发达国家落后于发展中国家？中外网络安全的龟兔赛跑

前段时间，思科发布的《网络安全就绪指数报告》中指出，与发展中国家相比，发达国家的组织应对对网络安全事件的准备不足。总体网络安全准备最成熟的国家包括印度尼西亚等位于亚太的发展中国家，其中，印度尼西亚有39%的组织处于思科认为的安全就绪“成熟阶段”；菲律宾和泰国有27%的组织处于成熟阶段；印度有24%的组织处于成熟阶段。

另一方面，发达国家的组织在调查中的表现要糟糕得多。根据思科的报告，日本只有5%的组织处于网络安全就绪的成熟阶段，而韩国有7%的组织处于成熟阶段。美国也同样如此，报告显示，只有13%的美国组织完全准备好应对网络安全事件，只有9%的加拿大组织和12%的墨西哥组织处于成熟阶段。

发达国家和发展中国家在网络安全准备方面的巨大差异可能是因为技术债务。报告表示，与发达市场的组织相比，发展中国家或新兴市场的组织在近年来才开始采用数字等相关技术。这意味着这些组织当中没有遗留系统的阻碍，使得其在整个IT基础设施中部署和集成安全解决方案都相对更容易。技术债务指的是遗留系统的更新成本或其他方面的影响，这是发达国家在网络安全事件方面准备不足的主要驱动因素。

技术债务这件事比较好理解，新技术发展的背后原因来自于固有技术无法解决和应对的新需求，从人类的生产和交互的各个环节都能看到示例，例如简体中文的诞生，智能手机的发展等等。

发达国家由于过早的进入数字化转型阶段，部分企业采用的甚至还是最早的数字化技术和系统，这导致他们需要持续不断的更新，以维持其网络安全水平。这种更新所带来的巨大成本是很多企业无法承受的，因此部分企业只更新关键部分，让一些非关键系统维持原状，这些系统往往会随着时间的推移变成影子IT，吸引着越来越多的攻击者的关注。

思科的《网络安全就绪指数报告》基于对全球 27 个市场 6700 名网络安全领导者的调查。其中，思科将企业分为四个就绪阶段：初级、形成期、渐进期和成熟期。调查发现，47% 的企业属于形成阶段，即已经采取了一些基本步骤来保护组织，30% 的企业处于渐进阶段，8% 的企业处于初级阶段，只有 15% 的企业处于成熟阶段。

全球约 82% 的安全领导者表示，在未来 12 到 24 个月内，网络安全事件很可能会扰乱他们的业务。近 60% 的安全领导者表示，他们在过去 12 个月中经历过某种网络安全事件。对此，思科在报告中表示，71%的受影响组织在这些事件中至少损失了10万美元，41%的组织总损失达到或超过50万美元。

“我们的网络安全就绪差距令人震惊，如果全球企业和安全领导者不迅速采取行动，差距只会越来越大。”思科在报告中认为，全球企业应该足够重视就绪指数，以尽可能的缩短彼此之间的差距。对于攻击者来说，就绪指数可以指明攻击方向，总体就绪指数较差的国家和地区可能会遭受更频繁、更强大的攻击，而这对于企业来说，无疑是一个巨大的挑战。

对此，思科提出了解决方案。在报告中，思科指出了提高网络安全就绪的五大支柱：身份、设备、网络安全、应用程序工作负载和数据。其中，身份管理被认为是最关键的关注领域，近五分之三的受访者即58%的组织，处于身份管理的形成型或初级阶段，95%的组织至少在某个阶段部署了适当的身份管理应用程序。

而在网络保护方面，56%的组织处于准备就绪范围的最低阶段。对此，思科在报告中表示，这表明许多组织正处于部署解决方案的早期阶段，同时，有一半的受访者几乎在未来12个月内完成部署。

