從物聯網、工業4.0，直至現在IoT萬物互聯的概念被提出之後,網絡安全的覆蓋範圍随之擴大(dà)，在整體(tǐ)上對信息安全從業者的要求有了很大(dà)的變化，以前靠傳統硬件堆疊就能解決大(dà)多數問題的時代，一(yī)去(qù)不複返。

    反觀現狀，網絡安全産品與功能的高速發展，響應與治理的分(fēn)割，運營與處置的矛盾，都讓安全領域亟待提升強化。而這種強化，并不是單純追求技術能力的提升，而是要求企業先要從安全理念上突破和改變。

    近來，“在安全上做減法，降低複雜(zá)性”，以及“‘前置安全’，加強管理手段”的相(xiàng)關安全理念在業界被反複提及。

    物聯網對網絡安全的需求不斷增長。

    近年來，物聯網越來越受歡迎，目前有數百萬設備連接到互聯網。然而，物聯網的擴展帶來了新的網絡安全挑戰。

    物聯網中(zhōng)的“物”是指計算機、電話(huà)和服務器以外(wài)的設備，是連接到互聯網并交換數據的物理對象。物聯網設備包括可穿戴健身追蹤器、智能手表和谷歌主頁等語音助手。

    物聯網的一(yī)個主要問題是，大(dà)多數設備的安全功能都很低，容易受到攻擊。此外(wài)，大(dà)量物聯網連接設備形成了一(yī)個難以防禦的重要攻擊面。

    爲了應對這一(yī)風險，各企業應實施強有力的身份驗證，和加密措施以及強大(dà)的監控和響應系統。此外(wài)，在發生(shēng)安全漏洞時，需要制定一(yī)個協調一(yī)緻、行之有效的應對計劃，因爲這可以減少攻擊的影響，降低數據丢失的風險。

    一(yī)味堆疊産品弊病凸顯，網絡安全亟需做減法。

    近年來，數字化轉型升級讓大(dà)量的企業都開(kāi)始使用公有雲、遠程辦公來提高效率，從而導緻風險暴露面的擴大(dà)，再加上合規建設等要求，企業們紛紛加大(dà)了對終端安全的投入。

    不過，久而久之，這體(tǐ)現在行動上，則成了一(yī)味堆疊産品。

    “終端安全産品堆疊是企業普遍存在的弊病。”某網絡安全廠商對钛媒體(tǐ)App表示。钛媒體(tǐ)App也了解到，在終端安全中(zhōng)一(yī)味堆疊産品并不能擁有1+1>2的效果，相(xiàng)反，有時還會出現小(xiǎo)于2的情形。

    終端瘋狂堆砌安全産品的另一(yī)面，是企業會打包不同網絡安全廠商産品一(yī)起使用，這也産生(shēng)了兩方面的不利影響：一(yī)方面，大(dà)量産品堆疊讓使用體(tǐ)驗惱于卡頓；另一(yī)方面，出現問題時各家廠商互相(xiàng)推诿扯皮的現象時有發生(shēng)。

    總體(tǐ)來說“理想豐滿，現實骨感”，一(yī)味堆疊終端安全産品，也對業務産生(shēng)了一(yī)些負面影響。這表現在運維上，則是繁多的産品讓終端運維變得繁雜(zá)、低效，加大(dà)了終端運維工作人員(yuán)的負擔。

    數字化辦公環境下(xià)，終端已經成爲員(yuán)工訪問企業數字化系統最重要的工具，每當終端出現問題之後，不論問題大(dà)小(xiǎo)，大(dà)家都會條件反射地對接運維人員(yuán)，導緻運維人員(yuán)的工作量成倍擴增。但(dàn)終端承載的業務、功能多元化，導緻終端管理本身就比較困難；加之終端安全方面缺乏類似可度量的指标，無法持續對終端的整體(tǐ)安全情況進行檢測，壓垮終端運維的稻草一(yī)直在持續疊加。

    除了内憂，還有黑客帶來的外(wài)患。黑客組織專業化、體(tǐ)系化情況下(xià)，割裂的産品則容易導緻攻防不對稱，防護效果大(dà)打折扣。尤其現在人工智能攻防呈現對抗發展的演化，黑客基于人工智能的攻擊越來越隐蔽化，又(yòu)加大(dà)了應對難度。

