网安大咖说·镜鉴栏目通过对网安大咖说嘉宾访谈内容的深度提炼，撷取群英论道之精髓，汇聚众智谋策之高远，为从业者提供宝贵的经验和启迪。集思广益、博采众长，意在以镜为鉴，观网安之百态，立防范之策略，计网安之未来。

网安大咖说第一期：拐点已至——2023安全新风口邀请了国投证券安全总监李维春和中银证券科技风险与安全负责人蒋琼为栏目嘉宾，以《网络和信息安全三年提升计划(2023-2025)》（以下简称《安全提升计划》）征求意见稿出台为背景，分析当前网络安全领域的主要发展趋势以及企业CSO应对未来安全挑战的策略。

蒋琼：在制定计划和指标时，我们确实需要充分考虑企业的实际情况和资源能力。如果某些指标设置得过高或过于理想化，可能会导致企业在实施过程中遇到难以克服的困难，从而影响整个计划的推进。

因此，我建议我们在制定计划和指标时，要更加注重实际可行性和可操作性。我们可以结合企业的历史数据、现状和发展趋势，制定出既具有挑战性又切实可行的目标和指标。同时，我们还需要在实施过程中不断调整和优化计划和指标，确保它们能够真正反映企业的实际情况和进步。

另外，您提到的“先回看自己的本身”这一点非常关键。我们需要深入了解自身的资源和能力状况，明确自身的优势和不足，从而制定出更符合自身实际的计划和指标。这样不仅可以提高计划的实施效果，还可以增强企业的自信心和凝聚力。

总之，我们在制定计划和指标时，要充分考虑企业的实际情况和资源能力，注重实际可行性和可操作性，并在实施过程中不断调整和优化。同时，我们还需要保持开放的心态和务实的作风，不断学习和借鉴行业最佳实践，推动企业安全发展不断迈上新的台阶。

李维春：首先，关于信息安全、网络安全到现在的网络和信息安全，这些概念的演变确实反映了行业的发展和需求的深化。简单来说，信息安全最初主要关注的是数据的保密性、完整性和可用性；随着网络的普及，网络安全开始强调网络系统的稳定性和防护能力；而现在的网络和信息安全则更加全面，涵盖了网络、系统、数据、应用等多个层面的安全保障。

我们的工作，就是在这样的背景下，确保组织的信息资产在网络环境中得到全面的保护。

其次，关于态势感知平台的建设，您提到了金融行业人行已经在建，证券行业是否还需要重复建设的问题。

确实，资源共享和避免重复建设是我们在进行信息化建设时需要考虑的重要因素。如果现有的态势感知平台能够满足证券行业的需求，那么确实没有必要再进行重复建设。然而，我们也需要考虑到不同行业的特殊性和差异性，以及现有平台可能存在的局限性和不足。因此，在决定是否建设自己的态势感知平台时，需要进行充分的调研和评估，确保决策的科学性和合理性。

总的来说，我们在进行信息安全和网络安全工作时，需要紧跟行业的发展趋势和需求变化，同时也要结合自身的实际情况和需求来进行决策和规划。在资源共享和避免重复建设方面，我们需要进行充分的调研和评估，确保资源的有效利用和最大化价值发挥。

蒋琼：这份文件确实具有普世意义，它强调了安全在全面性、准确性和大格局上的重要性。无论是金融行业还是制造业实体行业，都需要关注这些方面来确保网络和信息安全。

首先，全面性意味着要从各个方面来考虑安全问题，包括数据日志的收集、态势感知的建设等。只有全方位地感知和分析安全态势，才能更全面地了解系统的安全状况，及时发现和应对潜在的安全风险。

其次，准确性对于安全来说至关重要。无论是代码审计还是警告类的误报处理，都需要力求准确。虽然在实际操作中，要达到完全的准确性可能存在一定的困难，但这份文件仍然鼓励我们向这个方向努力。通过不断提升技术和方法，我们可以逐渐提高安全工作的准确性，减少误报和漏报的情况。

最后，大格局意味着要从整个公司的角度来考虑安全问题。这份文件不仅仅是安全团队人员需要阅读的，更是公司管理层和执行委员会等层面的人员需要关注的内容。只有当整个公司都认识到安全的重要性，并将安全纳入公司的战略规划和日常运营中，才能真正建立起大安全的体系，并得到认可和推进。

因此，这份文件所体现出来的全面性、准确性和大格局的特点，对于任何一个行业来说都是适用的。通过学习和借鉴这份文件的理念和做法，各行业可以结合自身实际情况，制定出更加有效的网络和信息安全策略，提升整个行业的安全水平。

