-----------------------------------------

        作者简介：

        张美波先生现任微软（中国）有限公司网络安全总监，并兼任网络安全首席架构师。他曾是微软全球企业服务体系级别最高的技术专家之一，在多个具有全球排名前列的Top超大规模环境企业客户担任微软方的基础架构/网络安全架构师和“红军/蓝军”顾问，负责相关的安全架构体系规划设计与部署实施、APT攻击相关防范、安全运营及安全响应等。

         ---------------------------------------------

        在当今数字化时代，网络安全已成为企业无法忽视的重要议题。但是“物生有两，有利有弊”，尽管网络安全措施可以保护企业免受潜在的安全威胁，但过度的安全要求也可能成为企业发展的绊脚石，同时企业在网络安全方面的投入也往往是受限的。去年在“网络安全经济学”这篇文章中和大家从战略层面探讨了如何在保护企业安全与促进企业发展之间找到合理的平衡点与制衡点，今天这篇文章想和大家从战术和执行层面探讨如何更好地确保企业在网络安全方面的投资回报率（ROI）。

一、网络安全的必要性

        从本质上来看，企业对于网络安全的需求主要来源于安全合规要求和安全技术防护这两个方面。

        先谈谈安全技术防护方面。近年来，网络攻击事件频发，无论是大型跨国公司，还是中小型企业，都面临着黑客攻击、数据泄露和勒索软件等各种威胁，这不仅可能导致企业的数据泄露和财产损失，还可能损害企业声誉，影响客户信任。根据最新的研究报告，2025年因网络犯罪造成的经济损失可能高达12万亿美元。面对如此严峻的形势，企业必须高度重视网络安全。

        随着技术的迅速发展，企业面临的网络威胁也日益复杂和多样化。或许在普罗大众的感观中，网络安全事件就是勒索病毒、数据泄露之类。实际上网络安全的核心三原则是机密性、完整性和可用性，影响到任何一个或者多个安全原则的事件，不管是来自外部还是内部、不管是有意还是无意的行为、不管影响范围是大或者小，其实都是网络安全事件，核心区别就是看网络安全事件的影响范围有多大而已。例如都是中勒索病毒，某个普通用户自己的电脑中了勒索病毒，和企业整体环境都感染了勒索病毒，影响范围和带来的损失都是千差万别的。

        “你见、或者不见我，我就在那里，不悲、不喜”。这句深情款款的诗，却道出了网络安全威胁的本质：它是无时无刻、无处不在的。在网络安全方面，企业一直都是应对攻击的防守方，因此我们只可能会出现两种情况：守住，或者没有守住。从长期性的现实角度来看，我不认为企业可以完全避免发生网络安全事件，因此企业可以分为两种，一种是已经发生了网络安全事件，一种是即将发生网络安全事件。而目前比较流行的网络安全韧性与数字连续性话题，核心考虑的就是如何打赢一场即将失败的战争？防止被一击即溃，从而实现败而不倒、败中求胜、东山再起。

        目前各种勒索攻击、数据泄露、网络攻击破坏等网络安全事件层出不穷，攻击者在其中部分案例中展现出了各种高级、精巧甚至可以说是卓越的攻击手法。通常情况下，基于攻击动机、技术手法的不同，绝大部分企业所面临的网络攻击行为中最主要的两种是：

        1.以金钱为动机的、基于安全漏洞的自动化攻击行为。

这种攻击行为以勒索病毒、挖矿病毒、钓鱼邮件为典型，通常攻击者利用自身控制的攻击基础设施（例如直接访问Internet的端点、租用的云计算VM、之前控制的“肉鸡”/物联网设备等等）对Internet发起广泛的扫描和基于安全漏洞（包括最新的 0day 或之前 N Days的）的自动化攻击行为，目前也发展为结合人为控制的攻击行为（特别是在通过自动化攻击打开突破口之后）。这种攻击行为基本没有特定的攻击目标，一开始就是广撒网、碰运气、看能钓上多少鱼而已，由于攻击者发起这类攻击的攻击成本极低，因此回报率仍然极高。攻击者的最终目标是通过数字化货币变现（勒索或挖矿），企业组织遇上这类攻击之后安全事件爆发快、持续周期短、损失不定。

