當(dāng)前，網(wǎng)絡(luò)攻擊已從 “是否發(fā)生” 的疑問，轉(zhuǎn)變?yōu)?“何時(shí)來襲” 的必然，這已成為全球企業(yè)安全管理者的普遍共識(shí)。更為嚴(yán)峻的是，Proofpoint 于 2025 年 8 月發(fā)布的《首席信息安全官之聲報(bào)告》顯示，76% 的 CISO 預(yù)判未來 12 個(gè)月企業(yè)將面臨重大網(wǎng)絡(luò)攻擊威脅，該比例較上一年的 70% 持續(xù)攀升；同時(shí)，高達(dá) 58% 的 CISO 坦言，其所在企業(yè)尚未具備有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力。

企業(yè)網(wǎng)絡(luò)安全體系建設(shè)推進(jìn)艱難，首席信息安全官（CISO）主導(dǎo)的安全規(guī)劃屢屢受阻，其背后究竟存在哪些核心瓶頸？本文結(jié)合多位行業(yè)安全領(lǐng)袖觀點(diǎn)與多項(xiàng)權(quán)威調(diào)研數(shù)據(jù)，梳理出制約企業(yè)安全議程落地的四大關(guān)鍵問題，并提出針對(duì)性破局路徑。

團(tuán)隊(duì)能力缺位：事務(wù)繁雜不堪重負(fù)，核心優(yōu)先級(jí)難以錨定

當(dāng)下，CISO 正承受著前所未有的職業(yè)壓力。Nagomi Security《2025 年 CISO 壓力指數(shù)報(bào)告》數(shù)據(jù)顯示，80% 的 CISO 處于高壓或極端高壓狀態(tài)，87% 表示過去 12 個(gè)月壓力持續(xù)攀升，67% 甚至每周或每日均存在職業(yè)倦怠現(xiàn)象。

安全團(tuán)隊(duì)工作任務(wù)繁重已成為行業(yè)常態(tài)，優(yōu)先級(jí)管控遂成為 CISO 的核心工作內(nèi)容。但現(xiàn)實(shí)困境在于，多數(shù) CISO 僅自身掌握優(yōu)先級(jí)判定邏輯，未對(duì)團(tuán)隊(duì)開展系統(tǒng)化培訓(xùn)，導(dǎo)致團(tuán)隊(duì)成員無法獨(dú)立做出契合企業(yè)安全戰(zhàn)略的決策與行動(dòng)。

Databricks 現(xiàn)場(chǎng)安全業(yè)務(wù)負(fù)責(zé)人 Omar Khawaja 指出，該問題將使 CISO 陷入事必躬親的管理困境，既耗費(fèi)高管核心精力，又大幅拉低團(tuán)隊(duì)整體運(yùn)轉(zhuǎn)效率。

破局思路：CISO 需構(gòu)建清晰的決策支撐體系與優(yōu)先級(jí)判定標(biāo)準(zhǔn)，明確高、中、低風(fēng)險(xiǎn)事項(xiàng)的劃分依據(jù)，賦能團(tuán)隊(duì)成員自主、精準(zhǔn)完成工作排序，推動(dòng)權(quán)責(zé)下沉，聚焦核心安全任務(wù)，釋放團(tuán)隊(duì)整體效能。

AI 發(fā)展脫節(jié)：業(yè)務(wù)端加速布局 AI，安全防護(hù)難以同步跟進(jìn)

人工智能技術(shù)的高速迭代，推動(dòng)企業(yè)紛紛加快技術(shù)轉(zhuǎn)型，期望借助 AI 實(shí)現(xiàn)流程革新與降本增效。但與之形成強(qiáng)烈反差的是，多數(shù) CISO 的安全管控節(jié)奏，遠(yuǎn)滯后于業(yè)務(wù)部門的 AI 應(yīng)用速度。

