“你们入口随时可能被攻击，不买我们服务会出大事故。”

这类话术最阴的地方，不在它说的“攻击”真假，而在它把一个公共系统应有的安全治理，重新拖回到“靠人、靠圈子、靠付费订阅”的旧路上。只要恐慌被卖得足够像真理，基层就会愿意买单——不是因为他们想花钱，而是因为他们怕背锅。

林远看着那条线索，第一反应不是生气，而是疲惫。

因为他知道：当“安全”开始被当成商品，制度就会被迫在两个坏选项里选一个——要么放松（被攻击），要么封闭（被俘获）。

他不选。

他要做第三件事：把安全也做成公共指标，像SLA、像incident_id一样可见、可解释、可审计。

他在白板上写下四个词：

分级

证据

公开

误报成本

“恐慌之所以好卖，是因为没有统一分级。”林远说，“你一句‘严重’，我一句‘不严重’，基层只能信嗓门大的。我们要做的是：安全像工程质量一样，有等级、有阈值、有动作。”

一、SEC-RISK-01：安全风险九宫格（但不复杂）

省信息处拉了一个短会，这次除了数科安全、银行IT、审计旁听外，还叫上了两个试点城市的网安负责人。因为安全分级如果只由平台说，会被骂“自说自话”；必须让地方也能用这套语言对外解释。

林远投出一页图——不是九宫格花活，而是四级分段，名字刻意做到“像天气预报”：

SEC-RISK-01｜安全风险分级（试行）

L0（信息）：未发现可复现漏洞，仅为误用/配置问题/单点故障

L1（关注）：存在潜在风险，但需特定条件且无PoC可复现；建议纳入月度列车修复

L2（紧急）：存在可复现风险（内部PoC），可能影响可用性/可观测性/证据链完整性；进入热修通道

L3（重大）：影响范围广或可能导致敏感数据泄露/证据链不可置信；热修+强制过渡期缩短+审计旁听升级

每一级对应三件事，写得像行动清单：

1）必须有编号：L1起必须有risk_id，L2起必须有vuln_id

2）必须有公开摘要：影响范围桶、紧急程度、建议动作、过渡期

3）必须有验证机制：L2起必须跑HotfixConform；L3起额外跑“证据链完整性专项测试”

银行IT旁听当场说：“这套好。我们不用听谁吓人，我们只认L2/L3的编号与验证。”

审计旁听补：“L2/L3必须有编号与公开摘要，防止随口升级、随口降级。”

地方网安负责人也点头：“我们最怕领导问‘到底多严重’，有L0-L3就好答了。”