网安加·百家讲坛 | 刘志诚：从管理到治理：企业网络安全的破局之道

作者简介：刘志诚，乐信集团信息安全中心总监、OWASP广东区域负责人、网安加社区特聘专家。专注于企业数字化过程中网络空间安全风险治理，对大数据、人工智能、区块链等新技术在金融风险治理领域的应用，以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。

随着网络空间和网络物理系统对经济格局和社会发展的影响日益深远，我国政府积极应对，陆续出台了《网络安全法》《数据安全法》《个人信息保护法》等一系列政策法规，已基本构建起网络安全政策法规体系的“四梁八柱"。

而企业网络安全的演进，与计算机和信息化时代一脉相承，以风险管理思维视角关注网络安全风险对企业信息化系统风险的影响；基于职能主义的企业组织架构，通过安全风险控制能力的建设和运营，管理企业网络安全。

一方面，我们看到网络安全产业在细分赛道上，推出针对具体风险的技术控制措施的产品；另一方面，又看到企业网络安全控制措施能力体系建设必须混搭多供应商的安全产品，评估产品间的功能交叉、重复、空隙。为产品兼容性和功能冲突伤透脑筋的同时，又面临巨大的复杂性和不确定性。

企业董事会和执行管理层面对风险与控制措施因缺少专业性支持而难以进行风险决策，在面对安全事件影响的公众舆论发酵除了指责安全团队的失职之外，往往束手无策。一系列因素造成了当前企业网络安全建设的投入物理阻挡导致的安全事件频发、企业网络安全投入和预算螺旋下降、网络安全产业的收益日益衰减的现状。

我们需要从体系和机制上思考企业网络安全从企业到产业螺旋下降的原因与机制，寻找破局之道。

一、目标与驱动力

网络安全最原始的驱动力是事件驱动，安全事件及其引发的严重后果，是企业重视网络安全的最初驱动力。

从归纳推理的角度，对安全事件的分析、归纳，形成安全策略，这是原始的网络安全架构。举一反三，从归纳推理往演绎推理演进，形成了理论指导的预防机制，实现对网络安全事件的防范，这是网络安全方法论的进步，形成了风险管理理论在网络安全领域的应用，资产脆弱性遭受内外部威胁发生事件形成影响的概率，结合控制措施投入产出比（ROI）的量化，为风险接受度的企业决策提供了依据，来到了风险驱动的时代。

风险驱动依赖于对资产数据的准确性、资产脆弱性的评估、内外部威胁的发现、事件概率的预测。在实际运作中，就会发现理论与工程化实践的巨大差距。

资产本身就是容易争论的焦点，什么是资产、资产包含什么内容、关注资产的属性是什么，别说财务角度资产的异同，即使从IT运维的角度，安全和运维关注的资产范围和属性都存在不同，更何况数字化生态的复杂性，资产的边界和动态属性，加上影子系统的资产黑洞，资产的准确性成谜。

同样，脆弱性从利用的角度描述，实际网络安全场景中，制度、文档、人等因素都存在，而往往被忽略。最近网易音乐的可用性事故中，作业说明书（SOP）和操作规程以及操作人员的三个综合脆弱性导致了事件的发生，说明被忽视的脆弱性比比皆是。概率更是一个基于数学的量化主观指标，参加价值往往存疑成为拍脑门的决策。

威胁的源头远不止是黑客和APT组织，尽管他们确实是针对关键基础设施的主要威胁力量。但内部员工的恶意操作、员工的误操作以及不具备响应操作能力的员工错误操作，往往更是企业安全事故的主要原因。外部威胁、内部恶意和误操作是目前容易受到关注和控制的要点，但对技能和经验缺失的员工错误操作的关注度仍然不够。

控制措施从网络安全管理方法论的角度，包含资产生命周期的需求和设计阶段的风险分析和预防措施建设、建设阶段的脆弱性检查以及为运营阶段脆弱性、威胁、事件的检测与监测能力的集成，运营阶段的脆弱性加固、威胁拦截、事件响应等系列化控制措施。从能力的角度，包含预防、检测、监测、响应、拦截、恢复、补偿控制等控制措施。

但对于大多数非原生的数字化企业而言，安全风险的控制措施往往是对异构非标的信息资产进行运营阶段的补偿性安全措施建设，针对不同资产不同控制措施，带来异构控制措施的交叉与空白，兼容和统筹是个系统性难题。

另外关于控制措施与风险的相关性、风险控制措施的有效性，是需要关注的重点，依赖于安全事故的影响结果评估，显然只能是亡羊补牢的措施。即使审计、渗透测试、攻防演练也只是从结果和过程合规的角度监控，而缺少对控制措施与风险的相关性以及风险控制措施有效性的角度去评估和评价。

而缺少风险控制措施有效性的评估以及控制措施与风险表现关联性的评估，风险驱动的安全仅是理论自洽的存在，缺少工程实践和企业治理层面沟通的基础。

如果安全事件引起的安全事故不可预测、难以避免，风险驱动的机制缺少关键环节，那么责任规避和降低影响会成为思考的关键。于是在网络安全法律法规频繁出台的规制之下，合规驱动成了不少企业的选择。合规驱动的隐藏含义在于，不关注风险的真相，只在法律法规范畴内做到过程合规，则规避了网络安全的责任和合规风险。

而在中国网络安全领域立法倾向于既关注风险，又关注控制措施的前提下，无论从企业的网络安全管理还是从网络安全产业发展的角度，似乎都是个双赢的结果，而网络安全产业热衷于与监管机构的合作，通过技术与资源影响力，把控制措施的理念和产品写入标准与行政法规，更是把利益驱动的治理推广到了极致。

