不久前，和国内某头部机场客户高层会面时，对方对机场当前网络安全现状忧心忡忡，提出了很多具体的问题，希望华为能够帮助他们建立一套安全体系，彻底地解决安全问题。我窃喜生意来了，毫不含糊地答应下来。

这类交流场景日渐普遍，让我感受到越来越多客户高层对网络安全的关心和重视，同时更感受到了他们的担心和焦虑。面对这个现象，从事网络安全产业的我理应开心，但其实内心极度不安：且不说管理、制度、流程、员工意识等非技术方面的因素对客户安全建设效果的影响，仅就技术、产品、服务等相对可控的因素而言，大部分客户在非常有限的预算下，如何才能“彻底地解决安全问题”呢?

不可持续的网络安全建设困境

大部分国内企事业单位的网络安全的现状是不容乐观的，这一点从这几年相关部门组织的全国性实战攻防演练行动可以看出来。虽然每次攻防演练都有一部分单位“幸存”下来没有被拿下标靶，但我们要认识到这背后所付出的有些“努力”是不可持续的：

首先，业务影响的不可持续：很多单位为了应对攻防演练，在演练期间通过拔网线等神操作将很多互联网业务下线，不仅本单位员工的正常工作受到影响，所服务用户也无法正常办理业务。这类神操作日常不可能落地。

其次，投入的不可持续：攻防演练期间，除了调动单位内部的员工外，还通过各种方式招募了大量的安服人员，有些是每天花费上万元短期租借的，有些是从安全厂商临时借调的。这么多人员的投入在日常是不可持续的。

这几年国家组织的实战攻防演练价值很大，大幅度提升了各个单位对网络安全的重视程度，也一定程度上促进了安全体系的建设。然而大部分企事业单位临阵磨枪仓促应战的这种应对方式并不理想。如何才能变“应试教育”为功夫在平时的“素质教育”方式呢?

从网络安全建设和日常运营水平这个角度来说，我们可以粗略地将国内企事业单位分为三大类：

第一类高水平的单位数量不多，全国不超过100家，主要包括BAT这类互联网大厂、五大行、头部的股份制银行、华为等。这类单位对安全的重视是自发的，业务驱动的。安全方面投入大、能力强，安全体系的建设主要以我为主，安全厂商、服务商是配角，提供一些产品和外包安服人员。这类单位可以相对轻松地应对常规的网络安全事件，实战攻防演练过程中也表现的最为淡定。投入大，不仅仅是指购买安全产品、方案、服务，更大的投入是维持一支专门的安全团队。团队中的高端安全人才一个人一年的收入就可能达到数百万，堪比某些大型单位在安全方面全年的预算。这类企业有点像旧时代的巨富，自己雇佣了不少武林高手看家护院，保护自己的安全。这种方式其他人只能羡慕无法模仿。