        2.以商业竞争、IP/机密/隐私数据窃取/泄露、金钱勒索/商业欺诈为动机的定点APT攻击行为。

        这种攻击行为具有非常高的目的性，通常是由有组织的攻击团队发起的APT攻击行为，在其中除了充分利用最新的安全漏洞甚至0day漏洞之外，也会大量采用凭据窃取、提权、横向移动、数据泄露、环境破坏等高级攻击操作手法，甚至长期性的隐藏潜伏并实现企业网络环境的持续命令与监控。这种APT攻击行为可能不容易被发现，并且基于攻击者的目的不同，持续的周期也可能有长有短，遇上之后企业的损失通常较为惨重。

        根据 2025年 Check Point 发布的最新安全分析报告，全球的企业平均每周遭遇超过1,600次网络攻击行为，从中也充分说明了目前网络安全态势的严峻。

        再谈谈安全合规要求方面。企业必须满足国家的相关法律法规，例如国内最基本的网络安全法、数据安全法和个人信息保护法“三大法”。目前国内对于企业网络安全监管持续处于高压态势（例如《网络安全法》刚完成最新的修订，将于2026年1月1日正式生效），“网络安全，从入行到入狱”，这一句玩笑话并不是虚言，也希望推动未来CISO能够拥有与责任相对等的权利。

        但是满足安全合规要求并不等于满足企业安全需求，也不等于满足企业安全技术防护要求。满足安全合规首先考虑的是要解决“有没有”的问题，而通过满足安全技术防护要求，才能解决“行不行”的问题，“实战是检验网络安全能力的唯一标准。”

二、网络安全对企业发展的影响

        古语有云：“物生有两，有利有弊；平衡需术，过犹不及”。虽然网络安全对于企业的必要性和重要性不言而喻，但在实际操作中，企业往往面临正反两方面的各种挑战。例如：

        1.从正向的角度，网络安全对于企业至关重要，企业需要通过网络安全来守护企业环境、业务发展和创新。此时需要面临并考虑网络安全投入与业务发展之间的权衡、技术更新的滞后、安全人才的短缺等等各方面挑战，这些问题如果得不到有效解决，网络安全就有可能成为企业发展的绊脚石。

        2.从反向的角度，尽管网络安全措施至关重要，但过度的安全要求可能会对企业运营和发展产生负面影响。例如，高昂的安全成本可能会增加企业的运营负担，特别是对于中小企业而言，这些成本可能会占据相当大的预算。此外，过度繁琐的安全流程可能会降低工作效率，阻碍创新和业务扩展。这同样可能导致网络安全成为企业发展的绊脚石。

        同时，由于以下原因，企业在网络安全方面的投入也往往是受限的：

        1、投入与回报的非对称性。

        网络安全投入的效果通常难以直接量化和感知。企业花钱购买防火墙、雇佣安全人员，其主要作用是“防范未发生的风险”，无法像研发新产品、拓展市场那样，直接产生销售额、利润等显性业绩。这种 “不出安全事件不容易凸显价值，出了安全事件更显得没有价值” 的特性，导致管理层容易低估其重要性。

        2、风险评估的复杂性与不确定性。

        网络安全威胁具有高度不确定性，企业难以精准预判未来会遭遇何种攻击、攻击的概率有多大、可能造成的损失有多严重。这种不确定性使得安全投入的“性价比” 难以计算，管理层既担心投入不足导致风险，也担心投入过多造成资源浪费，最终往往选择 “有限投入” 以平衡风险与成本。

        3、成本与预算的刚性约束。

        企业的整体预算是有限的，需要在多个业务板块间分配资源。网络安全投入属于“成本中心”，会挤占研发、市场、生产等 “利润中心” 的预算。在追求短期业绩的导向下，管理层更倾向于将资金投入到能快速看到回报的业务中，从而压缩安全预算。

        三、网络安全的价值导向

        除了提供网络安全产品或服务的企业之外，网络安全自身并不直接产生价值。网络安全是附生物，与被保护的目标主体紧密关联，它存在的唯一价值目标就是为了保护目标主体的安全性，因此网络安全的价值是需要依托目标主体所面临的安全威胁和风险来间接体现。这样导致网络安全本身也存在价值悖论：不出安全事件不容易凸显价值，出了安全事件更显得没有价值。

        从另外一个角度来看，网络安全本质就是数字化时代的战争。之前我写过一篇文章“风林火山 - 《孙子兵法》与网络安全”，专门介绍和分析《孙子兵法》与网络安全的关系，以及网络安全如何从《孙子兵法》中获益。古代战争的核心在于人与人的对抗，和对资源的争夺：抢人、抢粮、抢地盘。而网络安全也是人与人的对抗，和对资源的争夺（只是现在变成了IT资源）：抢系统、抢数据、抢资源。因此我们需要以最小的代价获取最大的收益（最大的ROI/投入产出比），我们需要识别保护目标的优先级，以最有效的方式来部署安全防护，从而大幅提高攻击方的攻击成本，阻止或者延缓攻击者的行动，迫使其最终放弃攻击。

