百家｜张美波：网络安全经济学

“百家”，既是“诸子百家”，亦为“百花齐放”。他们是各行各业网络安全专家：有CSO、业界大咖、权威代表，更有奋战在网安一线的实践者、思想者和分享者。安在“百家”，最佳实践，真知灼见，思想火花，期待有你！

作者简介：张美波先生是资深网络安全专家。

在当今数字化时代，网络安全已成为企业无法忽视的重要议题。但是“物生有两，有利有弊”，尽管网络安全措施可以保护企业免受潜在的威胁，但过度的安全要求也可能成为企业发展的绊脚石。本文将提出并剖析“网络安全经济学”，探讨如何在保护企业安全与促进企业发展之间找到合理的平衡点与制衡点。

网络安全的必要性

从本质上来看，企业对于网络安全的需求主要来源于安全合规要求和安全技术防护这两个方面。

先谈谈安全技术防护方面。近年来，网络攻击事件频发，无论是大型跨国公司，还是中小型企业，都面临着黑客攻击、数据泄露和勒索软件等各种威胁，这不仅可能导致企业的数据泄露和财产损失，还可能损害企业声誉，影响客户信任。根据最新的研究报告，2024年因网络犯罪造成的经济损失可能高达10万亿美元。面对如此严峻的形势，企业必须高度重视网络安全。

随着技术的迅速发展，企业面临的网络威胁也日益复杂和多样化。或许在普罗大众的感观中，网络安全事件就是勒索病毒、数据泄露之类。实际上网络安全的核心三原则是机密性、完整性和可用性，影响到任何一个或者多个安全原则的事件，不管是来自外部还是内部、不管是有意还是无意的行为、不管影响范围是大或者小，其实都是网络安全事件，核心区别就是看网络安全事件的影响范围有多大而已。例如都是中勒索病毒，某个普通用户自己的电脑中了勒索病毒，和企业整体环境都感染了勒索病毒，影响范围和带来的损失都是千差万别的。

“你见、或者不见我，我就在那里，不悲、不喜。”这句深情款款的诗，却道出了网络安全威胁的本质：它是无时无刻、无处不在的。从长期性的现实角度来看，我不认为企业可以完全避免发生网络安全事件，因此企业可以分为两种，一种是已经发生了网络安全事件，一种是即将发生网络安全事件，只是看如何尽力避免发生较大影响的网络安全事件而已。

目前各种勒索攻击、数据泄露、网络攻击破坏等网络安全事件层出不穷，攻击者在其中部分案例中展现出了各种高级、精巧甚至可以说是卓越的攻击手法。通常情况下，基于攻击动机、技术手法的不同，绝大部分企业所面临的网络攻击行为，最主要的两种是：

1.以金钱为动机的、基于安全漏洞的自动化攻击行为。这种攻击行为以勒索病毒、挖矿病毒、钓鱼邮件为典型，通常攻击者利用自身控制的攻击基础设施（例如直接访问Internet的端点、租用的云计算VM、之前控制的“肉鸡”/物联网设备等等）对Internet发起广泛的扫描和基于安全漏洞（包括最新的 0day 或之前 N Days的）的自动化攻击行为，目前也发展为结合人为控制的攻击行为（特别是在通过自动化攻击打开突破口之后）。这种攻击行为基本没有特定的攻击目标，一开始就是广撒网、碰运气、看能钓上多少鱼而已，由于攻击者发起这类攻击的攻击成本极低，因此回报率仍然极高。攻击者的最终目标是通过数字化货币变现（勒索或挖矿），企业组织遇上这类攻击之后安全事件爆发快、持续周期短、损失不定。

2.以商业竞争、IP/机密/隐私数据窃取/泄露、金钱勒索/商业欺诈为动机的定点APT攻击行为。这种攻击行为具有非常高的目的性，通常是由有组织的攻击团队发起的APT攻击行为，在其中除了充分利用最新的安全漏洞甚至0day漏洞之外，也会大量采用凭据窃取、提权、横向移动、数据泄露、环境破坏等高级攻击操作手法，甚至长期性的隐藏潜伏并实现企业网络环境的持续命令与监控。这种APT攻击行为可能不容易被发现，并且基于攻击者的目的不同，持续的周期也可能有长有短，遇上之后企业的损失通常较为惨重。

