2000年前，古羅馬的戰(zhàn)車在馳道上奔馳，此時戰(zhàn)車的輪距等于兩匹馬并排所需的空間，約為4.85英尺。

此一輪距，不僅僅為古羅馬奠定了道路的寬度，也影響了后世英國馬車的寬度標準；當?shù)谝惠v電車誕生于英倫之岸，此傳統(tǒng)尺寸被歷史的車輪沿用，導致了早期鐵路的軌距標準的形成，進而波及到現(xiàn)代的鐵道寬度。美利堅在前往太空的道路上，其航天飛機所依賴的固體燃料助推器（SRBs），也因必須經(jīng)由鐵路運輸至發(fā)射場，被這一古老尺寸所約束，不能跨出4.85英尺的界限。

這一切，不覺讓人稱奇。古羅馬戰(zhàn)車馬之尾后見證的路徑依賴，竟讓現(xiàn)代美國航天飛船的助推器寬度，與千年以前戰(zhàn)車輻輪的距離息息相連。

有時，網(wǎng)絡(luò)安全的資金預算編制也頗似這古老而有趣的例子，常由當年預算出發(fā)，探討來年預算能否略有擴充。如此往復，年復一年，層層疊加，莫非舊年之預算便是一切之本源。

據(jù)我個人網(wǎng)安從業(yè)經(jīng)歷來看，直至2014年前，企業(yè)網(wǎng)絡(luò)安全經(jīng)費多年難覓增長之跡，每年計劃僅是前年續(xù)篇。防火墻與入侵檢測如同網(wǎng)絡(luò)安全的常青樹，安全產(chǎn)業(yè)的發(fā)展步履維艱。

直至2014年2月，習總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組（2018年改為中國共產(chǎn)黨中央網(wǎng)絡(luò)安全和信息化委員會）第一次會議上的講話，“沒有網(wǎng)絡(luò)安全就沒有國家安全”從此深入人心。

2016年11月，隨著《網(wǎng)絡(luò)安全法》的頒布與實施，我國網(wǎng)絡(luò)安全產(chǎn)業(yè)也拉開了近十年高速發(fā)展的序幕。企業(yè)對于網(wǎng)絡(luò)安全的重視程度明顯上升，強合規(guī)驅(qū)動企業(yè)對以往落后的網(wǎng)絡(luò)安全架構(gòu)進行全面升級改造，網(wǎng)絡(luò)安全預算也迎來了大幅增長。

歷史似乎又開始其輪回。缺乏嚴重外部事件的催化，或內(nèi)部系統(tǒng)更新改造的驅(qū)動，企業(yè)在網(wǎng)絡(luò)安全方面的預算又顯出增長乏力之態(tài)。這新一輪馬屁股理論的周期似再次開啟，企業(yè)對網(wǎng)絡(luò)安全的預算落入了一種新的平穩(wěn)期或者說停滯期。

根據(jù)咨詢公司S-RM發(fā)布了一份基于年超5億美元的600名企業(yè)高管的調(diào)研報告，2023年，嚴重的網(wǎng)絡(luò)安全事件的平均直接成本同比增長11%，達到了170萬美元，企業(yè)規(guī)模越大，IT系統(tǒng)越復雜，數(shù)據(jù)泄露和被勒索軟件攻擊的可能性就越高。報告還展現(xiàn)了一定的IT預算數(shù)據(jù)，過去一年，企業(yè)將絕大部分預算分配在了IT基礎(chǔ)設(shè)施換代升級上，以迎合數(shù)據(jù)字轉(zhuǎn)型，而在網(wǎng)絡(luò)安全上的預算僅增長了3%。

企業(yè)網(wǎng)絡(luò)安全預算需要考慮哪些因素

在申請網(wǎng)絡(luò)安全預算之前，各位CSO們必須要有一個清晰的認知前提：雖然近年來網(wǎng)絡(luò)安全的重要性持續(xù)提升，但公司的最終目的是盈利，網(wǎng)絡(luò)安全是成本中心，從本質(zhì)上決定容易遭到削減，因此如何把握安全性與經(jīng)濟性之間的平衡就十分關(guān)鍵。

