構建有效落地的網絡安全一體化防御體系

20年前，企業負責安全的基本上是一套防病毒軟件；15 年前，企業負責安全的基本上是一個兼職的系統管理員；10 年前，企業負責安全的基本上是一個專職的網絡安全員；8年前，企業負責安全的基本上有了專職的信息安全部門負責人；5 年前，企業負責安全的基本上有了專職的網絡安全小團隊；3 年前，企業基本上建立了管理、技術兩級架構的安全團隊。當下，大型央企都在落實黨委(黨組)網絡安全工作責任制。

近些年，在監管單位推動的網絡安全實戰化攻防演練和重大安保的持續“淬煉”下，驗證了很多關鍵信息基礎設施單位網絡安全保障體系的好與壞。幾場攻防戰下來，但凡在優秀行列的單位無不體現了核心三要素，強有力的網絡安全組織，領導重視和優秀的安全負責人(如安全處長、安全總監或者首席安全官)。

一、數字化企業需要強有力的網絡安全組織

世界正在走向數字化，中國正在快速開展大規模數字化轉型與建設，每個組織(行業、單位、企業、城市)在數字世界已經可以按照物理(Physical)空間和賽博(Cyber)空間來劃分。黑客組織、敵對勢力網絡攻擊已經成為數字世界的主要威脅，網絡超限戰已經是霸權國家整體政治戰略的重要組成部分，成為重要的軍事工具，直接服務于對外政策，不斷觸動大國之間的神經。

數字化時代每個數字化組織(行業、單位、企業、城市)的關鍵信息基礎設施、重要公共服務網絡、重要信息系統規模越來越大，這些大系統、大數據、大平臺成為數字中國經濟社會運行的神經中樞，也成為敵對勢力網絡攻擊的首選標靶。實戰演練工作切實推動了數字化背景下企業各層面安全意識的有效提升 , 也讓企業深刻認識到，數字化發展帶來的安全問題已經成為實實在在的挑戰，如何在數字化建設發展過程中做好網絡安全防御體系是每個數字化轉型中的企業都要面臨的重大議題。

2020 年 5 月，PCSA 安全能力者聯盟發布《年度大型攻防實戰全景：紅藍深度思考及多方聯合推演》系列框架圖，展示網絡攻防事前、事中、事后紅藍雙方所需要開展的大量基礎工作的全貌。

這個系列的大量基礎素材來源于關鍵信息基礎設施(CII)課題團隊和 PCSA 安全能力者聯盟，以及對國家關鍵信息基礎設施領域上百家數字化企業安全負責人的調研結果。

從調研過程中，可以感受到，網絡安全工作橫貫涉及多機構、多部門、多角色，涉及業務、數據、平臺、運營等多環節。網絡安全部門的負責人，要說服決策層理解并支持工作，要提升整體組織安全意識，要解決歷史積累的安全風險，要服務數字化轉型需求。網絡安全涉及全局全域，件件都需要落實，確實需要一個強有力的網絡安全團隊。

二、數字化企業需要有效的安全管理“三人”體系

網絡安全團隊要跑得快，全憑車頭帶。數字化組織網絡安全管理機構需要建立從上至下有效的安全管理“三人”體系。具體包括，第一人是決策層，是組織中網絡安全的第一責任人，例如黨組負責制的領導層，負責定調、定方向。第二人是具體的安全管理者，具體可以是組織中首席安全官、安全總監、安全處長等，負責總體安全策略和綜合計劃制定。第三人是一線網絡安全防御團隊，是組織中的安全技術、運營負責團隊，負責執行安全策略落地和日常運營。

在上述被調研的上百家單位中，很多單位的安全管理機構都在逐漸完善中。“三人”體系中缺任何一人就會有問題，缺得多問題就多，遇到網絡攻擊早晚失守，只是事件嚴重程度的高低。不重視安全工作肯定不行，重視但不落實具體措施也不行，有了具體措施但方向跑偏也不行。

目前，國內具備網絡安全防御體系經驗和實戰的人才非常稀缺，所以，問題多也是自然的。網絡安全防御體系龐大而復雜，能洞悉全貌需要極高的格局、眼界、層次，盡管也有獨當一面的專家，但數字化組織更多需要的是“三人”綜合體系。

在實際工作中，很多企業的高層決策者不是業務出身，也沒有好的人才吸引和激勵手段，導致無法留住專業人才，只能將安全工作外包。有些企業的領導者重視網絡安全工作，但中層管理人員執行力不夠，在攻防實戰演練中往往一擊即潰。隨著數字化組織越來越大，網絡安全的重要性越來越高，高效的網絡安全“三人”體系在企業的安全管理中將逐漸發展成熟。