根据 2024年 Check Point 发布的最新安全分析报告，全球的企业平均每周遭遇超过一千次网络攻击行为，从中也充分说明了目前网络安全态势的严峻。

再谈谈安全合规要求方面。企业必须满足国家的相关法律法规，例如国内最基本的网络安全法、数据安全法和个人信息保护法“三大法”。目前国内对于企业网络安全监管持续处于高压态势，“网络安全，从入行到入狱”，这一句话并不是虚言。

但是满足安全合规要求并不等于满足企业安全需求，也不等于满足企业安全技术防护要求。满足安全合规首先考虑的是要解决“有没有”的问题，需要通过满足安全技术防护要求，才能解决“行不行”的问题，“实战是检验网络安全能力的唯一标准。”

网络安全对企业发展的影响

古语有云：“物生有两，有利有弊；平衡需术，过犹不及”。虽然网络安全对于企业的必要性和重要性不言而喻，但在实际操作中，企业往往面临正反两方面的各种挑战。例如：

1.从正向的角度，网络安全对于企业至关重要，企业需要通过网络安全来守护企业环境、业务发展和创新。此时需要面临并考虑网络安全投入与业务发展之间的权衡、技术更新的滞后、安全人才的短缺等等各方面挑战，这些问题如果得不到有效解决，网络安全就有可能成为企业发展的绊脚石。

2.从反向的角度，尽管网络安全措施至关重要，但过度的安全要求可能会对企业运营和发展产生负面影响。例如，高昂的安全成本可能会增加企业的运营负担，特别是对于中小企业而言，这些成本可能会占据相当大的预算。此外，过度繁琐的安全流程可能会降低工作效率，阻碍创新和业务扩展。这同样可能导致网络安全成为企业发展的绊脚石。

网络安全的价值导向

除了提供网络安全产品或服务的企业之外，网络安全自身并不直接产生价值。网络安全是附生物，与被保护的目标主体紧密关联，它存在的唯一价值目标就是为了保护目标主体的安全性，因此网络安全的价值是需要依托目标主体所面临的安全威胁和风险来间接体现。这样导致网络安全本身也存在价值悖论：不出安全事件不容易凸显价值，出了安全事件更显得没有价值。

从另外一个角度来看，网络安全本质就是数字化时代的战争。之前我写过一篇文章“”，专门介绍和分析《孙子兵法》与网络安全的关系，以及网络安全如何从《孙子兵法》中获益。古代战争的核心在于人与人的对抗，和对资源的争夺：抢人、抢粮、抢地盘。而网络安全也是人与人的对抗，和对资源的争夺（只是现在变成了IT资源）：抢系统、抢数据、抢资源。因此我们需要以最小的代价获取最大的收益（最大的ROI/投入产出比），我们需要识别保护目标的优先级，以最有效的方式来部署安全防护，从而大幅提高攻击方的攻击成本，阻止或者延缓攻击者的行动，迫使其最终放弃攻击。

网络安全还有一个非常不好的点，就是网络安全无论攻防两端，都是永远保持持续高速、动态发展、快速迭代的过程，“防得了一时，防不了一世”。网络安全是一个持续进化的旅程，而不是一个持续稳定的结果。因此，没有绝对的安全，也没有永远的安全，只有相对暂时的安全。这样带来的直接后果就是企业在网络安全的投入产出比难以进行明确的衡量。企业网络安全的投入和产出趋势可以参考以下趋势图，边际效用递减效应非常明显，越是想要做的完善，投入就越大，而且到后期收益就越不明显：

如何确保企业的网络安全措施是合理充分的？简要一点来说，在满足法律合规要求的必备基础上，这取决于企业自身的整体风险管理（例如风险评估、风险偏好、风险控制计划和投入产出期望等等）。网络安全韧性和数字连续性应当构建到企业组织的核心体系架构中，与企业财务与业务运营的韧性一样重要。我们必须充分考虑业务、IT和网络安全在数字化转型中的关联一致性，只有通过引入合理充分的网络安全措施，使企业组织尽可能地抵御现代化的攻击，才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。而这综合在一起，就诞生了“网络安全经济学”：如何高效地、有效地且经济地帮助企业实现网络安全？

