我是祁行,一家年营收接近百亿的制造与互联网混合型企业的首席信息安全官(CISO)。
- 我们现在公司到底安不安全?
- 预算有限,企业安全该先抓什么?
- 2026年了,安全这事是不是被“安全厂商”讲得太夸张?
我想用一个内部人的视角,把今年真实发生的风险形态、数据、和可落地的应对方式摊开讲清楚。没有故事会,没有“安全神话”,只有我们这些在事故现场收拾残局的人,看到的现实。
如果你还把“企业安全”等同于“装安全软件”,那一定会被现实教训。2026年的攻击方式,变化幅度比很多人想象得猛烈得多。
今年年初,多家国际研究机构和安全厂商发布的年度威胁报告,都提到了一个共同趋势:勒索攻击从“大撒网”变成“精准打劫”。
- 有报告统计,2025-2026年间,全球勒索软件攻击中,“双重勒索”(加密+威胁公开数据)的占比已经超过70%。
- 金融、制造、医疗被点名为重点受害行业,尤其是制造业,全球生产线停工造成的损失往往以小时计价。
我去年接手的一次安全评估,是一家区域龙头制造企业。对方很自豪地说:“我们从没被黑过。”安全扫描一跑,暴露在公网的老旧VPN设备、过期的Web系统、共享密码的服务器账号,像一排排“欢迎攻击者”的霓虹灯。他们只是运气好,还没真正被盯上。
企业安全已经从“有没有被打”变成“多久会被打、被打多狠”。所谓“没出事”,更多时候只是“还没轮到你”。
很多老板会问我:“你就说嘛,我要买什么,能让我放心?”
我一般会反问:“你自己开车,会不会问:我买什么安全带,就能永远不出车祸?”
企业安全做不好,通常不是缺工具,而是缺一套清晰的、可执行的基础安全底线。在我参与的几十个项目里,典型的“踩坑场景”经常重复出现:
- 密码靠记忆,系统靠“感觉安全”;
- 谁都能装软件,谁都能装远程工具;
- 内网共享目录一堆“everyone可读写”;
- 开发环境、测试环境、生产环境混在一起;
- 离职员工账号忘记删除,还在系统里“幽灵般”存在。
这些问题,看上去“很基础”,但一旦叠加,就会成为攻击者眼里的“自助餐”。攻击者并不希望你完全不做安全,他们希望你“做一点点,又做得不系统”——因为那样更容易绕过,又更容易让你产生错觉。
所以我会建议任何规模的企业,把“企业安全”先拆成三个问题:
- 哪些东西是你绝对不能丢的?
- 哪些业务是你绝对不能停的?
- 哪些行为是员工绝对不能做的?
回答清楚这三件事,你才知道安全底线在哪里,预算、产品、流程,才有方向。
很多公司在安全预算这件事上,非常犹豫。2026年宏观环境紧绷,老板每一笔钱都盯得很紧,“安全”又看不见回报,这很正常。
但从一个CISO的角度,我更在乎的是:你到底在保护什么?你不怕什么?
我给不少企业做咨询时,会先拉一张简单的“资产敏感度表”:
- 极高敏感:核心配方、算法模型、未公开财务数据、大客户清单
- 高敏感:供应链合同、员工隐私信息、生产排程
- 中敏感:一般业务数据、内部邮件记录等
- 低敏感:公开宣传内容、对外公关资料等
很多公司做完这张表,会突然沉默。因为他们发现:最敏感的那一层,往往是保护最差的那一层。
有一家区域互联网平台企业,管理层非常重视安全,采购了一堆安全产品,机房门禁也做得很严。真实的核心交易数据,却长期放在一个“方便大家查阅”的共享文件夹里。那个文件夹的权限是“公司所有人可读”。
你可以想象一下:如果你是攻击者,你会从哪一层下手?
企业安全的第一步,不是买什么设备,而是把“最贵的东西”圈出来,用制度和技术一起守住。
说一句可能戳心的话:绝大多数安全事故,要么出在人,要么利用人。
2026年的钓鱼邮件、伪造网站、假冒企业客服、虚假招聘链接,都已经非常“像真的了”。有研究报告显示,过去一年里,全球范围内通过社会工程学(骗员工、骗合作伙伴)实现的攻击比例依旧居高不下,一些统计给到的数字超过了60%。
我参与处理过的一个真实事件:一家企业被“客服中心”假冒邮件搞得焦头烂额。攻击者伪造了一个非常像真官网的登录页面,诱导内部客服人员输入账号密码。两天之内,攻击者拿到了近百个真实账号,用这些账号登录后台,导出了大量用户数据,顺手还做了一波诈骗。
更扎心的是,那家公司刚做完“信息安全宣传周”,给每位员工发了漂亮的宣传册。但培训内容停留在“不要乱点陌生链接”这种口号层面,没有针对他们业务场景做深度演练。
我在内部推动安全培训时,会做三件“可能很不讨喜”的事:
- 用公司真实的业务场景,模拟攻击邮件、仿冒网站,让员工“真中一次招”;
- 把员工“中招情况”后台统计出来,匿名通报,分析原因,而不是简单批评;
- 把培训从“讲课”变成“对抗游戏”:让一部分员工扮演攻击者,一部分扮演防守方。
企业安全想要做出效果,人这一块,一定要走到“肌肉记忆”层面。员工面对异常链接、异常附件、异常付款邮件时,脑子里要有条件反射:“先停一下,再确认,再操作。”
有时候外界会觉得安全部门有点“唱反调”:业务要上线,安全说要评审;开发要加功能,安全说有风险;运维想图省事,安全又来一堆规范。
站在一个CISO的位置,我理解所有人的焦虑。业务要增长,时间就是生命;安全要守底线,事故就是灭顶。
一位同行调侃说,2026年的安全岗位,有点像“企业里的公关+消防+心理咨询师”:
- 面对外部攻击,要有消防员的反应速度;
- 面对内部高层,要用公关的语言把风险讲清楚;
- 面对业务团队,要用心理咨询师的耐心,解释“为什么你今天又被我拦住了”。
在我现在的公司,做安全推动时,我会坚持几条原则:
- 所有高风险上线,必须有安全评估,但评估表格尽量只问对业务有意义的问题;
- 安全指标不再用晦涩的技术术语,而是用“停机多久”“赔多少钱”“影响到多少客户”来描述;
- 尽量把安全能力做成可复用的“模块”,让开发像调用接口一样调用,而不是每次从头解释一遍。
当安全从“阻碍者”变成“业务加速器”的时候,企业安全才有可能从被动救火,变成主动规划。
我很清楚,很多中小企业看安全预算,会觉得头皮发紧。“你们大公司当然玩得起,我这边连开发都不够用,还搞什么SOC、攻防演练?”