Cyera《2025 年 AI 數(shù)據(jù)安全狀況報(bào)告》針對(duì) 921 名 IT 與網(wǎng)絡(luò)安全專業(yè)人士的調(diào)研結(jié)果令人警醒：83% 的企業(yè)已落地 AI 應(yīng)用，但僅 13% 的企業(yè)可清晰掌握 AI 系統(tǒng)對(duì)敏感數(shù)據(jù)的訪問與處理行為，16% 將 AI 作為獨(dú)立身份主體進(jìn)行管理，11% 可實(shí)現(xiàn)高風(fēng)險(xiǎn) AI 行為的自動(dòng)化阻斷，僅 7% 設(shè)立了專職 AI 治理團(tuán)隊(duì)。

SANS 首席 AI 官 Robert T. Lee 表示，諸多 CISO 因安全顧慮，要么直接否決 AI 應(yīng)用場(chǎng)景，陷入 “拒絕式安全防御” 思維；要么在 AI 安全評(píng)估環(huán)節(jié)過度滯后，拖慢企業(yè)數(shù)字化轉(zhuǎn)型節(jié)奏。加之企業(yè) AI 戰(zhàn)略頻繁調(diào)整，進(jìn)一步導(dǎo)致安全團(tuán)隊(duì)防護(hù)目標(biāo)模糊不定。

更為嚴(yán)峻的是，業(yè)務(wù)部門為快速推進(jìn) AI 落地，常繞過安全部門自主部署，直接催生影子 AI、未授權(quán)代理與非透明數(shù)據(jù)流，顯著擴(kuò)大企業(yè)攻擊面，引發(fā)大量安全隱患。

破局思路：CISO 需以整體化思維適配企業(yè) AI 發(fā)展，而非采用單點(diǎn)評(píng)估模式。先為企業(yè)核心數(shù)據(jù)建立風(fēng)險(xiǎn)檔案，簡化低風(fēng)險(xiǎn)數(shù)據(jù)的 AI 部署評(píng)估流程，聚焦中高風(fēng)險(xiǎn)數(shù)據(jù)的 AI 場(chǎng)景防護(hù)；同時(shí)向業(yè)務(wù)單元派駐安全專員，實(shí)時(shí)對(duì)接 AI 應(yīng)用需求，定向培養(yǎng)團(tuán)隊(duì) AI 項(xiàng)目評(píng)估與防護(hù)能力，摒棄盲目否定，實(shí)現(xiàn)安全管控與技術(shù)創(chuàng)新協(xié)同發(fā)展。

安全運(yùn)營守舊：AI 賦能安全價(jià)值凸顯，規(guī)?；涞厝燥@遲緩

一方面是安全團(tuán)隊(duì)跟不上業(yè)務(wù)端 AI 應(yīng)用步伐，另一方面，CISO 自身在將 AI 融入安全運(yùn)營的過程中，同樣進(jìn)展緩慢。盡管 AI 對(duì)網(wǎng)絡(luò)安全的賦能價(jià)值已得到行業(yè)公認(rèn)，但真正實(shí)現(xiàn)規(guī)?；涞氐钠髽I(yè)仍占少數(shù)。

ISC2《2025 年網(wǎng)絡(luò)安全勞動(dòng)力研究》針對(duì) 1.6 萬名企業(yè)管理者的調(diào)研顯示，僅 28% 的企業(yè)已將 AI 工具融入安全運(yùn)營體系，19% 處于測(cè)試階段，22% 仍停留在前期評(píng)估階段。

ISC2 首席信息安全官 Jon France 直言，當(dāng)前 CISO 群體在 AI 安全部署層面普遍處于 “追趕狀態(tài)”。值得關(guān)注的是，已應(yīng)用 AI 安全工具的企業(yè)中，63% 表示工作生產(chǎn)力顯著提升。在 AI 對(duì)安全運(yùn)營的短期價(jià)值貢獻(xiàn)中，40% 受訪者認(rèn)為網(wǎng)絡(luò)監(jiān)控受益最為突出，其次為安全運(yùn)營與安全測(cè)試（均占 30%）、漏洞管理（29%）等領(lǐng)域。