IANS Research的調(diào)研顯示，多年快速增長之后，隨著全球不穩(wěn)定性和通脹壓力的加劇，企業(yè)的網(wǎng)絡(luò)安全支出開始逐漸減少，2022~2023年預算周期中預算增長下降了65%。

IANS Research在2023年4月到8月間調(diào)查訪問了550位CISO，發(fā)現(xiàn)各行各業(yè)的網(wǎng)絡(luò)安全資金分配普遍下降?！案餍懈鳂I(yè)中，預算增長下降最多的是科技公司，同比增長從30%下降到了5%。超過三分之一的企業(yè)凍結(jié)或削減了網(wǎng)絡(luò)安全預算?！?/p>

很顯然，結(jié)果比我們想象的還要糟糕。在經(jīng)濟周期向好的時代，網(wǎng)絡(luò)安全預算持續(xù)增加，這給網(wǎng)安行業(yè)一種無比繁榮的假象。事實上，當企業(yè)遭遇周期性下跌時，網(wǎng)絡(luò)安全預算的削減來的是那么突然而又理所當然。

企業(yè)沒錢了，首先需要考慮怎么活下去，至于網(wǎng)絡(luò)安全可以先放放。因此如何依據(jù)企業(yè)的實際情況，說服公司高層與董事會，并且成功向上申請足夠的網(wǎng)絡(luò)安全預算，是一個技術(shù)活兒~

首先，想要申請網(wǎng)絡(luò)安全預算，需要知道網(wǎng)絡(luò)安全投入主要有哪些方面，包括：

• 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入：包括防火墻、入侵檢測系統(tǒng)、數(shù)據(jù)備份和恢復系統(tǒng)等硬件設(shè)備的購置和維護費用。
• 網(wǎng)絡(luò)安全軟件投入：包括殺毒軟件、漏洞掃描工具、安全審計軟件等軟件的購買和更新費用。
• 網(wǎng)絡(luò)安全服務(wù)投入：包括外包安全審計、安全咨詢、安全培訓等專業(yè)服務(wù)費用。
• 網(wǎng)絡(luò)安全人力投入：包括安全團隊的薪酬、培訓和招聘費用。
• 應(yīng)急響應(yīng)與恢復預算：為應(yīng)對安全事件，設(shè)立的應(yīng)急處理和業(yè)務(wù)恢復所需的預算。

其次，在申請網(wǎng)絡(luò)安全預算時還需要仔細考慮以下幾個因素：

• 企業(yè)的網(wǎng)絡(luò)安全風險評估：企業(yè)首先需要評估自身面臨的網(wǎng)絡(luò)安全風險，包括內(nèi)部和外部的威脅來源，以及可能造成的損失。對于風險較高的領(lǐng)域，企業(yè)應(yīng)該加大投入以保障網(wǎng)絡(luò)安全。
• 企業(yè)的業(yè)務(wù)需求和發(fā)展戰(zhàn)略：企業(yè)應(yīng)根據(jù)自身的業(yè)務(wù)發(fā)展規(guī)模、業(yè)務(wù)涉及的敏感數(shù)據(jù)、業(yè)務(wù)對網(wǎng)絡(luò)安全的依賴程度等因素，合理分配網(wǎng)絡(luò)安全預算。
• 行業(yè)標準和法規(guī)要求：企業(yè)需參考行業(yè)標準和法規(guī)要求，確保網(wǎng)絡(luò)安全預算滿足監(jiān)管部門的要求，降低法律風險。
• 成本效益分析：企業(yè)應(yīng)對網(wǎng)絡(luò)安全投入的成本與預期收益進行分析，選擇性價比高的解決方案。
• 同行業(yè)競爭對比：參考同行業(yè)、同規(guī)模企業(yè)的網(wǎng)絡(luò)安全投入，以確保自身在競爭中不處于劣勢地位。

此外，為了更好地讓高層相信安全預算的必要性，安全負責人還應(yīng)建立一套網(wǎng)絡(luò)安全預算監(jiān)控機制，定期檢查預算執(zhí)行情況，評估網(wǎng)絡(luò)安全投入的有效性。監(jiān)控與調(diào)整主要包括以下幾個方面：

