不久前，和國內某頭部機場客戶高層會面時，對方對機場當前網絡安全現狀憂心忡忡，提出了很多具體的問題，希望華為能夠幫助他們建立一套安全體系，徹底地解決安全問題。我竊喜生意來了，毫不含糊地答應下來。

這類交流場景日漸普遍，讓我感受到越來越多客戶高層對網絡安全的關心和重視，同時更感受到了他們的擔心和焦慮。面對這個現象，從事網絡安全產業的我理應開心，但其實內心極度不安：且不說管理、制度、流程、員工意識等非技術方面的因素對客戶安全建設效果的影響，僅就技術、產品、服務等相對可控的因素而言，大部分客戶在非常有限的預算下，如何才能“徹底地解決安全問題”呢？

不可持續的網絡安全建設困境

大部分國內企事業單位的網絡安全的現狀是不容樂觀的，這一點從這幾年相關部門組織的全國性實戰攻防演練行動可以看出來。雖然每次攻防演練都有一部分單位“幸存”下來沒有被拿下標靶，但我們要認識到這背后所付出的有些“努力”是不可持續的：

首先，業務影響的不可持續：很多單位為了應對攻防演練，在演練期間通過拔網線等神操作將很多互聯網業務下線，不僅本單位員工的正常工作受到影響，所服務用戶也無法正常辦理業務。這類神操作日常不可能落地。

其次，云服務器租用，投入的不可持續：攻防演練期間，除了調動單位內部的員工外，還通過各種方式招募了大量的安服人員，有些是每天花費上萬元短期租借的，有些是從安全廠商臨時借調的。這么多人員的投入在日常是不可持續的。

這幾年國家組織的實戰攻防演練價值很大，大幅度提升了各個單位對網絡安全的重視程度，也一定程度上促進了安全體系的建設。然而大部分企事業單位臨陣磨槍倉促應戰的這種應對方式并不理想。如何才能變“應試教育”為功夫在平時的“素質教育”方式呢？

從網絡安全建設和日常運營水平這個角度來說，我們可以粗略地將國內企事業單位分為三大類：

第一類高水平的單位數量不多，全國不超過100家，主要包括BAT這類互聯網大廠、五大行、頭部的股份制銀行、華為等。這類單位對安全的重視是自發的，業務驅動的。安全方面投入大、能力強，安全體系的建設主要以我為主，安全廠商、服務商是配角，提供一些產品和外包安服人員。這類單位可以相對輕松地應對常規的網絡安全事件，實戰攻防演練過程中也表現的最為淡定。投入大，不僅僅是指購買安全產品、方案、服務，更大的投入是維持一支專門的安全團隊。團隊中的高端安全人才一個人一年的收入就可能達到數百萬，堪比某些大型單位在安全方面全年的預算。這類企業有點像舊時代的巨富，自己雇傭了不少武林高手看家護院，保護自己的安全。這種方式其他人只能羨慕無法模仿。

第二類中等水平的單位大量存在，數量以萬計，包括大部分大型和部分中型企事業單位，比如地市級以上政府委辦局，大型制造型企業、高速公路集團、地鐵、大型醫院、高等院校等。開篇提到的某機場也屬于此類范疇。這類單位每年一般有上百萬到千萬不等的安全預算，有一個很小的網絡安全部門或至少有一個人對網絡安全負責任。他們的安全投資以合規驅動為主，依靠安全廠商或集成商進行建設，從廠商或服務商那里買一些駐場服務，整體安全建設和運維水平無法令人放心。非攻防演練期間，可能輕易就被普通水平的黑客攻陷；攻防演練期間，通過“不可持續”的努力防守有可能涉險過關，但大概率還是會被攻陷。

第三類網絡安全建設和運營水平較低的單位普遍存在，數量以百萬計，幾乎包括所有的小型和大部分中型企事業單位，比如非三甲醫院、普通中小學、一般的制造企業、縣級政府單位等。這類單位在安全上或基本沒有投資，或每年幾十萬以下，沒有專門的安全負責人，也買不起駐場安服人員，即使曾經投資了基本的安全建設，也由于設備過于專業，沒人持續運維而無法發揮作用。針對這一類單位，一個具有傳染性的普通病毒，比如勒索軟件就有可能導致整個信息系統不可用。

后兩類單位的確需要改進，然而客觀地說，我們不能要求他們在投入有限的情況下向第一類單位看齊，奢侈的豪華配置是無法推廣到這些單位的。在當前的安全建設思路下，他們陷入進退維谷的境地：一方面是各種法律、制度、責任、攻防演練、安全事件帶來的壓力讓其不得不想辦法應對，想找到一個有奇效的藥方解決網絡安全問題；另一方面業界不斷涌現的各種網絡安全新理念、新技術顯得遙不可及難以落地，安全廠商、服務商開出的各種靈丹妙藥好像都不對癥，香港服務器租用，至少在自己可獲得的預算前提下解決不了關鍵問題。