        网络安全还有一个非常不好的点，就是网络安全无论攻防两端，都是永远保持持续高速、动态发展、快速迭代的过程，“防得了一时，防不了一世”。网络安全是一个持续进化的旅程，而不是一个持续稳定的结果。因此，没有绝对的安全，也没有永远的安全，只有相对暂时的安全。这样带来的直接后果就是企业在网络安全的投入产出比难以进行明确的衡量。

        企业网络安全的投入和产出趋势可以参考以下趋势图，边际效用递减效应非常明显，越是想要做的完善，投入就越大，而且到后期收益就越不明显：

        如何确保企业的网络安全措施是合理充分的？

        简要一点来说，在满足法律合规要求的必备基础上，这取决于企业自身的整体风险管理（例如风险评估、风险偏好、风险控制计划和投入产出期望等等）。网络安全韧性和数字连续性应当构建到企业组织的核心体系架构中，与企业财务与业务运营的韧性一样重要。我们必须充分考虑业务、IT和网络安全在数字化转型中的关联一致性，只有通过引入合理充分的网络安全措施，使企业组织尽可能地抵御现代化的攻击，才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。而这综合在一起，就诞生了“网络安全经济学”：如何高效地、有效地且经济地帮助企业实现网络安全？

四、网络安全经济学

        网络安全的总体拥有成本（TCO）不仅仅体现在技术设备和软件的购买上，更包括了人员培训、系统维护、安全运营、应急响应等多个方面，而且网络安全成本是具有持续性的生命周期。对于大企业而言，尽管网络安全投入巨大，但其具备相应的财力和技术力量可以承担。而对于中小型企业，网络安全的高投入可能会严重影响到其运营成本和发展预算。越来越复杂和昂贵的网络安全措施，甚至可能导致企业在市场竞争中失去优势。

        而网络安全经济学关注的就是在保障网络安全的同时，如何尽可能地减少其对企业运营和业务发展的负担，从而高效地、有效地且经济地帮助企业实现网络安全。网络安全经济学旨在分析和理解网络安全措施与经济利益之间的关系。它探讨了企业在防范网络威胁时所需投入的资源与潜在风险之间的平衡。如果作为一门研究网络安全措施的经济效益及其对企业和社会影响的学科，我想它的核心架构和体系应该如下图所示，更为详细的内容说明，欢迎大家参考之前发布的“网络安全经济学”。

        网络安全经济学强调对网络安全投资的成本效益（ROI）分析。一方面，投入网络安全的资金和资源应尽可能防止潜在的威胁；另一方面，过高的安全投入可能导致资源浪费，削弱企业的竞争力。企业需要对网络安全投资进行详细的成本效益分析，包括计算防范措施的费用（如硬件、软件、培训等）与潜在的风险损失（如数据泄露、声誉损失、法律罚款等）之间的对比，评估安全措施的投入与可能避免的损失之间的关系。

        通过成本效益分析，企业可以确定哪些安全措施是必要的，哪些是可选的，从而优化其安全投资，确定投资网络安全的合理预算。然后，企业应根据自身的风险评估结果，制定适当的安全策略，合理分配资源，确保网络安全投资能够带来最大的经济效益，以最小的成本实现最大的安全效益。

五、企业网络安全ROI象限图

        但是上面这个公式太过于简单，企业很难直接落地。从战术和执行层面来看，我们具体可以采取哪些行动呢？为了节省大家的时间并提升效率，我在本文中直接提供一个快速参考：企业网络安全ROI象限图。

        我以企业最核心和最常见的7大类、共40种安全防护技术为基础，结合自身经验、企业客户反馈以及相关分析报告，构建了一个“企业网络安全ROI象限图”，如下图所示：

        该象限图的横轴代表“投入”，不仅涵盖产品、技术和服务的成本，也包括对用户体验的影响。横轴从左至右表示投入程度，越往右投入越高。纵轴则代表“产出”，包括企业在安全合规、技术防护能力和安全运营能力方面的提升。纵轴从下至上表示产出水平，越往上产出越高。