這充分印證，AI 在安全運(yùn)營領(lǐng)域的實(shí)用價(jià)值已得到驗(yàn)證，應(yīng)用落地的滯后，直接意味著企業(yè)安全運(yùn)營效率的落后。

人才短板凸顯：人員與技能雙重缺口，安全建設(shè)缺乏人力支撐

人才困境始終是 CISO 推進(jìn)安全議程的核心障礙，當(dāng)下這一問題愈發(fā)尖銳，成為企業(yè)構(gòu)建強(qiáng)健安全態(tài)勢(shì)的主要制約因素。埃森哲《2025 年網(wǎng)絡(luò)安全韌性狀況報(bào)告》顯示，83% 的 IT 高管將網(wǎng)絡(luò)安全人才短缺列為提升安全能力的首要障礙。

ISC2 研究進(jìn)一步揭示人才問題的兩大核心矛盾：一是人員供給不足，2025 年 63% 的企業(yè)存在不同程度的網(wǎng)絡(luò)安全人才缺口，雖較 2024 年的 68% 略有回落，但形勢(shì)依然嚴(yán)峻；二是技能結(jié)構(gòu)斷層，2025 年 59% 的企業(yè)存在關(guān)鍵技能需求缺口，遠(yuǎn)高于 2024 年的 44%，95% 的企業(yè)至少存在一項(xiàng)技能短板，其中 AI 相關(guān)技能需求最為迫切（41%），其次為云安全（36%）、風(fēng)險(xiǎn)評(píng)估（29%）等。

Omar Khawaja 還提出全新視角：當(dāng)前安全團(tuán)隊(duì)不僅缺乏技術(shù)能力與軟技能，更稀缺“中間技能”，如風(fēng)險(xiǎn)管理、變革管理等。此類技能是推動(dòng)安全工作與業(yè)務(wù)深度對(duì)齊、引導(dǎo)全員遵守安全規(guī)范的關(guān)鍵，技能缺失將導(dǎo)致安全工作推進(jìn)處處受阻。

破局思路：面對(duì)外部人才市場(chǎng)環(huán)境，CISO 雖無法直接主導(dǎo)，但可制定系統(tǒng)化人才戰(zhàn)略，以技能與能力為核心優(yōu)化招聘方向，精準(zhǔn)彌補(bǔ)團(tuán)隊(duì)技能缺口；同時(shí)強(qiáng)化 “中間技能” 培養(yǎng)，打造復(fù)合型安全人才梯隊(duì)，以人才優(yōu)勢(shì)支撐安全議程高效落地。

企業(yè)網(wǎng)絡(luò)安全體系建設(shè)，從來不是 CISO 的單兵作戰(zhàn)，亦非安全團(tuán)隊(duì)的孤軍奮戰(zhàn)，而是需要企業(yè)全員協(xié)同、技術(shù)與人才雙輪驅(qū)動(dòng)的系統(tǒng)性工程。上述四大問題看似獨(dú)立，實(shí)則相互關(guān)聯(lián)：團(tuán)隊(duì)能力不足源于人才與培訓(xùn)缺失，AI 應(yīng)用滯后受制于能力與視野局限，人才短板又從根本上制約能力提升與技術(shù)落地。

對(duì) CISO 而言，突破安全議程落地困局，需從 “單兵作戰(zhàn)” 轉(zhuǎn)向 “體系化建設(shè)”：既要完善團(tuán)隊(duì)能力培養(yǎng)與決策機(jī)制，也要緊跟技術(shù)趨勢(shì)實(shí)現(xiàn) AI 雙向賦能，更要構(gòu)建適配企業(yè)發(fā)展的人才梯隊(duì)。唯有如此，能讓企業(yè)網(wǎng)絡(luò)安全建設(shè)同步于業(yè)務(wù)發(fā)展節(jié)奏，在日趨復(fù)雜的網(wǎng)絡(luò)攻擊環(huán)境中筑牢安全防線。

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com