2025 年网络安全趋势报告

一、引言
自欧洲信息安全协会（Infosecurity Europe）首次举办活动的 30 年来，网络安全格局发生了翻天覆地的变化。如今，网络安全领导者必须应对众多威胁，维持法规合规性，并与董事会成员合作推进组织的网络安全战略。
为了更好地了解首席信息安全官（CISO）当前面临的问题以及他们投入时间和资源的方向，我们对来自多个行业的 231 名网络安全专业人士进行了调查，内容涵盖：
网络安全预算的变化
技术投资意向
推动投资的威胁因素
网络风险因素
资源挑战
合规性
网络安全战略
构建强大网络安全文化的潜在障碍
量子计算的潜在影响
本报告整理并总结了 2025 年网络安全现状的调查结果，并与 2024 年网络安全趋势报告的结果进行了对比。此外，报告还收录了知名安全领域领导者和欧洲信息安全协会顾问委员会成员的观点和分析，包括毕马威网络安全总监乔恩・戴维斯、信息安全论坛首席信息安全官保罗・瓦茨，以及巴克莱全球网络运营总经理贝基・平卡德。
二、执行摘要
网络安全预算持续增长：网络安全预算不断增加，平均而言，网络安全专业人士预计预算将增长 31%，其中 20% 的专业人士预计增长幅度将超过 50%。
生成式人工智能威胁推动网络安全投资：总体而言，人工智能生成的攻击是投资的主要驱动力，28% 的网络安全专业人士将生成式人工智能视为主要风险。
法规给网络安全团队带来压力：近一半（45%）的受访者表示，遵守网络安全法规使他们的资源紧张。
人员仍然是网络安全的核心：提升员工技能被视为持续网络安全战略的关键要素，因此培训和发展将变得越来越重要。
三、研究方法
本研究由 Zing Insights Ltd 开展，样本来自 231 名 IT 安全决策者，数据收集时间为 2024 年 11 月 26 日至 12 月 3 日，与 Research Clever 合作完成。Zing Insights 遵守英国市场研究协会（MRS）的行为准则和 ESOMAR 原则。
行业分布：涵盖 IT、银行与金融、制造与工程、零售与批发、教育与培训、医疗与保健、建筑与农业、法律、运输与旅行、餐饮、酒店、休闲与娱乐等。
职位层级：企业董事会级别（总裁、董事长、首席执行官、总经理、所有者）占 26%；首席信息官 / 首席技术官 / 首席安全官 / 首席体验官 / 首席信息安全官占 17%；总监 / 部门负责人占 30%；副总裁占 1%；经理（有员工管理职责）占 23%；经理（无员工管理职责）占 2%。
组织规模：员工人数 < 250 人的占 21%；250-499 人的占 15%；500-999 人的占 14%；1000-4999 人的占 17%；5000-9999 人的占 15%；10000-24999 人的占 9%；25000 人以上的占 9%。
平均而言，网络安全专业人士所在组织的员工人数超过 5600 人。然而，这一数据因 18% 的受访者所在组织员工人数超过 10000 人而有所偏差。500-999 人规模的组织中位数可能更能真实反映组织规模。
四、网络安全预算
对行业而言，好消息是网络安全预算将继续增长。与 2024 年同比增长 22% 的研究相比，网络安全领导者预计 2025 年的预算将增长 31%。
在接受调查的人中，20% 预计预算增长超过 50%，55% 预计增长 11%-50%。员工人数在 500-999 人和 5000-9999 人的公司预计预算增长更高，平均为 41%。
积极的一面是，超过十分之七（71%）的人认为他们拥有确保组织网络安全所需的预算，另有 18% 的人表示他们的预算几乎足够。
毕马威网络安全总监兼欧洲信息安全协会顾问委员会成员乔恩・戴维斯表示：“预算增加并不总是使组织更具网络弹性。尽管更多的预算使首席信息安全官和安全领导者有了更大的灵活性，但重要的是投资回报；你是把钱花在工具、人员还是流程上，钱花在哪里最好？确定预算优先级并对安全计划有一个全面的看法，将使任何规模的预算都更有影响力。”
然而，在网络安全财务方面，并非所有人都处于安全状态，8% 的调查受访者表示他们没有足够的资金来满足需求，另有 2% 的人尚未计算他们的需求成本。
各行业的投资类型差异很大，金融和银行业更关注云安全，制造业更关注网络安全，零售 / 批发业更关注威胁情报。
应用安全和网络安全是计划投资增长最大的技术领域，34% 的受访者计划在这些领域进行投资。零信任解决方案以及身份和访问管理是计划投资增长最低的项目之一。