        这个企业网络安全ROI象限图可以帮助大家快速判断不同安全技术的投资回报率，为企业制定网络安全发展路线图（Roadmap）提供有价值的参考。

六、平衡安全与发展

        尽管网络安全是企业不可忽视的关键问题，但企业也不能因过度关注安全而忽视了业务的发展和创新。为了在保障安全的同时促进发展，避免网络安全要求成为企业发展的绊脚石，实现“要发展、要安全、要经济”的目标，企业应采取综合性的安全策略，并进行合理的资源配置。因此企业进行网络安全投资时，需要考虑以下核心方面：

        6.1 安全与发展的协同

        企业在制定安全策略时，应考虑到业务发展的需求，确保安全措施不会阻碍创新和业务拓展。而通过将安全融入到产品和服务的开发过程中，企业可以在保障安全的同时，推动业务的持续创新和增长。

        6.2 风险管理与优先级划分

        企业应实现完善的风险管理，定期进行网络安全风险评估，识别潜在的安全威胁和漏洞、和最关键的风险点，并根据风险的严重程度和可能性进行优先级划分。这有助于企业合理分配资源，集中力量解决最紧迫的问题。

        通过定期审查和更新安全策略，企业可以及时应对新的安全挑战，降低网络攻击的风险。同时，企业还应制定应急响应计划，以便在发生安全事件时能够迅速有效地应对，减少损失。

        从安全实践的角度，建议企业应当参考以下核心类别和任务的优先级来考虑对网络安全的投资，这些核心类别和任务是需要同时从安全防范建设和安全运营两个维度来进行。更多的内容请参考：网络安全需要“向死而生” 。

        6.3 建立完善的网络安全体系和防护能力

        企业应该建立全面、系统的网络安全体系和防护能力（例如参考下图最新的微软安全参考架构），从硬件防护、软件更新到员工培训，全方位提升安全水平，具体措施可以包括安装防火墙、防病毒软件、加密重要数据等。此外，还需要定期进行主动安全检测，及时发现和修复漏洞。

        鉴于所面临的经济形势和技术层面的挑战，企业在选择所使用的安全解决方案时，需要考虑统一、集成、整合地全场景、全平台端到端智能安全解决方案，从而优化降低整体成本与复杂度。同时需要确保相关解决方案的领先性，它充分的结合云计算、机器学习、人工智能、安全情报大数据、自动化等先进技术，从而可以帮助企业组织实现更好的安全防护效能。

        6.4 员工培训与意识提升

        员工是企业防御网络威胁的第一道防线，其意识和行为直接影响到企业的整体安全水平。企业应加强员工的安全培训，提高他们的安全意识、技能和应对能力，防止人为疏忽导致的安全漏洞。例如，告知员工如何识别钓鱼邮件、如何保护个人信息等，从而减少人为因素造成的安全风险。

        通过定期开展安全演练和培训课程，企业可以帮助员工掌握基本的安全知识和应对技巧，从而降低安全风险。

        6.5 外部合作/与专业机构合作

        对于缺乏内部资源的企业特别是一些中小企业，可以考虑与专业的网络安全服务提供商合作，借助外部力量提升自身的安全防护水平。

        专业机构拥有先进的技术和经验，可以为企业提供定制化的安全解决方案，有效防范网络攻击。通过外包网络安全服务，企业可以获得专业的技术支持和解决方案，从而专注于自身的核心业务发展。

七、结束语

        网络安全对于企业的发展至关重要，也是企业在数字化时代面临的一项重大挑战。但无论缺乏有效的安全防护能力、还是过度的安全要求，均可能成为企业发展的绊脚石。通过合理的风险管理和成本效益分析，企业可以优化其网络安全投资，降低网络安全风险；同时在确保安全的同时，企业需要在成本与收益之间找到平衡，以实现最佳的投资回报。

        网络安全经济学和网络安全ROI的研究为企业提供了新的思路和方法，帮助企业在这个充满挑战的数字时代中，找到网络安全与业务发展的最佳平衡点。基于相关分析，企业可以制定更加合理和有效的安全策略，既保护自身免受威胁，又促进业务的持续发展。政府和行业监管机构也应发挥积极作用，通过政策引导和支持，促进企业的网络安全建设。只有这样，企业才能在数字化时代中稳步发展，确保其长期竞争力和可持续性。

        如何避免网络安全要求成为企业发展的绊脚石，平衡安全与发展、实现“要发展、要安全、要经济”的目标，是每一个企业管理者和CISO的责任和使命。

参考文献：

1、https://mp.weixin.qq.com/s/Prcsjdk7qcv5Ojl-LIN0rQ