• 預算執(zhí)行情況的監(jiān)控：定期檢查網(wǎng)絡(luò)安全預算的執(zhí)行情況，確保資金按照預定目標進行投入。
• 安全狀況的評估：定期評估企業(yè)的網(wǎng)絡(luò)安全狀況，了解安全投入是否達到預期效果。
• 預算調(diào)整：根據(jù)監(jiān)控結(jié)果，及時調(diào)整網(wǎng)絡(luò)安全預算，將有限資源投入到最需要的領(lǐng)域。
• 經(jīng)驗總結(jié)與持續(xù)改進：通過對網(wǎng)絡(luò)安全預算執(zhí)行情況的總結(jié)，提煉經(jīng)驗教訓，持續(xù)改進預算制定和執(zhí)行。

分享幾個申請網(wǎng)絡(luò)安全預算的方法

1.舉起安全監(jiān)管的大棒

網(wǎng)絡(luò)安全預算和合規(guī)息息相關(guān)，近年來全球網(wǎng)絡(luò)安全法規(guī)持續(xù)完善，極大地推動了企業(yè)安全建設(shè)與預算增加。以我國為例，從2019年12月1日等保2.0正式實施，到2020年1月1日《中華人民共和國密碼法》正式實施。再到2021年，《數(shù)據(jù)安全法》、《個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》、《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》等法律法規(guī)紛紛出臺，網(wǎng)絡(luò)空間法制化建設(shè)已經(jīng)日趨完善。

從無法可依到有法可依，從合規(guī)性驅(qū)動到合規(guī)性和強制性驅(qū)動并重，合規(guī)依舊是增加網(wǎng)絡(luò)安全預算的第一推手。

根據(jù)工信部發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃(2021-2023年)(征求意見稿)》提出，到2023年，網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2500億元，年復合增長率超過15%。專家認為，隨著網(wǎng)絡(luò)空間法制體系建設(shè)的完善，網(wǎng)絡(luò)安全的合規(guī)需求將持續(xù)井噴，成為支撐產(chǎn)業(yè)高速發(fā)展的核心引擎之一。

隨著監(jiān)管要求持續(xù)嚴苛，尤其是在數(shù)據(jù)安全和隱私保護領(lǐng)域。安全專家Patel說：遵守各種隱私法規(guī)和合同中的安全義務(wù)是必要的，但這同時也帶來相應(yīng)的成本，而且就趨勢來看，這成本還在不斷上升。

據(jù)媒體報道，此前推特(Twitter)將支付1.5億美元隱私罰金，以和解一樁聯(lián)邦隱私訴訟。以個人信息安全為代表的數(shù)據(jù)安全問題再次成為大眾關(guān)注熱點。

近年來，我國越來越重視數(shù)據(jù)安全的重要性，密集出臺了《數(shù)據(jù)安全法》、《個人信息保護法》、《App違法違規(guī)收集使用個人信息行為認定方法》、等與個人隱私信息相關(guān)的法律法規(guī)及標準要求。可以說，隱私合規(guī)已經(jīng)成為企業(yè)經(jīng)營的必選項。

2.展示網(wǎng)絡(luò)安全為企業(yè)節(jié)省的費用

盡管安全性當然是大多數(shù)組織關(guān)注的問題，但負責組織財務(wù)的人通常希望看到某種投資回報。對于高層來說，復雜、專業(yè)化的網(wǎng)安詞匯晦澀難懂，但一個可靠有效的網(wǎng)絡(luò)安全投入的成本收益分析往往可以打動他們，其中包括：

• 風險收益分析：評估網(wǎng)絡(luò)安全投入對降低安全風險的貢獻，以及相應(yīng)風險下降所帶來的收益。
• 投資回報分析：分析網(wǎng)絡(luò)安全投入對企業(yè)業(yè)務(wù)運營、品牌形象等方面的積極影響，以及相應(yīng)的經(jīng)濟收益。
• 性價比分析：在滿足安全需求的前提下，選擇性價比高的解決方案，實現(xiàn)投入產(chǎn)出最大化。

值得一提的是，在進行成本收益分析時，CSO們可以展示部分實際案例，佐證其分析方法的正確性，例如：

• 可以節(jié)省 IT 部門的時間，從而減少加班時間，
• 可以避免可能會花費組織大量資金的監(jiān)管處罰，
• 通過更好的保護數(shù)據(jù)保護降低保險費用等。

