上周末直播聊企业安全工作规划应该怎么做，过程聊到一个核心的话题，就是作为企业安全的管理者，如何科学的规划企业安全工作未来的方向。

我想这就需要对未来网络安全行业的发展趋势有一些洞察。

所以这一次我想和大家简单分享一下，我自己这几年对网络安全行业的一些观察，和对未来趋势的一些分析。

我大概梳理总结了十个关键观点，这一次先聊聊前五个关键观点及核心逻辑，更细节的一些思考在本周末（7月20日）晚19:30直播的时候再详细聊。

首先，对于企业来说，安全满足合规只是底线要求。

其次，随着越来越多企业的核心业务数字化、智能化的程度越来越高，所面临的网络安全风险自然也越来越高。包括近些年会看到，越来越多的大型企业的核心业务，都广泛受到加密勒索、数据泄漏、挖矿病毒等的黑灰产攻击；

最后，当前企业发展的主基调是追求利润和效率的最大化，那么安全投入同样也非常关注业务价值的评估。

首先，随着软件研发（制造）的产业越来越成熟，对软件供应链（开源/商业）的依赖也越来越多，各行业软件应用系统的外部供应链软件依赖占比普遍超过90%。

其次，过去企业安全建设更加关注对于企业自研系统的防护，而对于外部软件供应链的管控，既缺乏技术能力，同时也缺乏成熟的管理体系。

再者，今天对于企业来说大量的软件供应商普遍安全能力非常弱，包括在安全上的投入、安全技术水平、管理能力，都远远低于甲方的安全水位。

最后，当下全球的黑灰产已然发现，通过对被企业广泛使用的软件供应链发起投毒、漏洞攻击，所带来的收益性价比非常高。

以上这些因素叠加在一起，使得软件供应链安全威胁正在成为企业安全最大的威胁之一。

首先，前面讲到企业未来很长一段时间的主基调，都是追求效率和利润，那么安全同样需要追求效率的最大化。那根本就在于要将有限的资源投入到风险最高的地方去，做好风险控制，而企业信息安全风险的三要素是资产、威胁、脆弱性，所以首先需要搞清楚资产。

其次，在搞清楚资产的情况下，才有可能根据资产本身价值来评估优先级，然后对各类数字化资产进行威胁及脆弱性的检测和识别，进而进行风险的处置。

最后，只有资产管理全面、基于资产的威胁和脆弱性识别全面和准确，才有可能真正判断清楚企业所面临风险的优先级，才能准确的将有限的资源覆盖至最高的潜在风险控制上。

首先，在互联网及AI时代，数据仍然是企业最重要的资产。

所以从资产的风险控制角度来说，数据安全一定会是未来很长一段时间，企业安全工作的核心。

但是因为本身数据资产很难被标准化的管理，这就导致围绕数据资产的安全风险控制体系会变得异常的复杂。

那么未来最大的挑战在于，如何在企业内部建立一套数据资产管理的平台，能够准确、全面的评估企业的数据资产，然后才有机会把数据安全落地好。

目前实际上还并没有形成一套成熟的可落地的标准和体系。

仍然需要随着包括AI在内的基础技术成熟度越来越高，大家在企业安全建设上的程度越来越高，才有可能形成一套成熟的数据安全治理体系。

今天，身边企业安全从业者朋友，一边在抱怨找不到合适的人，另外一边又在抱怨找不到合适的工作。

本质上我认为主要还是今天安全人才市场出现了两极分化。

随着企业对于安全的要求越来越高，既要懂安全技术、又要能够理解业务并和业务深度协同，那么这对于安全人才的要求就非常高。

过去安全行业培养出来的大量人才，都是更多地专注于安全相关技术，对于企业安全治理和业务理解、协作能力是非常欠缺的。

因为市场的需求在不断变化，所以市场对于安全人才的画像和要求也在不断的变化，所以这个过程中，能够前瞻性的理解网络安全行业未来发展趋势的人，同时能够赶紧行动起来，积极布局和学习，才能在行业不断变化和发展的过程中持续保持竞争力。

关于如何更深入地理解网络安全行业未来的发展趋势，以及对于我们每一个从业者来说，机会在哪？我相信这是所有从业者最关心的问题。

那么本周日（7月20日）晚上19:30，我们就围绕这个话题好好聊聊，欢迎大家点击下方的直播预约，我们一起深入聊聊企业安全市场的发展趋势、大家当前碰到的普遍困局，以及解决方案的一些建议。

也欢迎大家把关于这场直播的预告，分享给你身边正在做企业安全工作规划、或者是想了解企业安全工作规划的小伙伴们，一起来交流和学习。