不久前，和國內某頭部機場客戶高層會面時，對方對機場當前網絡安全現狀憂心忡忡，提出了很多具體的問題，希望華為能夠幫助他們建立一套安全體系，徹底地解決安全問題。我竊喜生意來了，毫不含糊地答應下來。

這類交流場景日漸普遍，讓我感受到越來越多客戶高層對網絡安全的關心和重視，同時更感受到了他們的擔心和焦慮。面對這個現象，從事網絡安全產業的我理應開心，但其實內心極度不安：且不說管理、制度、流程、員工意識等非技術方面的因素對客戶安全建設效果的影響，僅就技術、產品、服務等相對可控的因素而言，大部分客戶在非常有限的預算下，如何才能“徹底地解決安全問題”呢？

一、不可持續的網絡安全建設困境

大部分國內企事業單位的網絡安全的現狀是不容樂觀的，這一點從這幾年相關部門組織的全國性實戰攻防演練行動可以看出來。雖然每次攻防演練都有一部分單位“幸存”下來沒有被拿下標靶，但我們要認識到這背后所付出的有些“努力”是不可持續的：

首先，業務影響的不可持續：很多單位為了應對攻防演練，在演練期間通過拔網線等神操作將很多互聯網業務下線，不僅本單位員工的正常工作受到影響，所服務用戶也無法正常辦理業務。這類神操作日常不可能落地。

其次，投入的不可持續：攻防演練期間，除了調動單位內部的員工外，還通過各種方式招募了大量的安服人員，有些是每天花費上萬元短期租借的，有些是從安全廠商臨時借調的。這么多人員的投入在日常是不可持續的。

這幾年國家組織的實戰攻防演練價值很大，大幅度提升了各個單位對網絡安全的重視程度，也一定程度上促進了安全體系的建設。然而大部分企事業單位臨陣磨槍倉促應戰的這種應對方式并不理想。如何才能變“應試教育”為功夫在平時的“素質教育”方式呢？

從網絡安全建設和日常運營水平這個角度來說，我們可以粗略地將國內企事業單位分為三大類：

第一類高水平的單位數量不多，全國不超過100家，主要包括BAT這類互聯網大廠、五大行、頭部的股份制銀行、華為等。這類單位對安全的重視是自發的，業務驅動的。安全方面投入大、能力強，安全體系的建設主要以我為主，安全廠商、服務商是配角，提供一些產品和外包安服人員。這類單位可以相對輕松地應對常規的網絡安全事件，實戰攻防演練過程中也表現的最為淡定。投入大，不僅僅是指購買安全產品、方案、服務，更大的投入是維持一支專門的安全團隊。團隊中的高端安全人才一個人一年的收入就可能達到數百萬，堪比某些大型單位在安全方面全年的預算。這類企業有點像舊時代的巨富，自己雇傭了不少武林高手看家護院，保護自己的安全。這種方式其他人只能羨慕無法模仿。

第二類中等水平的單位大量存在，數量以萬計，包括大部分大型和部分中型企事業單位，比如地市級以上政府委辦局，大型制造型企業、高速公路集團、地鐵、大型醫院、高等院校等。開篇提到的某機場也屬于此類范疇。這類單位每年一般有上百萬到千萬不等的安全預算，有一個很小的網絡安全部門或至少有一個人對網絡安全負責任。他們的安全投資以合規驅動為主，依靠安全廠商或集成商進行建設，從廠商或服務商那里買一些駐場服務，整體安全建設和運維水平無法令人放心。非攻防演練期間，可能輕易就被普通水平的黑客攻陷；攻防演練期間，通過“不可持續”的努力防守有可能涉險過關，但大概率還是會被攻陷。

第三類網絡安全建設和運營水平較低的單位普遍存在，數量以百萬計，幾乎包括所有的小型和大部分中型企事業單位，比如非三甲醫院、普通中小學、一般的制造企業、縣級政府單位等。這類單位在安全上或基本沒有投資，或每年幾十萬以下，沒有專門的安全負責人，也買不起駐場安服人員，即使曾經投資了基本的安全建設，也由于設備過于專業，沒人持續運維而無法發揮作用。針對這一類單位，一個具有傳染性的普通病毒，比如勒索軟件就有可能導致整個信息系統不可用。