三、數字化企業需要一個成熟務實的首席安全官

關于首席安全官，國內外有不同理解。國外首席安全官有專業的職責、定義和能力要求，此處不再贅述。以下重點分析現階段國內的情況。

在政府機構，基本設置是單位網信領導小組和網信辦，黨組成員有一名領導同志分管網絡安全工作，負責落實《黨委(黨組)網絡安全工作責任制實施辦法》，單位網信辦主任(或信息中心主任、副主任)承擔綜合網絡安全管理工作，實際日常執行負責人都是信息中心網絡(信息)安全處處長。

在國資企業，基本設置部分采用與政府相同的方式，部分設置了首席安全官，由國企集團副總裁級別人員兼任，集團管理信息部/科技部有分管的總、副總經理負責綜合網絡安全管理，具體執行負責人是網絡(信息)安全處處長。

在國內互聯網和數字化程度較高的民營企業，基本都設置了首席安全官的職位，具體負責的網絡安全工作與國外首席安全官的職責相類似。

綜合來看，在實際工作中，貼近首席安全官專業定義的更多是網絡(信息)安全工作的實際執行負責人，不管是政府、國企還是互聯網、民營企業，需要的是一名成熟務實的網絡安全工作負責人。

就如何做一名優秀的首席安全官(網絡安全負責人)而言，具備豐富的網絡安全專業能力或許可以成為一名及格的網絡安全負責人，如果要成為一名優秀的網絡安全負責人，還應該具備三個方面的能力。

第一，具備識別業務發展、信息化建設和網絡安全同步調的能力。

數字化業務發展、信息化建設和網絡安全應同步發展，安全和業務是伴隨的，也永遠是動態平衡的，無論是超前或者滯后，步調不匹配或節奏不對就會出現問題。

10 年前，安全工作是明顯滯后于業務發展和信息化建設的。隨后，等級保護工作的開展持續推動了基礎合規保護，讓安全工作有了長足的進步。5 年前，網絡安全實戰演練開始，“李鬼式”的偽安全保護系在實戰中紛紛現出原形。據統計，網絡安全投入不匹配業務發展趨勢的占比不在少數。

隨著“十四五”規劃開始啟動，網絡安全規劃越來越多地要求與業務愿景匹配、與信息化規劃匹配、與行業特點匹配、與建設節奏匹配、與發展步調匹配。業務發展到哪里，安全同步到哪里，業務規劃到哪里，安全規劃到哪里。很多單位對網絡安全負責人能力要求越來越強，要求能夠把握數字化業務發展、信息化建設和網絡安全同步平衡發展。

第二，具備三個常態化核心能力，即匯報、橫向協同、一體化落地。

匯報能力。向上級決策層清晰說明數字化組織面臨的挑戰和網絡安全對數字化組織的核心價值、投入平衡度以及體現出預期效益。以預算決策為例，上級決策層聽取網絡安全工作匯報機會較少，所以首席安全官的匯報能力非常關鍵。網絡安全技術專業出身的負責人匯報時往往會過于技術化，在短時間內，如果決策層理解不了就會忽略，尤其是在執行預算制度的單位，錯過一個時機可能再開展相關工作就得等到下一年，整個安全工作的進度就會慢一年。

橫向協同能力。與業務部門和其他部門協調劃分好安全邊界和職責是考驗網絡安全負責人的能力所在，很多工作沖突是因為在職責權利、義務的劃分上有交叉。做好網絡安全工作，邏輯要對，事情要順，規矩要立，又不能產生大量的矛盾和沖突。安全工作邊界的確定，可以通過三員方法論（安全管理員、系統管理員、安全審計員）這個基本辦法進行延展。這個方法的核心就是把各個崗位的職能從交叉變成融合，當方向一致了，事情清晰了，邊界清楚了，流程捋順了，就可以將很多難以推動的事情加以落實。

一體化落地能力。數字化組織必須制定總體安全策略，這是一個組織的安全總綱憲法，以此來層層落實安全管理、技術、運營體系。很多單位的三個體系還流于形式、彼此獨立。如果要將安全策略充分落地，一定需要進行一體化的融合，就像銀行業務一樣，有很多安全風險控制要求，最終落實在終端用戶的就是銀行柜臺和銀行 App 每個流程表單的控制。安全工作的核心是將總體安全策略拆解到安全管理要求，并通過安全技術能力實現技術要求，最終都融合對應到安全運營工作中去。如果這些要求沒有落地到日常的安全運營工作中，往往會出管理目標落地難，紙上談兵等問題。安全運營脫節不完整，就會導致安全策略落地變形，總體安全策略目標實現大打折扣。

第三，具備一體化彈性可擴展的網絡安全業務管理和技術平臺能力。

近年來，國家網絡安全政策、法律、標準和監管單位（行業主管單位）文件不斷發布，網絡安全工作已經走向業務化，需要協同組織中不同部門和人共同參與，單靠安全基礎管理平臺和防火墻、防病毒、安全技術基礎平臺等簡單工具和方法已經無法長久支撐。