當然，上述例子只是很粗略的想法，每個企業(yè)的實際情況不同，CSO們需要考慮組織的安全項目如何在自己的獨特情況下產(chǎn)生投資回報。為清楚起見，包含節(jié)省成本的元素很重要，比如我們可以引用所在行業(yè)的數(shù)據(jù)泄露的平均成本。

再比如凸顯網(wǎng)絡(luò)安全部門已經(jīng)經(jīng)過嚴格的比價操作，為企業(yè)定制了最具性價比的方案。這里可以體現(xiàn)的數(shù)據(jù)有：

• 實施每個潛在解決方案的總成本（這可能包括許可、人工、支持和硬件成本），
• 為什么IT部門要提出一個特定的解決方案，
• 準備好解釋使用最便宜的供應(yīng)商可能會放棄什么，
• 每個供應(yīng)商相對于其他供應(yīng)商提供什么等。

3.不要單打獨斗

安全不是一個部門的事情，因此在要預算時盡量不要單打獨斗，而是要拉上隊友們一起，以此證明申請安全預算的必要性。

舉個例子，可以和審計人員進行充分溝通，清楚他們的審計要求非常重要，同時安全人員可以借溝通機會向?qū)徲嬋藛T灌輸相應(yīng)的網(wǎng)絡(luò)安全理念。John作為一家公司的CISO，他每周都會與其企業(yè)的審計人員舉行會議，會議內(nèi)容往往會同時包括合規(guī)性和安全性。在公司進行ISO 27001信息安全管理更新時，審計團隊能夠清楚地闡明他們需要安全團隊提供什么，而CISO在收集了審計人員所要求的信息后可以及時作出正確的回應(yīng)。這樣審計部門/安全部門和公司都會更加輕松，這其實也是公司高層和董事會樂于看到的情況，彼此還可能留下些許香火情。

當然，向?qū)徲嬋藛T灌輸網(wǎng)絡(luò)安全基礎(chǔ)知識存在一定的難度，特別是那些來自大型咨詢公司的審計師，他們只是背了公司發(fā)給他們的清單或者規(guī)章制度，要求他們在審計得提出相關(guān)的問題，但完全不了解安全和風險背景。在這些事例中，他的客戶只通過他們的“規(guī)章制度”在審核，但從根本上沒有安全性。

比如，曾經(jīng)有個審計員詢問過公司是否擁有防火墻，IT 經(jīng)理回答是，然后審計員就過了，而事實是，企業(yè)雖然有防火墻，但它仍在包裝中且尚未安裝?！斑@審計人員其實一點都不懂，防火墻根本沒做任何事，它甚至都未被安裝。因此，審計人員需要進行正確的審核，他們需要了解安全的背景、技術(shù)的背景，包括該學會如何提出問題?！?/p>

在國內(nèi)，安全審計員的角色似乎還并未普及，但與此相仿的有我們的監(jiān)管人員，因此同樣可以對標。安全從業(yè)人員在為企業(yè)管理風險時，一樣可以和相關(guān)的監(jiān)管人員多溝通，一方面是為了更好的滿足合規(guī)要求，另一方面也可以交流相關(guān)的行業(yè)經(jīng)驗，因為二者所處的角度不同，所以必然會有對信息安全相輔相成的交集存在。

4.全靠同行襯托

沒有絕對的網(wǎng)絡(luò)安全，換句話說，網(wǎng)絡(luò)安全無論投入多少人力/物力都無法做完。那怎么評價網(wǎng)絡(luò)安全建設(shè)階段性成果？一個很好的衡量指標是和同行進行對比。對于董事會和公司高層來說，網(wǎng)絡(luò)安全術(shù)語無法理解，但是你要說和同行業(yè)同體量的競對相比，網(wǎng)絡(luò)安全體系強在哪里，那他們就很好理解了。

因此，網(wǎng)絡(luò)安全做的好不好，全靠同行來襯托。而當你發(fā)現(xiàn)自己比同行做的不好時，正是一個絕佳的申請網(wǎng)絡(luò)安全預算的理由，同行不能輸?。?！