关基即关键基础设施。在数月前各路甲方尚且对这个名词十分陌生之时，各路乙方就已经在琢磨怎么优雅地忽悠安抚甲方了。毕竟在天朝，乙方只需要搞定合规就能免责，甲方对损失是否敏感取决于领导是否能脱责。至于跟甲方走心的乙方，也不是没有，但这除了技术的自信和沟通技巧的高超之外，也取决于甲乙双方是否有浓郁的情感互动所建立的信任感，当然也不可否认，乙方高尚的情操也是不可忽略的因素，尽管这种崇高而自律的情感在市场上并没什么实际价值。

美国在关基保护方面率先显露其雄心，中国紧随其后。当然，这样的表述并不是要去排个什么先后，毕竟发力时间差不太多，况且先后不先后关键看实际效果。

先抛开美国这类成熟的技术市场不谈，许多“科技第三世界国家”对安全产品的理解主要还停留在应用层防御，比如防火墙或杀毒软件之类。这当然不是说信息的流动太慢以至于安全厂商甚至不知道全球的先进趋势，正如太监不近女色并不是因为他们清心寡欲，有时候在混社会也是身不由己。2010 年之后，OS 和 OS之下的固件层安全问题大量暴露，人们开始明白，应用层安全所暴露的问题不过是冰山一角。

对于中国 IT 界来说，好消息还是有的，2022 年中旬发布的《基础架构安全弹性合规指南》算是在亚洲揭竿而起，配合 2021 年发布的 《关基保护条例》，金光大道就在眼前。所谓金光大道，不是什么形而上的希望之道，而是闪烁着遍地黄金的大马路——正值安全产品满是大路货的时代，想要挣点儿利润过冬，没点儿技术含量还真不行。但是闹腾一半天如果发现只是揭个竿原地踏步，别人早就连美女都抢到手了，那也不太好。

然而俗话说得好，人比人比死人。吃饱了撑的才跟别人比，跟自己比就行了。换句话说，不跟别人比，不是不敢，而是因为没吃饱，更没撑着。

美国从 2011 年开始一直到 2018 年连续针对 BIOS 进行折腾，最终还是把服务器固件安全问题从立法、到标准、到最佳实践一条龙搞定了，并且还发布了《美国版固件合规指南》。然后才在 2021 年由拜登亲自发布总统令（EO14028），宣布“老子们都搞定了”。德国虽然搞定了，但是根本就没发布什么《德国版固件合规指南》。这不得不令人想起一个著名的段子，日本人是说了以后马上就做，美国人是做了以后大说特说，德国人是做了以后啥也不说，而某国人的传统，则是大说特说以后啥也不做。

还好，日本目前还啥都没说。中国至少开始说了，将来做得如何尚且可以期望。最近通过的《信息安全技术 关键信息基础设施安全保护要求》给之前的立法确定了技术标准，毕竟没标准也不好做，所以 it's a journey。

拭目以待吧。