后兩類單位的確需要改進，然而客觀地說，我們不能要求他們在投入有限的情況下向第一類單位看齊，奢侈的豪華配置是無法推廣到這些單位的。在當前的安全建設思路下，他們陷入進退維谷的境地：一方面是各種法律、制度、責任、攻防演練、安全事件帶來的壓力讓其不得不想辦法應對，想找到一個有奇效的藥方解決網絡安全問題；另一方面業界不斷涌現的各種網絡安全新理念、新技術顯得遙不可及難以落地，安全廠商、服務商開出的各種靈丹妙藥好像都不對癥，至少在自己可獲得的預算前提下解決不了關鍵問題。

這兩類單位到底應該采用什么樣的網絡安全建設思路才能在有限的預算下解決問題呢？作為經常用APT、有組織的高級黑客等潛在威脅來“嚇唬”這類客戶、“忽悠”他們花錢采購自家安全產品和服務的安全廠商，我們更應該思考這個問題，否則這個產業很難進入一個良性的狀態。

二、網絡空間環境的“破窗理論”

有一個社會安全的治理案例可拿來參考。在1994年之前，紐約的犯罪率居高不下，過去多年紐約市警察局采用各種措施都不見成效，許多社區、地鐵站很不太平，惡性刑事案件頻發。新上任的警察局長是從交通警察局長崗位上提拔的，他把自己過去4年在地鐵治安秩序治理的思路引入到紐約市治安治理中。在地鐵治安治理過程中，他從以前沒人管的地鐵涂鴉和逃票開始治理。以逃票為例，過去紐約地鐵逃票成風，警察基本視而不見，抓住逃票者也只是訓斥教育。該局長上任后要求每個逃票者都必須接受盤問，后來發現1／7的被捕者曾經有過刑事拘留記錄，5％的人隨身攜帶武器。這樣一來，警察們很快就不再懷疑打擊逃票現象的重要意義了。在該警察局長的新策略下，紐約市的犯罪率神奇地急速下降，就像地鐵系統曾經經歷的情況一樣。

從地鐵涂鴉和逃票這種輕度違規行為開始治理，帶來整個城市的犯罪率下降，這背后的邏輯是什么？答案其實挺簡單，就是著名的“破窗理論”：如果一個窗戶被打破了，過了很久也沒有人來把它修好，行人就會以此推斷，這是個沒人管理的地方。很快，就會有更多的窗戶被打破，然后無政府主義就開始從這幢樓向相鄰的街道蔓延。如果某個區域原本不是倒垃圾的地方，有人扔了一些垃圾在那里，其他人看到后很可能將手中的垃圾扔在同一個地方，如果一直沒人清理，最終可能演變成垃圾堆。秩序井然的社會和秩序混亂的社會相比，哪一個犯罪率更高？答案是顯而易見的。

回到網絡安全的話題。對于上文提到的后兩類企事業單位來說，他們當前的網絡空間就如同1994年之前的紐約城，涂鴉和逃票這類輕微違規行為大量存在。比如大量主機操作系統和軟件版本老舊，漏洞很多。大量機器潛伏著木馬或其他病毒，或成為肉雞，或被用于挖礦。我們強調黑客攻擊，強調APT，其環境如此混亂，這類高級威脅一定更容易發生和得手。誰敢肯定某臺已成為肉雞的機器不是APT攻擊的一個關鍵環節呢？

對于這些企事業單位來說，首先應該從諸如打補丁、堵漏洞、排查肉雞、處置簡單攻擊事件等這類基礎網絡安全治理工作開始，而不是一上來就處理高級威脅。基礎工作做好了，高級威脅發生的概率一定也隨之下降。換句話講，在底子還比較薄時，網絡安全建設的首要目標不是如何防住潛在的高級攻擊，而是要以解決日常安全基礎問題、凈化網絡空間環境為主。