在应用程序工作负载方面，近三分之一（即31%）的组织处于初级阶段，约97%的组织部署了系统来保护应用程序工作负载。

在保护数据方面，98% 的受访者已安装了应用程序，67% 的受访者选择加密数据或确保能够备份和恢复丢失的数据。近 94% 的受访者已经部分或全部部署了这些系统。

思科在报告中指出：“在身份、设备及应用程序负载等方面，如果企业没有尽快部署相应的解决方案，就很可能会受到攻击。”换言之，想要提高网络安全就绪指数的最快途径就是完善上述几个方面的保护能力或措施。

尽管部分组织在调查中被发现其对与网络安全攻击的准备程度较低，但值得庆幸的是，他们中的大部分表示要在未来几个月内对网络安全的投资。思科在报告表示，近86%的组织计划在未来12个月内将网络安全预算至少增加10%。

目前，大多数组织已经在考虑其财务、运营、组织和供应链职能的弹性。对此，思科在报告中表示，企业需要的是安全弹性，即安全是业务战略的基础，并在整个组织中被集体列为优先事项，使企业能够更好地预测威胁，并在威胁成为现实时更快地反弹。

最后，有近 53% 处于成熟期的组织企业表示，他们对未来 12-24 个月内抵御潜在网络攻击的能力非常有信心，而只有 30% 处于初级阶段和 34% 处于形成期或渐进期的组织有同样的预期。

在上述提到的五大支柱中，中国企业在整体上表现出同全球几乎一致的趋势。58%的组织认为组织在身份领域处于初级阶段，而这一数字在中国是55%。

对此，思科大中华区副总裁、安全事业部总经理卜宪录在采访中表示，目前中国企业在网络安全方面面临三大挑战：

因此，思科在评估中国企业的网络安全就绪指数提出了一些观点。他们认为，中国企业无论在国内还是国际环境中面临的安全形势在整体上是一致的。中国企业在逐步走向全球的过程当中，可能会面临一些独特的挑战，这些挑战并非由技术本身带来，而是更多体现在中国企业在出海过程中对当地法律法规熟悉程度差别，对海外人才和本地生态系统、服务落地等方面基于国别的差异性上。

因此，中国企业不仅有更强的发展空间，其本身具备的广阔市场以及监管态势也足以让中国企业在网络安全就绪指数上得到提升。此外，中国企业在网络安全方面与发达国家的差异主要不会体现在技术与自身的架构方面，而是更多会出现在跨国拓展的文化、法律等其他交互层面。

某企业安全负责人李达表示，虽然我国安全市场在几年前一直是跟着国外跑，但最近这几年可以发现，我国在部分细分领域已经追赶上安全发达的国家，差距正在快速的缩小。此外，我国在部分领域甚至已经能够反向输出。例如，近年来发布的一些标准，已经从过去大面积借鉴国外标准转变成拥有着自己的观点，在gartner四象限报告里也陆续涌现出国内的网络安全厂商，这都意味着目前我国同发达国家在网络安全领域的差距在逐渐缩小。

造成这一现象的原因主要还是因为我国的安全市场足够广泛，如此广泛的市场能够积累出足够的需求，这些需求倒逼着安全厂商来解决。同时，这些需求也会反向输出到国外，很多国外的企业发现这些需求之后，也会随之调整和改变，这也是缩短彼此之间差距的一个原因。

知乎答主中二不治张不二表示，目前，国内外在网络安全方面的主要差距来自于企业的重视程度。当下，国内合规市场依然占据主流，企业在安全方面的建设大多数也是通过合规来驱动。因此，这些本身不具备坚持建设网络安全的意识，与发达国家的企业相比也就落了下风。另一方面，无论是在战略、政策、产业发展以及人才培养方面，我国同发达国家相比依然存在着较大差距，想要弥补差距也要从这几方面来改善和解决。

知乎答主拾柒表示，网络安全实际上是一个生态系统，需要法律，机构，合作，技术，企业等各方面的协调和统筹，需要经验累积。网络安全法出台肯定是好的，说明慢慢开始重视，但是要执法必严，违法必究，否则没什么实际效果。其实中国网络安全体系构建起步没多长时间，和美国肯定存在不小的差距。