    不過，最近風向好像變了，在認識到産品堆疊的一(yī)系列問題之後，一(yī)些網絡安全廠商開(kāi)始強調産品要走向輕量化，減少産品堆疊，強調以提升效率爲主。“網絡安全最小(xiǎo)化，網絡安全要打合成仗”的口号也在業内形成了此起彼伏的聲浪。

    随着技術的革命、技術的叠代，終端安全也需要做減法，變得更加簡潔、有序和有防禦性。

    安全治理開(kāi)始前置，向管理角度傾斜。

    終端安全與業務的關聯示例一(yī)方面明示了安全治理要做減法的思路，另一(yī)方面，也隐含了安全理念急需加強的潛在問題。

    此前，騰訊安全聯合安在，先後對1500餘位企業CSO，50多位企業家及行業專家進行了調研，調研發現，發展驅動成爲大(dà)家的普遍共識，即基于“治已病”發展爲“治未病”的前置安全的觀念。

    騰訊集團副總裁、騰訊安全總裁丁珂認爲，安全建設的範式正在從被動安全逐步演變爲主動防禦，是這個階段企業建設安全的核心考量。他還表示：“企業家的整體(tǐ)安全思維要進行變革：用主動的方式建立具有彈性、自(zì)适應、可擴展的數字安全免疫系統。”

    但(dàn)現實問題恰恰就在于，企業家的思維變革并不容易。類似“先天性數字安全免疫力”，即企業的安全文化和意識的推進也并不輕松。

    對于上述問題，施耐德電器的管理經驗是，通過識别、評估、分(fēn)類分(fēn)級流程後建立的風險注冊表，将可能發生(shēng)的風險因素與高管們每個人的職責相(xiàng)綁定，提高企業高層們對安全風險的預警意識，認識到自(zì)己并不是遊離(lí)在安全之外(wài)的因素。而通過風險注冊表，不僅能将安全責任落實到整個體(tǐ)系中(zhōng)，也能通過定期、持續的評估來了解企業是進步還是退步。

    安全的保障一(yī)定是技術和組織的雙輪驅動。中(zhōng)國人民大(dà)學商學院教授、國際信息系統學會中(zhōng)國分(fēn)會（CNAIS）主席（理事(shì)長）毛基業表示：“我們當年講ERP是組織變革，是三分(fēn)技術、七分(fēn)管理，今天講數字經濟、數字化轉型還是講三分(fēn)技術、七分(fēn)組織。最主要的是生(shēng)産力的解放(fàng)，要靠生(shēng)産關系靠組織變革來完成。雙輪驅動，除了有技術，還要有管理層面最深層的治理關系，所有制、責權利相(xiàng)符。”

    将安全前置，以管理視角優先，多層面地提高安全風險意識，接下(xià)來還需要企業在喊口号之外(wài)，再多走兩步。

    另外(wài)，以下(xià)九個趨勢将在這三個領域對SRM領導者産生(shēng)廣泛影響：

    趨勢1：以人爲本的安全設計

    采用以人爲本的設計原則，将員(yuán)工體(tǐ)驗在整個控制措施管理生(shēng)命周期中(zhōng)的作用放(fàng)在第一(yī)位。到2027年，50%的大(dà)型企業首席信息安全官（CISO）将采用以人爲本的安全設計原則，以盡量減少網絡安全運營摩擦，并盡可能推動控制措施的采用。

    Gartner高級研究總監Richard Addiscott表示：“傳統的安全意識培養計劃未能減少不安全的員(yuán)工行爲。首席信息安全官必須重新審視過去(qù)的網絡安全事(shì)件，确定網絡安全運營摩擦的主要來源，判斷在實施控制措施的同時如何通過更多人文關懷來減輕員(yuán)工的負擔，或取消那些增加摩擦卻無法有效降低風險的控制措施。”

    趨勢2：改進人才管理，保障安全計劃的可持續性

    以前，網絡安全領導者始終重視改進安全計劃背後的技術和流程，很少關注具體(tǐ)的實施者。爲吸引和留住人才，不少首席信息安全官采用以人爲本的人才管理方法，推動安全職能和技術的日益成熟。Gartner預測，到2026年，爲了解決系統性的網絡安全和招聘難題，60%的企業機構将從對外(wài)招聘轉向 “悄悄招聘”，在企業機構内部物色所需的人才。