89% 的 IT 决策者拥有全部或大部分所需资金，以确保他们的组织尽可能网络安全。乔恩・戴维斯补充道：“应用和网络安全可能会获得更多投资，这是由于感知到的风险增加，即使风险本身可能一直存在。由于软件即服务功能、附加组件、自建应用程序的增加，以及缺乏对这些应用程序的全生命周期管理，问题被放大了，重点放在了快速冲刺和快速部署上。”
五、人工智能威胁推动投资
调查显示，生成式人工智能被认为给组织带来了最大的网络风险。人工智能生成的网络攻击被列为主要威胁，推动了投资的增加，71% 预计提高预算的人将人工智能列为主要原因。其次是勒索软件（48%）、人为错误（44%）和供应链威胁（37%）。
92% 的金融 / 银行业从业者表示，人工智能是一个特别需要考虑的因素。
64% 的网络安全专业人士认为，人工智能将导致其组织遭受的网络攻击增加，而 2024 年这一比例为 49.5%。
71% 的人预计，未来一年人工智能的应用将发生巨大变化。
六、人工智能对安全战略的影响
近十分之八（78%）的网络安全专业人士认为，人工智能将迫使他们全面改革安全战略。与此同时，超过十分之七（71%）的人认为，人工智能将增加其组织内的自动化程度。超过三分之二（68%）的人计划在未来 12 个月内将人工智能作为其网络安全战略的一部分，64% 的人认为人工智能将导致其组织遭受更多的网络攻击。超过一半（51%）的人认为，当前的法规和伦理挑战可能会减缓其组织采用人工智能的速度。巴克莱全球网络运营总经理兼欧洲信息安全协会顾问委员会成员贝基・平卡德表示：“我们行业有一种不幸的倾向，总是被最新的热门技术所吸引，在这种情况下是大型语言模型和生成式人工智能；然而，我们面临的最大持续威胁是我们能否正确奠定安全基础，并在安全后确保警惕性。”
七、勒索软件仍是主要风险之一
勒索软件的威胁仍然是所有行业组织面临的主要威胁之一。其他提到的主要风险包括地缘政治不稳定、网络安全技能差距和网络工具的整合问题。近十分之七（68%）的人认为，勒索软件和勒索在 2025 年仍将是主要威胁，比 2024 年（44.5%）增加了 50%。与此同时，超过一半（54%）的人认为，组织在整合工具和技术以应对网络攻击方面将面临困难，高于 2024 年的 43.5%。根据欧洲信息安全协会的调查，43% 的网络安全专业人士认为，通过培训和教育提升员工技能是持续网络安全战略的最佳途径。总体而言，39% 的网络安全专业人士强调，网络安全技能差距是导致网络风险的一个因素。贝基・平卡德表示：“日益增长的威胁在于我们的技术堆栈和端到端架构的复杂性不断增加。新的技术债务就是网络安全债务。”
八、培训与发展
平均而言，网络安全专业人士认为，他们所在组织中 58% 的员工具备网络安全意识，这意味着在提高组织的网络安全水平方面还有大量工作要做。43% 的网络安全专业人士认为，持续网络安全战略的最佳方法是提升员工技能，这一比例是 2024 年（14.5%）的三倍多。员工人数最多（25000 人以上）的组织最有可能相信，全面的技能提升方法将带来回报（67%）。略多于一半（55%）的人认为，网络安全认证对该领域的专业人士极其或非常重要，CompTIA Security+、CISA、CISM 和 CISSP 几乎并列成为新员工最有价值的认证。41% 的人认为，人工智能将导致网络安全技能招聘的减少。65% 的网络安全专业人士极其或非常自信他们的组织完全合规。45% 的人表示，遵守网络安全法规使他们的资源极其或非常紧张。58% 的 IT 行业从业者最有可能感到压力，他们表示自己极其或非常紧张，而餐饮、酒店、休闲和娱乐行业中没有人感到极其或非常紧张。47% 的人将在董事会层面的网络安全对话中遇到困难。
九、关键要点
显然，网络安全的未来既挑战又激励着行业专业人士。网络安全在董事会层面受到重视，因此，为了应对勒索软件、量子计算、生成式人工智能的威胁增加以及新法规的出台，正在进行投资。即使没有增加的压力和不断演变的技术威胁，也只有略多于四分之一的人相信他们的组织完全遵守法规，因此显然还有很多工作要做。在许多组织中，资源仍然是一个挑战，导致首席信息安全官精疲力尽。然而，对更简化的培训和教育（使用人工智能）的期望可能会平衡这一挑战。人是推动变革的关键。网络安全专业人士认为，他们所在组织中平均 58% 的人具备网络安全意识，未来提高网络安全水平在很大程度上依赖于技能提升、培训和发展。