我很早之前就讨论过知识的点和面的问题:本科里的具体的课程学的是知识点,而系统的学科设计让这些点串联起来,形成了一条线。所以本科生毕业,应该至少具备逻辑思考和分析问题,解决问题的能力。本科生的局限在哪里?局限在于两点:第一是:本科学到的是对工具的使用,理论深度不够,第二则是这些知识点虽然串成了一条线,但是他也让人的思考趋于片面。这种片面性,好听一点说叫“专业”,难听一点则是“狭隘”。硕士则是本科的深化,原则上仍旧是一个一个的知识点,但是有了更多的理论深度。所以解决问题不再是局限于某个问题本身,而是能够理解到这个问题在这个专业领域的普遍性,而后试图解决这一类的问题–或可称之为“专家”了。那么下一个境界呢?

这几周学到的东西让我突然意识到,由点及面之后,则是知识架构的问题。简单的说,是跳出所谓的专业,从一个更高的层次去理解这个专业的属性,而后建筑理解这个属性所需要的知识。所谓的“高屋建瓴”,就是能够跳出专家的禁锢,拥有立体的视觉,去看待专业的问题。

网络安全的问题,首先体现的是某个具体的软件漏洞的问题,所以本科生就可以解决了–至少,通过学习具体技术,可以掌握。然而问题背后的普遍性不是解决某个具体漏洞,而是软件开发的流程。所以解决某个具体漏洞的下一个境界,则是解决开发流程中如何嵌入漏洞分析和打补丁的问题。我原来的思考和认知就局限在了这个地方,一直看不到更高的层面。这几周让我豁然开朗:即便所有的流程都修补了,也仅仅是解决了某个局部的问题,因为网络安全的问题其实不是“安全”的问题,而是“风险管控”的问题。而一旦理解到“风险管控”,其实也就可以很快理解到如何从公司的全局去理解整个部门的操作:风险有“可控”和“不可控”。对于“可控风险”,指定具体条条框框和执行流程就可以了。而“不可控风险”又有“完全不可控”和“局部可控”。对于“完全不可控”,需要做“风险转嫁”,对于“局部可控“,需要根据资源安排优先次序。。。其实了解了这些,也就具备了”高屋建瓴“的从全局去把握一个公司的网络安全的能力。然而仅仅是认识到风险管控是不够的,我需要进一步了解了解所谓的”风险“是什么,所谓的”管“和”控“是什么。从这里我就开始涉足另外一个知识体系。不同的知识体系交叉和融合,也就形成了一个适合我的知识架构。而推而广之,讨论国家层面的网络安全设计,也并非太难,无非是数据点的不同,知识面的拓展方向不一样,而不是思路的不同。

有点而及面,由面而至架构,这也算是我对这个行业的认识的一个深化吧。