网络安全经济学

网络安全的总体拥有成本（TCO）不仅仅体现在技术设备和软件的购买上，更包括了人员培训、系统维护、安全运营、应急响应等多个方面，而且网络安全成本是具有持续性的生命周期。对于大企业而言，尽管网络安全投入巨大，但其具备相应的财力和技术力量可以承担。而对于中小型企业，网络安全的高投入可能会严重影响到其运营成本和发展预算。越来越复杂和昂贵的网络安全措施，甚至可能导致企业在市场竞争中失去优势。

而网络安全经济学关注的就是在保障网络安全的同时，如何尽可能地减少其对企业运营和业务发展的负担，从而高效地、有效地且经济地帮助企业实现网络安全。网络安全经济学旨在分析和理解网络安全措施与经济利益之间的关系。它探讨了企业在防范网络威胁时所需投入的资源与潜在风险之间的平衡。如果作为一门研究网络安全措施的经济效益及其对企业和社会影响的学科，我想它应该可以包含以下方面（以下内容部分来自 Microsoft Copilot for M365）：

成本分析

网络安全投入是企业必须面对的一项重要支出。实施有效的网络安全措施需要投入大量的人力、物力和财力。从防火墙、入侵检测系统到数据加密和备份恢复，企业需要持续更新和升级其安全系统，以应对快速变化的网络威胁。此外，企业还需要培训员工，提高他们的安全意识和技能，以防止人为疏忽导致的安全漏洞。网络安全的成本可以分为以下两种：

■直接成本：直接成本包括购买和维护安全硬件和软件、支付安全专家的薪资，日常安全运营中的投入，以及应对网络攻击所需的安全响应费用。这些支出是企业确保网络安全的重要保障，但也会对企业的财务状况产生一定压力。

■间接成本：间接成本则包括由于网络攻击导致的业务中断、数据恢复和声誉损失所带来的经济负担。企业在遭受网络攻击后，需要花费大量时间和资源来恢复正常运营，可能会错失商业机会，造成不可挽回的经济损失。

成本效益分析

网络安全需要持续的投入，包括硬件、软件、人员培训等方面。然而，对于一些中小企业来说，有限的预算常常让他们难以在网络安全上进行足够的投入。如何在确保业务发展的同时，又能保障网络安全，是企业管理层需要慎重考虑并权衡的问题。

网络安全经济学强调对网络安全投资的成本效益分析。一方面，投入网络安全的资金和资源应尽可能防止潜在的威胁；另一方面，过高的安全投入可能导致资源浪费，削弱企业的竞争力。企业需要对网络安全投资进行详细的成本效益分析，包括计算防范措施的费用（如硬件、软件、培训等）与潜在的风险损失（如数据泄露、声誉损失、法律罚款等）之间的对比，评估安全措施的投入与可能避免的损失之间的关系。

通过成本效益分析，企业可以确定哪些安全措施是必要的，哪些是可选的，从而优化其安全投资，确定投资网络安全的合理预算。然后，企业应根据自身的风险评估结果，制定适当的安全策略，合理分配资源，确保网络安全投资能够带来最大的经济效益，以最小的成本实现最大的安全效益。

风险管理

网络安全经济学强调风险管理的重要性。通过风险评估，识别和评估企业面临的各种网络威胁，从而制定相应的安全策略，确保投资的有效性和针对性。企业需要识别和评估其面临的各种网络安全风险，并采取相应的措施进行管理。通过有效的风险管理，企业可以降低网络攻击的可能性和影响，从而保护其财产和信誉。

同时网络安全具有显著的外部性，即一个企业的网络安全水平会影响到其他相关方。例如，一个企业的安全漏洞可能会导致其合作伙伴或客户的数据泄露。因此，企业在考虑网络安全投资时，也需要考虑这些外部性因素。

