破局政企客户网络安全困境，安全云服务大有讲究

不可持续的网络安全建设困境

大部分国内企事业单位的网络安全的现状是不容乐观的，这一点从这几年相关部门组织的全国性实战攻防演练行动可以看出来。虽然每次攻防演练都有一部分单位“幸存”下来没有被拿下标靶，但我们要认识到这背后所付出的有些“努力”是不可持续的：

首先，业务影响的不可持续：很多单位为了应对攻防演练，在演练期间通过拔网线等神操作将很多互联网业务下线，不仅本单位员工的正常工作受到影响，所服务用户也无法正常办理业务。这类神操作日常不可能落地。

其次，投入的不可持续：攻防演练期间，除了调动单位内部的员工外，还通过各种方式招募了大量的安服人员，有些是每天花费上万元短期租借的，有些是从安全厂商临时借调的。这么多人员的投入在日常是不可持续的。

这几年国家组织的实战攻防演练价值很大，大幅度提升了各个单位对网络安全的重视程度，也一定程度上促进了安全体系的建设。然而大部分企事业单位临阵磨枪仓促应战的这种应对方式并不理想。如何才能变“应试教育”为功夫在平时的“素质教育”方式呢？

从网络安全建设和日常运营水平这个角度来说，我们可以粗略地将国内企事业单位分为三大类：

第一类高水平的单位数量不多，全国不超过100家，主要包括BAT这类互联网大厂、五大行、头部的股份制银行、华为等。这类单位对安全的重视是自发的，业务驱动的。安全方面投入大、能力强，安全体系的建设主要以我为主，安全厂商、服务商是配角，提供一些产品和外包安服人员。这类单位可以相对轻松地应对常规的网络安全事件，实战攻防演练过程中也表现的最为淡定。投入大，不仅仅是指购买安全产品、方案、服务，更大的投入是维持一支专门的安全团队。团队中的高端安全人才一个人一年的收入就可能达到数百万，堪比某些大型单位在安全方面全年的预算。这类企业有点像旧时代的巨富，自己雇佣了不少武林高手看家护院，保护自己的安全。这种方式其他人只能羡慕无法模仿。

第二类中等水平的单位大量存在，数量以万计，包括大部分大型和部分中型企事业单位，比如地市级以上政府委办局，大型制造型企业、高速公路集团、地铁、大型医院、高等院校等。开篇提到的某机场也属于此类范畴。这类单位每年一般有上百万到千万不等的安全预算，有一个很小的网络安全部门或至少有一个人对网络安全负责任。他们的安全投资以合规驱动为主，依靠安全厂商或集成商进行建设，从厂商或服务商那里买一些驻场服务，整体安全建设和运维水平无法令人放心。非攻防演练期间，可能轻易就被普通水平的黑客攻陷；攻防演练期间，通过“不可持续”的努力防守有可能涉险过关，但大概率还是会被攻陷。

第三类网络安全建设和运营水平较低的单位普遍存在，数量以百万计，几乎包括所有的小型和大部分中型企事业单位，比如非三甲医院、普通中小学、一般的制造企业、县级政府单位等。这类单位在安全上或基本没有投资，或每年几十万以下，没有专门的安全负责人，也买不起驻场安服人员，即使曾经投资了基本的安全建设，也由于设备过于专业，没人持续运维而无法发挥作用。针对这一类单位，一个具有传染性的普通病毒，比如勒索软件就有可能导致整个信息系统不可用。

后两类单位的确需要改进，然而客观地说，我们不能要求他们在投入有限的情况下向第一类单位看齐，奢侈的豪华配置是无法推广到这些单位的。在当前的安全建设思路下，他们陷入进退维谷的境地：一方面是各种法律、制度、责任、攻防演练、安全事件带来的压力让其不得不想办法应对，想找到一个有奇效的药方解决网络安全问题；另一方面业界不断涌现的各种网络安全新理念、新技术显得遥不可及难以落地，安全厂商、服务商开出的各种灵丹妙药好像都不对症，至少在自己可获得的预算前提下解决不了关键问题。

这两类单位到底应该采用什么样的网络安全建设思路才能在有限的预算下解决问题呢？作为经常用APT、有组织的高级黑客等潜在威胁来“吓唬”这类客户、 “忽悠”他们花钱采购自家安全产品和服务的安全厂商，我们更应该思考这个问题，否则这个产业很难进入一个良性的状态。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!