企业安全管理应该需要达到什么效果

今天出差在路上，突然想到一个问题：

企业花大价钱做网络安全建设，收到了那些收益？安全设备堆砌就能解决安全问题吗？安全设备部署后就万事大吉了吗？安全管理员应该做什么？应该具备什么能力？接下来谈谈自己的看法和想法。希望对各位同仁有所启发！

网络安全建设会得到哪些收益

目前一些企业上安全设备是为了过等保，满足法律法规的最低要求。有的是真的想解决一些安全问题。但是个别小企业可能对网络安全不重视，压根不上网络安全设备，企业运行也挺正常。从整个行业来看，ToC企业、互联网企业做的都很好，技术实力都比较大，有专业安全团队，还会有漏洞应急响应管理平台，供白帽子们漏洞挖掘并给予奖励。从这个角度来看他们的网络安全建设比较完备，有一定的效果。在这其中还有ToG部门，他们以合规为主，大多数依赖厂商设备和提供的安全服务。

部分ToC企业目前好像对网路安全也不太感冒了，每年都在压缩安全建设预算，安全部门的人员也在裁减。媒体一直在说安全厂商在亏欠，是否与此有关呢，我们不妄加评论，但是安全投入减少是事实。

但是ToB企业为了经济效益，可能不会下大力气去建设网络安全，尤其是民营ToB企业甚至不考虑这部分内容。大多数企业依靠安全设备堆砌来解决问题。但是集团性质的大企业也有安全团队，也会对安全管理进行考核。也其中也会遇到很多问题（安全管理运维的苦谁做谁知道，心疼一分钟）。

安全设备堆砌解决了哪些问题？要想达到良好效果还需要做哪些工作？

网络安全设备在企业信息化建设中占总投资额10%左右，一个数值从何而来不得而知，可能是业界的不约而同吧。总之现在企业较以前在安全设备上愿意投入，就是多少的问题，不一而论。从某种意义上讲网络安全设备堆砌解决了部分问题。预算高的还做了不同厂商设备的同时堆砌。就这一点厂商给企业忽悠说要安全异构，购买不同厂商的安全设备，这样是有好处，因为每个研发人员病毒样本特征库不一样、技术也不一样，可能会起到一定效果。任何事情都有两面性，如果厂商设备的技术不过关堆再多的设备也无济于事。现在经济环境不好，安全厂商的研发投入也不会增加了。甚至裁员频繁爆出。网络安全从业几年感觉网络安全挺耗费人力的，有了设备其实还是需要人力去分析的。但是有的企业不太愿意在人力上投入，只依靠设备。我的观点是要人机合一，即使有了AI也需要人去操控处理它。

企业安全管理需要什么样的人才，应该具备哪些能力。

网络安全是一个很庞大的科目，涉及到很多方面，尤其是要懂业务，这里所说的业务是要理解业务流程，而不必细究业务逻辑实现，但是业务是很贴合实际的。大多数安全人员不会接触到这方面。所以需要在实践中快速学习，并与网络安全进行实际联系。

其次，要懂网络相关知识和拓扑架构。这都是做安全的基本条件，这部分也可以通过学习获取。

与安全专业相关的知识也有很多，渗透测试要不要懂，操作系统知识要不要懂，编程是否需要懂一点从而能够应用到自动化分析当中。应急响应处置方案技术是否也需要学习呢。答案是肯定的。大家都说网络安全很重要，人才稀缺，但是还是有很多网安人员找不到工作。其实是复合高端人才或缺。基础简单的从业人员一抓一大把。所以说我们要跳出舒适圈，向更高层次迈进。AI时代，我们要持续学习，持续进步，学习不断进步无限！也会收到很多money!

学习什么时候开始都不晚，我作为一个大龄青年，经历了很多波折挫折迷茫，最终选择了网安行业也踏入了需要持续研究学习不能躺平的行业。但是有梦想、前途光明，一切都会烟消云散。

最后呢，我会持续输出一些网络安全渗透测试、逆向分析等相关知识，或文案，或视频的方式。敬请期待，也欢迎大家鼓励督促我一直走下去。

同时想了解下作为企业网安运维人员在实际工作中遇到哪些问题，困难，欢迎大家留言吐槽！