當前，首席安全官(網絡安全負責人)的業務范圍已經包含戰時和平時的兩方面工作，每天隨時接收和落實監管單位各種文件要求、安全通報和監管檢查，還有年度多輪次的實戰攻防演練和重大節點的安全重保，開展備戰、迎戰、決戰、復盤等工作。平時則主要開展安全管理、安全技術、安全運營等不同層面工作。

從監管要求看首席安全官的工作內容，首席安全官(網絡安全負責人)需要在本組織負責持續落實國家網絡安全法律法規條例辦法、安全標準系列、監管單位（行業主管單位）等不同階段的文件要求，建設網絡安全法律法規文件知識庫。

從通報預警看首席安全官的工作內容，首席安全官(網絡安全負責人)需要在本組織負責關注、接收和及時處置來自國家各級預警通報中心的威脅情報、漏洞弱點、數據泄露、安全態勢等情況，本行業、本單位的重點被攻擊情況，建設本單位的網絡安全風險情報和通報預警平臺，及時開展信息共享、方案制定、協同處置、預警通報、應急響應、指揮協同等工作。

從安全管理看首席安全官的工作內容，首席安全官(網絡安全負責人)需要在本組織負責制定總體安全策略并年度進行動態調整，包括“十四五”規劃和行動計劃，年度安全工作計劃和安全重點任務，制定安全管理制度、規劃落實安全組織崗位、制定安全考核指標。建設網絡安全日常管理工作平臺，制定落實計劃，開展監督、檢查、指導、考核等工作，協同不同領域的安全工作開展。例如，和決策層明確安全管控目標、安全資源投入，和規劃部門確定總體安全規劃，和業務部門協同進行業務安全全生命周期工作，和數據部門協同數據安全流動管控，和 IT 基礎設施部門協同 IT 安全架構和安全域規劃，和 IT 運維部門協同安全監測、響應和防御處置，和資產管理部門協同數字化資產的安全管理，和采購部門協同第三方供應鏈的安全管理，和人力部門協同安全意識和教育培訓體系等。

從安全技術看首席安全官的工作內容，首席安全官(網絡安全負責人)需要在本組織負責供應鏈網絡安全審查監控技術體系，開展合規基礎安全保護、強化重點保護和指揮協同保護三個層面的工作。在大系統(應用層)層面建設應用層、代碼層、系統層的安全監測防護技術手段，在大數據（數據層）層面建設數據層、組件層、API 層的安全監測防護備份恢復技術手段，在大平臺(云平臺、工業控制平臺、物聯網平臺)層面建設平臺及安全管控技術手段等。

從安全運營看首席安全官的工作內容，首席安全官(網絡安全負責人)需要在本組織負責建設保護對象的資產基礎庫、安全能力基礎庫、風險情報基礎庫、統一認證體系、安全策略強管控體系、安全日志數據基礎體系、溯源反制體系、實時監測體系、多層快速響應體系、智能化分析研判體系、動態風險評估體系、自動化防御體系、一體化攻防對抗體系、演練體系等。

經過這些年的發展，網絡安全工作趨勢日漸清晰，已經從合規體系走向態勢感知體系、掛圖作戰體系、智能安全體系。數字化業務、信息化建設持續發展，網絡安全工作涉及面廣、暴露面廣、監管要求多，最重要的一關就是體系合成和運轉，不能再靠人工、手工臨時應對，需要具備敏捷、迭代、彈性、可擴展、一體化的管理和技術 IT 信息化支撐平臺。

數字時代需要更多的首席安全官(網絡安全負責人)為數字化組織構建有效落地的網絡安全一體化防御體系，實現數字化組織“看管監控”的安全中樞。

看，看得清數字化資產(被保護對象)的分布與邊界，看得清實時攻擊與防御，看得清風險隱患與應急處置，看得清組織管控與協同，看得清安全運行宏觀全貌，做到心中有數。

管，理得清數字化資產(被保護對象)的主責與主權，理得清重要資產、核心資產、一般資產，理得清誰在用、誰在管、誰在監、誰在控，理得清主責方、同責方、守責方，理得清組織管控與一體化協同執行機制，做到未雨綢繆。

監，測得清數字化資產(被保護對象)的攻擊方攻擊源頭，快速實現意圖推理、態勢研判、威脅預警、攻防評估，信息共享、體系對抗、能力調用、指揮協同、持續響應的反制方向，在多個關鍵場景和領域事前、事中、事后，全程持續動態的監控與識別，做到把握關鍵。

控，守得住數字化組織智能中樞，守得住關鍵信息基礎設施，守得住重要信息系統，做到陣地管控。

首席安全官(網絡安全負責人)需要持續打造數字化組織的安全中樞，在實現“資產清晰化、風險動態化、能力生態化”的基礎上，滿足“監測實時化、防御體系化、威脅預警化、響應迅速化、信息共享化、指揮精確化”的安全監管一體化。