随着信息化时代的快速发展，企业网络安全问题变得越来越突出。为了企业的持续发展，必须高度重视网络安全工作，打造一个完善的网络安全“生态”。在这个生态系统中，组织内部各方需要紧密配合，形成联防联控的局面；同时与外部各方也需要建立协同机制，共同应对网络安全威胁。

一花独放不是春，百花齐放春满园。作为一个初创的企业更是如此。我们已经树立好战略，也明确了责任，接下来就要依赖于生态而谋求企业的持续发展。

纵观国内外，实际上差别很明显。国外的企业更加重视生态的发展，不同产品和设备之间追求联动，这个时候标准的API非常关键。而我们的国内的企业有点封闭，不同产品和设备之间的联动存在障碍，这些障碍可能还是人为的，都想一家独大。这个对我们建立生态没有多大好处，值得各位同仁思考和反思。

为了更好地建立生态，企业需要与各方合作，包括产、学、研，同时也包括政府相关部门。我们需要具体采取以下措施：

• 建立合作伙伴关系

  
  

  
  

企业可以与安全厂商、行业协会、政府部门等建立合作伙伴关系，共同应对网络安全威胁。这种合作关系可以帮助企业获取更多的安全信息和资源，共同研发安全技术和产品，提高自身的安全防护能力。同时，合作伙伴之间的信息共享和协同响应机制可以更好地应对网络安全事件，减少损失。

现在的企业过于强调竞争而不考虑联合，共同发展，这个值得每个企业思考。

• 加入行业安全联盟组织

  
  

  
  

企业可以加入行业内的安全联盟组织，参与相关研究项目和活动，加强企业间的信息共享和协同应对能力。通过参加安全联盟组织的会议和活动，企业可以了解最新的安全动态和趋势，学习其他企业的安全防护经验，同时也可以将自己的经验和知识分享给其他企业。

这些安全联盟很多，比如OWASP（Open World Application Security Project）、CSA（Cloud Security Alliance）、ISC2（国际信息系统安全认证联盟）等。另外还有很多网络安全的社群，比如安在的诸子云、安盟汇、网安加社区等。同时也有政府牵头的组织，比如深圳市网络安全协会、软件协会安全分会等。

通过积极参与以及赞助这些活动，可以帮助企业更好地成长。另外还可以与这些安全联盟一起发起研究项目，共同提高，比如OWASP的安全研究项目以及诸子云的安全研究项目等。

• 参与公共安全响应中心

  
  

  
  

企业可以参与公共安全响应中心，如国家信息安全漏洞共享平台（CNVD）等，与其他企业和机构共同发现和修复安全漏洞。通过参与公共安全响应中心的活动，企业可以获取更多的漏洞信息和学习其他企业和机构的安全防护经验。同时，公共安全响应中心的信息共享机制可以帮助企业更好地了解网络安全威胁和风险。

对于企业的红队可以积极发掘漏洞，并且通过CNVD平台分享出去。对于企业的蓝队，也可以积极与CNVD平台进行对接。对于我们的产品也要将CNVD作为一个非常重要的数据源。

• 加强国际合作

  
  

  
  

随着互联网的不断发展，网络安全问题越来越具有全球性。因此，企业可以加强国际合作，与国外企业和机构建立合作关系，共同应对网络安全威胁。通过参加国际会议和活动、加入国际安全组织等方式，企业可以了解国际最新的安全动态和趋势，学习其他国家和地区的先进安全防护经验和技术。同时，也可以将自己的经验和知识分享给其他国家和地区的企业和机构。

企业要积极参与国际的讨论，向国外相关领域的优秀企业学习和借鉴。我们要以世界上最优秀的企业和产品为师，并且做出自己的中国特色。企业要多参与国际上的安全会议和论坛，而不应该将自己的眼光限制在国内。

企业还可以通过安全联盟与国际上的其他地区合作，其中OWASP、ISC2、CSA都是国际上的安全联盟和组织，值得各个企业信赖。

企业除了加强外部合作、共建生态、共谋发展外，也需要在内部建立良好的合作。

首先，企业要厘清安全的责任。安全不是安全部门一家之事，而是整个公司每个人的事情，这个是关键。而安全的最终责任人是企业的领导层。这个是我关于企业责任划分的观点，如下图：

公司领导层为纲，纲举目张，一切行动要围绕公司领导层展开。安全部门要作为一个专业的部门做好顾问的角色，给公司领导层专业的安全建议，并且要将公司领导层的精神转化为企业的安全策略和政策，技术部门负责实施这些安全策略和政策；业务部门根据业务输入安全需求以及对于安全风险进行决策，决定接受还是处置安全风险；人力资源部门要提供培训的支撑，将安全的培训融入公司的入职流程以及每年的定期流程中；法律部门要提供法律支持。总之，公司领导层为纲，领导整个公司将安全融入公司的战略中。

其次，安全部门要明确自己是业务的支撑，不能因为过分追求安全而妨碍业务的发展，没有业务的发展，就没有公司的未来，也就没有安全，这个主次要分清楚。对于安全，我们要形成三点共识：

没有绝对的安全，所以过分追求安全是不恰当的。同时安全是有成本的，包括显性成本和隐性成本，所以我们要考虑安全的投入和风险的可能影响。如果风险可能影响是10万，而投入要20万，那么接受风险就很合理了。另外，安全预算是有限的，不可能无限制投入。现在有些安全负责人总想着招人、扩军、扩大边界，那么我们要自己问一下是否符合公司的实际。而且为了招人扩军，更希望一切都自己把握，一切都自己研发，走的是某个大企业的赋能路线，想从甲方变为乙方，这个思想也是不合适的，对于整个生态的发展也是不利的，这个问题值得整个行业去思考。能不能甲乙方共建，而不是都搞自建。

最后，人才是最关键。

员工是网络安全的第一道防线，必须加强员工网络安全意识培训，增强员工的网络安全意识和技能。

首先，要定期开展网络安全宣传和教育活动。通过培训课程、安全知识竞赛、意识讲座等形式，普及网络安全知识，让员工了解并掌握基本的安全操作技能。

其次，要鼓励员工参与网络安全工作。制定奖励机制、提供研究经费等措施，激发员工参与网络安全工作的积极性和主动性。

此外，还要加强员工个人信息保护意识的培养，让员工明白保护个人隐私和数据安全的重要性。

为了企业的持续发展，必须高度重视网络安全工作打造一个完善的网络安全“生态”。

在这个生态系统中，与外部各方也需要建立协同机制共同应对网络安全威胁，同时组织内部各方需要紧密配合形成联防联控的局面。

在未来的发展中，企业需要不断加强自身的安全防护能力，完善网络安全管理体系，从而为业务发展保驾护航。