三、網絡空間安全治理需要專業安全服務

即便如此，“解決日常安全基礎問題、凈化網絡空間環境”仍然屬于專業性很強的工作。一般情況下，至少需要部署一套比較完整的安全方案（邊界防護、終端安全、漏洞掃描，甚至資產管理、態勢感知、SOC等等），并且還要有人在日常進行持續的運營，否則這些方案很可能成為擺設。這些投入，特別是持續運營的人員投入，不僅預算少的第三類單位難以承受，對預算稍微寬松的第二類單位來說也是很大的負擔。很多單位購買了安服人員駐場但對服務效果并不滿意：我花了每人30萬元一年買了幾個駐場，為何這些人水平這么低，還經常換人？30萬元聽起來不少，然而去掉五險一金和管理開銷，駐場人員的工資可能只有幾千元。這個工資到哪里去找就業大熱門的專業安全人員？即使找到幾個素質不錯的進步快的新手，有了經驗后很快也會被更高的工資吸引并跑掉。這種基于人的安全服務，經常出現買賣雙方都不滿意的情況：甲方抱怨服務質量不好，乙方抱怨賺不到錢，并指望通過別的方式把錢賺回來，于是陷入了一種不健康的狀態。

過去，有一定規模的企事業單位大多有自己的保衛處，保衛處行使一定的治安治理專業職能，單位的社會治安某種程度上依靠保衛處的維持。隨著社會的演進，這類專業職能基本上從單位自身剝離出來，由公安來承接。一方面因為保衛處的專業性和能力有限，另一方面單位自己維護一個保衛處負擔也很重。現在，大部分單位已經不存在這種部門，即使會通過外包的方式雇一些保安（有點像駐場安服人員），保安的職能也不再和治安治理掛鉤，更多的是承擔基本秩序的維持職能。

對于網絡空間安全來說，未來發展路線是類似的：大部分企事業單位的網絡空間安全治理職能主要由專業組織承擔，那些擁有強大的專業安全隊伍的第一類單位除外。預算不多的情況下靠雇傭幾名不入流的江湖角色來對抗潛在的武林高手并不現實。

而這個“專業組織”會是誰呢？基于網絡空間的特殊性，這個“專業組織”應是社會化的提供安全服務的組織，比如專業安全服務提供商。第二類和第三類單位通過購買服務的方式解決自己的安全問題。如同過去很多單位擁有自己的學校、醫院，而現在基本全部剝離，教育、醫療問題通過購買服務解決。

讀者可能會說，現在好像很多單位正在通過購買服務的方式來解決網絡安全問題。然而購買“服務”的方式和現在主要依靠駐場服務的方式有很大的區別。教育、醫療服務不是依靠人員駐場到單位現場教學和治療來完成的。這些社會化的服務資源并不在本地，而是按需購買。這聽起來是不是有點耳熟？資源在云端，按需購買，是“云服務”的典型特征。只有這樣才能有效提升服務效率，才有可能用有限的預算真正解決網絡安全問題。

四、安全云服務是破局之道

說到“云服務”，大家一定會聯想到公有云。公有云的出現有效地提升了IT資源的利用效率，正在逐步替代大量本地的IT系統，這個趨勢目前已經沒有人質疑。但公有云并非全部，未來必然有大量IT資源處于公有云之外。這些資源不僅僅包括私有云，還包括辦公網、城市物聯網、工業互聯網等等，沒有這些無法組成完整的網絡空間（下文用“線下”來統稱這類網絡空間）。

頭部的公有云運營商（如AWS、Azure、阿里云、華為云等）擁有強大的安全專業能力和隊伍，并通過某種方式給云上的租戶提供各種專業的安全云服務。對于公有云上的租戶來說，通過購買云服務的方式解決其網絡空間基礎的安全問題是他們的最佳選擇。

針對線下的網絡安全問題，有沒有合適的“云服務”方案可以解決呢？

目前已經有一些可以面向線下客戶提供的安全SaaS云服務，比如云WAF、云抗D、云漏掃等。然而由于技術上的限制，這些云服務主要以防護Web網站為主，能夠解決的安全問題非常有限。

此外，也有一些安全廠家為客戶提供線下安全設備的云端管理服務，某種程度上這也屬于“云服務”。但這種云服務所提供的價值也是有限的：主要是將本地設備管理能力放到云端，減少本地部署的代價，并不能通過云端提供更多的安全服務。

那么，到底有沒有真正可以解決客戶線下網絡安全問題的云服務方式呢？答案很快將揭曉，12月18日，華為將正式發布經過過去一年半醞釀、探索、實踐的針對線下客戶的創新的網絡安全云服務業務，幫助第二類和第三類企事業單位破局安全困境。請大家關注。

責任編輯：xj