    趨勢3：轉變網絡安全運營模式，推動價值創造

    技術正在從中(zhōng)央IT部門轉移到各業務線、職能部門、融合團隊和員(yuán)工個人。Gartner的一(yī)項調研發現，41%的員(yuán)工在從事(shì)某種技術工作，并且該趨勢預計将在未來五年繼續加深。

    Addiscott表示：“如今企業領導者普遍認爲，網絡安全風險已成爲需認真對待的首要業務風險，而不再僅僅是有待解決的技術問題。支持和加速業務成果，既是網絡安全工作的核心目标，也是一(yī)項重大(dà)的挑戰。”

    首席信息安全官必須調整網絡安全的運營模式，通過綜合方法達成工作目标。員(yuán)工必須了解如何平衡網絡安全、财務、聲譽、競争、法律等諸多方面的風險。還必須将網絡安全與業務價值挂鈎，從業務成果和重點目标的角度來衡量和報告項目效果。

    趨勢4：威脅暴露面管理

    現代企業面臨的攻擊面十分(fēn)複雜(zá)，導緻安全防護人員(yuán)身心疲憊。首席信息安全官必須改善評估方法，實施連續威脅暴露面管理（CTEM）計劃來了解威脅暴露情況。Gartner預測，到2026年，根據CTEM計劃确定安全投資優先級的企業機構将有能力使安全洩露事(shì)件減少三分(fēn)之二。

    趨勢5：身份編織免疫

    身份基礎設施的脆弱性來自(zì)于身份編織中(zhōng)的不完整、配置錯誤或脆弱的要素。到2027年，企業機構将依靠身份編織免疫原則阻止85%的新攻擊，進而将安全洩露所造成的财務影響減少80%。

    趨勢6：網絡安全驗證

    網絡安全驗證彙集了多項技術、流程和工具，旨在對潛在攻擊者利用已知(zhī)威脅暴露面的方式進行驗證。支持網絡安全驗證的工具已取得重大(dà)進步，已實現可重複以及可預測評估環節的自(zì)動化，支持對于攻擊技術、安全控制和流程的常規基準化分(fēn)析。到2026年，超過40%的企業機構（其中(zhōng)三分(fēn)之二爲中(zhōng)型企業）将依靠整合平台來執行網絡安全驗證評估。

    趨勢7：網絡安全平台整合

    由于企業機構希望簡化運營，各廠商正在圍繞一(yī)個或多個主要的網絡安全領域進行平台整合。例如，通過一(yī)個集治理、特許訪問和訪問管理功能于一(yī)身的共同平台提供身份安全服務。SRM領導者需要持續盤點安全控制措施，以便了解哪些領域存在功能重疊，并通過整合平台減少冗餘。

    趨勢8：組裝式業務需要組裝式安全

    爲應對不斷加快的業務變化步伐，企業機構必須從擺脫對單體(tǐ)系統的依賴，轉而向各類應用添加模塊化功能。組裝式安全是指将網絡安全控制措施整合到架構模式中(zhōng)，然後以模塊化方式運用至可組裝技術中(zhōng)。到2027年，超過50%的核心業務應用将使用組裝式架構，因此需要一(yī)種新方法來保護這些應用的安全。

    趨勢9：董事(shì)會擴大(dà)網絡安全監管權限

    由于網絡安全責任的歸屬日益明确，而董事(shì)會成員(yuán)在治理活動中(zhōng)的責任也越來越大(dà)，因此董事(shì)會對網絡安全更加重視。網絡安全領導者必須向董事(shì)會提供相(xiàng)關的報告，證明網絡安全計劃對企業機構短期和長期目标的影響。

    西安市碑林區順飛揚電子産品經營部是一(yī)家提供科技類物聯網開(kāi)發軟硬件定制化方案服務商、也是中(zhōng)原地區領先的物聯網終端設備解決方案提供商。緻力共享換電櫃、智能充電樁、共享洗車機、物聯網軟硬件等服務平台的方案開(kāi)發與運維。總部位于河南(nán)省鄭州市高新區，已取得國家高新技術企業認證證書(shū)。經過10多年的業務開(kāi)拓，公司已經形成了以中(zhōng)原地區爲中(zhōng)心、業務遍布全國的經營格局。