市场机制

可以作为独立的部分或者作为风险管理的一部分，网络安全经济学可以研究市场机制在网络安全中的作用。企业可以通过购买网络安全保险、聘请第三方安全服务提供商等方式，转移和降低网络安全风险。此外，市场竞争也促使企业不断提高其网络安全水平，以维护其市场地位和竞争力。

资源配置

合理配置企业在网络安全方面的资源，在硬件、软件、人员和培训等方面进行优化投资，避免资源浪费。随着技术的不断发展，网络攻击手段也在不断升级。如果企业的网络安全技术和防护措施不能及时更新，就很容易成为黑客的攻击目标。有数据显示，许多企业在遭受网络攻击后，才意识到自己使用的安全技术已经落后许多年。因此，及时更新网络安全技术，是企业应对网络威胁的关键。

网络安全领域的人才短缺也是企业面临的一大难题。高水平的网络安全专家不仅稀缺，而且薪资要求高，许多企业难以负担。这导致一些企业的网络安全防护水平低下，容易遭受攻击。为了解决这一问题，企业可以考虑通过内部培养和外部招聘相结合的方式，逐步提升自身的网络安全人才储备。

同时网络安全具有非常明显的边际效用递减效应，它是指在一定程度上增加网络安全投入，其边际收益会逐渐减少。例如，最初的一些基本安全措施可以显著降低风险，但随着更多措施的加入，其效果可能会越来越不明显。因此，企业需要找到一个平衡点，在合理的成本下达到最佳的安全效果。

政策和法规

遵守相关政策法规，确保企业的网络安全措施符合国家和行业的标准，从而减少因违规而导致的额外成本。政府和行业监管机构在网络安全经济学中也扮演着重要角色。通过制定和实施网络安全法规和标准，政府可以引导企业加强网络安全措施，保护公共利益。同时，政府还可以通过财政补贴、税收优惠等政策，支持企业的网络安全投资。

平衡安全与发展

尽管网络安全是企业不可忽视的关键问题，但企业也不能因过度关注安全而忽视了业务的发展和创新。为了在保障安全的同时促进发展，避免网络安全要求成为企业发展的绊脚石，实现“要发展、要安全、要经济”的目标，企业应采取综合性的安全策略，并进行合理的资源配置。因此企业进行网络安全投资时，需要考虑以下方面：

安全与发展的协同

企业在制定安全策略时，应考虑到业务发展的需求，确保安全措施不会阻碍创新和业务拓展。通过将安全融入到产品和服务的开发过程中，企业可以在保障安全的同时，推动业务的持续创新和增长。

风险管理与优先级划分

企业应实现完善的风险管理，定期进行网络安全风险评估，识别潜在的安全威胁和漏洞、和最关键的风险点，并根据风险的严重程度和可能性进行优先级划分。这有助于企业合理分配资源，集中力量解决最紧迫的问题。

通过定期审查和更新安全策略，企业可以及时应对新的安全挑战，降低网络攻击的风险。同时，企业还应制定应急响应计划，以便在发生安全事件时能够迅速有效地应对，减少损失。

从安全实践的角度，建议企业应当参考以下核心类别和任务的优先级来考虑对网络安全的投资，这些核心类别和任务是需要同时从安全防范建设和安全运营两个维度来进行。

更多的内容请参考：

建立完善的网络安全体系

企业应该建立全面、系统的网络安全体系（例如参考下图最新的微软安全参考架构），从硬件防护、软件更新到员工培训，全方位提升安全水平。具体措施可以包括安装防火墙、防病毒软件、加密重要数据等。此外，还需要定期进行安全检测，及时发现和修复漏洞。

全面地、前瞻性地、灵活地安全策略

企业应制定全面且系统地网络安全策略，包括技术防护措施、员工培训和应急响应计划等。通过制定清晰的战略，可以提高企业整体的安全水平。

该网络安全策略同时需要具有前瞻性，可以预见未来可能出现的安全威胁，并提前做好准备，从而可以更好地应对不断变化的网络安全环境。例如，企业应该关注最新的安全技术和趋势，参与行业内的安全合作与交流等。