这催生了一种怪象：网络安全领域对行政法规与标准的依赖性空前增强，以至于企业的网络安全主管在履行职责时，更多地是遵循既定的标准与流程，而非深入探究实际的风险与应对策略。他们只需按部就班地实施推荐的安全管理框架与建设方案，便能看似有效地规避网络安全责任。在此过程中，安全产品的部署与配置往往仅停留在表面，有的基于默认设置运行甚至是不加电不拆箱，其是否真正依据风险控制需求进行配置，反而不是首要考量。

二、管理与治理

当前网络安全管理的目标与驱动力现状，实际上揭示了该领域与企业整体战略目标之间的偏离。问题根源在于，从董事会到管理层普遍缺乏网络安全对企业全面影响的认知与宏观视角，导致网络安全部门仅被视为职能部门；自下而上的风险评估与控制措施规划方式，缺乏体系化的治理架构支撑，使得网络安全管理往往局限于合规性要求，而非主动、前瞻性地应对潜在风险。最终，网络安全部门沦为了仅满足于合规底线的执行者，而非推动企业网络安全风险治理与业务融合的核心力量，甚至可能演变为企业因网络安全管理不善而承担高昂成本的中心。

为从根本上改善这一状况，建议从以下几个方面入手：

1、董事领导的专门委员会自上而下关注网络安全风险

企业的网络安全风险治理需要跳出职能部门领导的网络安全风险管理误区，由具备专业能力的董事会的相关董事、牵头领导网络安全委员会，关注企业的全面网络安全风险评估与治理，从企业战略和业务发展的视角审视网络安全风险对企业业务目标的影响；向董事会汇报，将网络安全风险治理的策略作为公司战略发展的一部分，推动企业对网络安全风险治理的关注和资源投入。

2、全面的网络安全风险评估措施和治理体系

在数字化浪潮中，网络安全风险的范畴已显著扩展，超越了传统意义上对员工工作信息系统的保护。面对客户互动、企业生态系统及跨企业边界的复杂业务运营，我们必须全面审视网络、系统、终端、客户及合作伙伴等各个环节中潜在的不可控风险。为有效应对这些风险，企业需将网络安全治理深度融入业务规则和流程之中，使之成为业务运营不可或缺的一部分。这不仅包括对黑客与高级持续性威胁（APT）组织的防范，还需警惕黑灰产活动、恶意客户及合作伙伴可能带来的安全威胁。

针对企业产品的的智能网联功能，除了关注传统产品功能安全范畴之外，还需要关注产品生命周期监控、分析、用户隐私相关的网络安全风险，从而构建一个全方位、多层次的产品网络安全防护体系。

为了精准评估网络安全风险，企业应构建一套全面的安全属性资产全局管控机制。这一机制需针对多元化资产实施动态的安全属性管理要求与策略，确保覆盖业务流程中所有类型的数字化资产。通过整合外部威胁情报数据源，企业能够利用数据驱动的方法，实现安全风险的自动化分析评估，从而快速识别潜在威胁，并采取相应的防护措施，从而构建数据驱动的安全风险自动化分析评估能力。

建立控制措施有效性验证机制，完善风险与控制措施相关性的动态分析和验证机制，准确评估安全控制措施与风险治理的有效性，为企业专门委员会的风险决策提供数字化依据。

3、跨职能的网络安全风险治理

企业的核心是人，而人的脆弱性是网络安全治理的关键一环，叫不醒装睡的人是安全意识教育的难题。

研究显示，那些长期忽视安全意识培训与考核的员工，在面对钓鱼攻击和社会工程学手段时，更易受诱点击链接或进行错误操作，其受害比例是接受培训并考核员工的两倍，占据了受害群体中的三分之二。

这一现象与反诈骗宣传面临的困境相呼应，尽管反诈信息已广泛传播至社区和个人，但那些置若罔闻、拒不接受教育的个体仍是诈骗案件的主要受害者。企业人的主观恶意、误操作、技能与经验不足的错误操作，依然是企业网络安全人的治理的首要防范目标。

企业数字化的关键是业务运营与信息技术团队，在业务系统自主研发成为企业业务核心竞争力的时代，业务策略、业务流程、业务结构决定了企业信息基础设施的需求，而网络安全的风险评估与控制措施的构建应该嵌入到业务设计和方案中，为规避网络安全风险提供数据采集和分析能力的基础支持。信息基础设施技术栈的选型、构建在考虑便利性、效率以及兼容性的同时，安全性指标也应该在方案阶段参与设计、建设，真正做到三同步。

法务、合规、内审、财务、企业全面风险管理（ERM）、企业治理风险合规（GRC）、企业环境治理（ESG），作为不同职能团队在面对合规、风险、治理相关职能和监管对接的过程中，既是网络安全需求的输入方，又是网络安全风险的基本来源，还是网络安全控制措施工程化落地以及技术管控措施整合中需要考虑的关键环节。跨部门的沟通协调，目标的统一与协同是网络安全治理不可或缺的部分。

综上所述，从职能角度自下而上的网络安全管理，难以解决控制措施有效性以及风险与控制措施相关性的局部性思维带来的目标与驱动力偏离。只有以董事领导的网络安全专业委员会自上而下构建的治理体系才能真正解决企业面对的网络安全风险，实现网络安全对企业战略目标的保驾护航。