所以我整理了一套在很多项目里实践过的“基础底线”,成本可控,但能挡住一大批常见攻击。你可以当成一个简单的自查表:
账号与权限
- 所有重要系统启用双因素认证;
- 离职员工账号,做到当天禁用;
- 管理员账号最小化,严格区分个人账号与共享账号。
终端与办公环境
- 员工电脑统一安装企业级防护软件,集中管理;
- 禁用随意安装未知来源软件和浏览器插件;
- 关键岗位(财务、客服)电脑,禁止私插U盘,重要操作尽量在“干净环境”下执行。
数据与备份
- 核心业务系统,至少保证异地备份+定期恢复演练;
- 客户敏感信息(身份证号、手机号等)做脱敏存储或访问控制;
- 重要文件不要只放在共享盘,必要时分级存储和加密。
日常流程
- 涉及到钱的操作(打款、退款、更改收款账户),引入多方确认流程;
- 针对“仿冒领导指令、仿冒合作伙伴”的情况,建立一套固定核验方式(回拨固定电话、企业IM确认等);
- 每年至少做一次针对全员的安全演练,不必复杂,但要贴近真实业务场景。
做完这些,你的企业安全水平,已经远远超过很多“只买产品、不做管理”的公司。
2026年还有一个很明显的现象:企业越做越“轻”,系统越搬越“云”,合作伙伴、外包商、供应链对接越来越多。
这些趋势,本身没有问题,甚至是提高效率的关键。但从企业安全的角度看,这是把防线从“一道墙”变成了“一张网”,每个节点都有可能变成入口。
现实中,已经有不少事件是通过供应商、外包商被“顺藤摸瓜”打进核心企业的。尤其是:
- 使用第三方远程运维工具,却没人记录谁在什么时间做了什么,更别说审计;
- 小供应商的系统接入主系统,但自身几乎没安全能力,却能拿到过大的权限;
- 云上资源开得很散,开发测试环境、实验环境随便搭,端口长期裸露在公网。
在我们内部推动供应链安全时,我会坚持几件事:
- 和核心供应商签安全条款,不是“吓人”的条款,而是明确责任边界、数据要求;
- 对接入内部系统的外部账号,全部进行分级管控和日志记录;
- 云上资产统一管理,定期梳理哪些实例、哪些存储桶对公网开放。
企业安全,不再是一家公司自己的事情,而是整条业务链的共同作业。你可以把它理解成:你再稳,链条上只要有一个环节是“纸糊的”,问题迟早会从那里钻进来。
作为CISO,我有一个非常矛盾的感受:安全做得越好,别人越觉得你“不重要”,因为什么都没发生。安全一旦出问题,所有人都盯着你,问为什么没防住。
那种心理压力,是很真实的。我见过在大事故后彻夜难眠的运维主管,也见过在用户隐私泄露后不得不出面道歉的业务负责人。这不是某个岗位的锅,而是整个组织对“企业安全”的认知和投入,是否匹配这个时代的风险环境。
如果你看到这里,或许可以从三个小动作开始,立刻改善你所在公司的安全状况:
- 和你的IT/安全同事聊聊:问问他们最近最担心的风险是什么,而不是只问“买这些东西有啥用”。
- 把这篇文章里的那张“资产敏感度”表,在心里给自己的企业画一遍:哪些数据和系统,一旦出事,你知道公司撑不住?
- 在下一次预算讨论或项目规划时,把“安全”提前成为一个议题:不是事后补一个“安全模块”,而是从设计阶段就问一句:“如果这块被打穿了,我们准备好了没有?”
企业安全从来不是一场“炫技”,而是一场长期的、和现实世界妥协又坚持的博弈。身在其中多年,我越来越清楚一件事:真正决定企业安全上限的,不是买多少工具,而是管理层有多愿意正视风险,员工有多愿意为安全多停一秒钟。
如果这篇从内部视角写下的经历,能让你在下一个“看起来只是多点一次确认”的瞬间,多一点谨慎,那我们就算在同一阵线上,为你的企业守住了一点点不被看见的安全边界。