该网络安全策略同时需要具有灵活性。企业应根据自身的实际情况，制定灵活的网络安全策略，争取以最小的代价获得最大的收益（最大的ROI或投入产出比），而不是盲目追求最先进的技术。并通过采用分阶段实施的方式，企业可以逐步提升其安全水平，并在不影响发展的情况下逐步应对新出现的威胁。

自动化和智能化

利用自动化和智能化技术，企业可以在降低人力成本的同时，提高网络安全的效率。自动化的安全工具可以帮助企业更快地检测和响应网络威胁，而人工智能技术可以辅助分析和预测潜在的风险。

员工培训与意识提升

员工是企业防御网络威胁的第一道防线，其意识和行为直接影响到企业的整体安全水平。企业应加强员工的安全培训，提高他们的安全意识、技能和应对能力，防止人为疏忽导致的安全漏洞。例如，告知员工如何识别钓鱼邮件、如何保护个人信息等，从而减少人为因素造成的安全风险。

通过定期开展安全演练和培训课程，企业可以帮助员工掌握基本的安全知识和应对技巧，从而降低安全风险。

外部合作/与专业机构合作

对于缺乏内部资源的企业特别是一些中小企业，可以考虑与专业的网络安全服务提供商合作，借助外部力量提升自身的安全防护水平。

专业机构拥有先进的技术和经验，可以为企业提供定制化的安全解决方案，有效防范网络攻击。通过外包网络安全服务，企业可以获得专业的技术支持和解决方案，从而专注于自身的核心业务发展。

安全投资与优化

企业在进行安全投资时，应注重投资效益的最大化。通过引入先进的安全技术和解决方案，企业可以提高安全防护能力，降低安全事故发生的概率。此外，企业还应优化安全流程，减少不必要的开支和资源浪费，提高安全措施的执行效率。

结束语

网络安全对于企业的发展至关重要，也是企业在数字化时代面临的一项重大挑战。但无论缺乏有效的安全防护能力、还是过度的安全要求，均可能成为企业发展的绊脚石。通过合理的风险管理和成本效益分析，企业可以优化其网络安全投资，降低网络安全风险；同时在确保安全的同时，企业需要在成本与收益之间找到平衡，以实现最佳的投资回报。

网络安全经济学的研究为企业提供了新的思路和方法，帮助企业在这个充满挑战的数字时代中，找到网络安全与业务发展的最佳平衡点。通过网络安全经济学的分析，企业可以制定更加合理和有效的安全策略，既保护自身免受威胁，又促进业务的持续发展。政府和行业监管机构也应发挥积极作用，通过政策引导和支持，促进企业的网络安全建设。只有这样，企业才能在数字化时代中稳步发展，确保其长期竞争力和可持续性。

如何避免网络安全要求成为企业发展的绊脚石，平衡安全与发展、实现“要发展、要安全、要经济”的目标，是每一个企业管理者和CISO的责任和使命。

作者简介

张美波先生现任微软（中国）有限公司成就客户事业部网络安全和现代化办公架构师总监，并兼任网络安全首席架构师。他以“展现微软价值，守护客户安全”为己任，带领微软网络安全和现代化办公架构师团队主要负责微软大中型企业客户的网络安全和现代化办公相关产品的技术与服务支持，推动微软网络安全和现代化办公相关产品在中国的高速增长与应用。他曾是微软全球企业服务体系级别最高的技术专家之一，在多个具有全球排名前列的 Top 超大规模环境企业客户担任微软方的基础架构/网络安全架构师和“红军/蓝军”顾问，负责相关的安全架构体系规划设计与部署实施、APT 攻击相关防范、安全运营及安全响应等。同时他在帮助和支持跨国企业（MNC）进入中国、中国企业出海发展等业务场景满足安全合规要求方面也具有非常丰富的经验。

除此之外，他还担任ISC2西南分会的会长一职。ISC2西南分会是国际网络安全顶级认证机构、全球非营利组织ISC2在中国大陆西南本地的官方分会，主要覆盖四川、重庆、云南和贵州等西南区域，会员均为网络安全/信息安全领域相关的专业人士。