各位安全人士一定感同身受。