企业安全成熟度模型来看，没有几个企业能达到安全产品自研阶段，更不用说数据安全产品了。能够呼唤的声音也屈指可数。因为我自己只是写了一些小工具，并没有参与到研发企业级安全产品的工作中去，所以仅从观察到的一些经验来阐述。进行数据安全产品自我研究的过程，或进行安全产品自我研究的过程。大部分工作都是在企业内部解决自适应问题。这类产品在商业上有相似的功能，但是可以适应各种情况。例如，对于KMS，外部KMS可能不能很好地集成到现有的基础架构中，从而使得自己拥有的脚手架代码快速生成。又或者HSM，如果没有钱购买HSM,Softhsm将成为与TPM一起集成自己拥有的加密服务的一种选择。也可以是加密即服务，即将HSM和KMS结合起来做根密钥管理，KMS做密钥管理，为应用程序服务提供加密服务，也可以是数据库审计服务，日志分析等。也可以是内部自助服务，如自助证书申请，数据分类分级工具。其中一个关键问题就是工程设计，很多时候，安全工程师可以给出原型代码，但是大部分不是工程设计代码，无法提供性能兼备的产品。虽然这不是绝对的，还是有很多优秀的工程师能够单凭自己的力量完成。但是，彼此合作并不是更好。

很多情况下，在企业自研安全产品时，必须给出足够的说服力，否则老板会认为我花了2kw买了产品，你为什么还要再招聘一个安全研发工程师？并且从对安全价值的阐述、自我认识到现状看来，绝非易事。

与基础安全的Highrisk、应用安全的Highthreat不同，数据安全本身的特性更倾向于HighValue.这也意味着数据安全工程师需要投入更多的精力，但这些工作并不是孤立才能完成的，必须在其他方面与安全工程师合作，使其能够持续运行。当遇到瓶颈时要告诉自己，在瓶颈之外还有更多的技术。坚持学习！

在安全体系结构方面写了三篇文章，分别浅析了应用安全体系结构、基础安全体系结构和数据安全体系结构：2021给自己定的目标是健康，戒急。到2021还不如定一个目标，锻炼，戒骄戒躁。本文也算是写的慢一点，写了一个多月，行吧。现在开始。