李维春：《网络和信息安全三年提升计划》征求意见稿一经发布，便在业界引起了广泛的关注与讨论。其中，投入资源的问题成为了大家关注的焦点。有些企业或个人看到计划时，本以为能够从中获得更多的资源支持，以实现提升的目标。然而，当他们深入了解后，可能会发现，自己在这方面的投入已经达到了甚至超过了计划中的标准。因此，如何准确地量化这些资源投入的标准，便成了一个复杂且颇具挑战性的问题。

我认为，为了更好地实施这一计划，接下来必然会对投入资源的量化标准进行更为细致的划分。这种划分将基于不同企业的规模和不同行业的特性，以确保标准的针对性和有效性。同时，计划的核心思想仍然是鼓励企业或个人加大投入，以提升网络和信息安全水平。为此，可能会出台一系列的奖励或嘉奖措施，以激励更多的参与者积极投入。

此外，我还注意到，这次计划对内部人员的能力提升也给予了充分的关注。如果内部的安全能力能够达到一定的标准，同样会获得相应的嘉奖。这同样适用于资源投入方面。具体来说，计划提倡一种“带条件制约的加大投入”的策略。

那么，什么是“带条件制约的加大投入”呢？简单来说，就是在鼓励加大投入的同时，也要求企业或个人在治理层面进行投入效益的分析。这意味着，我们不仅要关注投入的数量，更要关注投入的效果。只有在投入效益分析的基础上，我们才能更好地体现治理的职能，确保投入的合理性和有效性。这样，整个计划就会更加贴近实际，更具可操作性。

综上所述，网络和信息安全三年提升计划征求意见稿在投入资源领域引发了广泛的关注和讨论。为了更好地实施这一计划，我们需要对投入标准进行更细致的划分，并采用“带条件制约的加大投入”的策略，以确保投入的合理性和有效性。

李维春：前文我们提到的关于安全为业务服务、关注新技术新思想、具备架构思维以及重视人才培养的观点，非常具有洞察力和实践指导意义。

首先，安全确实需要紧密围绕业务展开。作为安全团队的负责人，必须深入了解公司的业务需求和目标，明确安全在业务中的价值和产出点。通过为业务提供安全保障和支持，安全团队能够为公司创造更大的价值，同时也提升自身在公司中的地位和影响力。

其次，关注新技术新思想是安全团队不可或缺的能力。虽然不一定需要跟随每一项新技术的潮流，但要保持对新技术的敏感度和学习能力，以便在合适的时机采用新技术来提升安全水平。新技术往往能带来更高效、更精准的安全解决方案，为业务的发展提供有力支撑。

第三，具备架构思维是安全团队进行体系化工作的关键。一个完整的安全架构应该包括从源头到末端的所有环节，确保每个环节都得到充分的关注和保障。通过大规划小实施的方式，安全团队可以逐步建立起一个完善的安全体系，为公司的业务发展提供坚实的安全基础。

最后，人才是安全工作的核心。提升安全队伍的人员能力、凝聚力和潜力激发至关重要。通过培训、激励和团队建设等方式，安全团队可以不断提升自身的专业能力和协作精神，为公司创造更大的安全价值。

综上所述，作为安全团队的负责人，需要全面考虑安全工作的各个方面，确保安全为业务服务、关注新技术新思想、具备架构思维以及重视人才培养。这样才能建立起一个高效、稳定的安全体系，为公司的业务发展提供有力的保障。

李维春：首先，关于厂家和合作伙伴的态度问题，确实有一部分人还停留在传统的销售产品思维模式中，而没有真正站在甲方的角度去思考和解决问题。然而，我们可以看到这种趋势正在向好的方向发展，越来越多的厂家和合作伙伴开始注重解决问题和提供服务，这是非常积极的。

其次，行业喜欢新名词的现象也是一个值得注意的问题。虽然新名词的出现代表着行业的进步和发展，但是如果过于追求形式而忽略了本质，就会导致一些不必要的混乱和误解。因此，我们应该更加注重对事物本质的探索和理解，以及真正能够给企业带来价值的东西。

最后，证券行业的强监管特点也是一个值得深思的问题。确实，强监管可能会给行业的发展带来一些束缚和限制，但是如果我们能够行业内各方共同努力，共同想办法去推动和解决这些问题，相信一定能够找到更好的平衡点，让行业在合规的前提下实现更大的突破和发展。

总的来说，我们应该共同努力，推动行业向更加健康、稳定和可持续的方向发展。

蒋琼：维春老师提到的行业风气务实化、甲乙双方共同成长以及解决方案的接地气等观点都非常具有现实意义。确实，随着行业的发展和市场的成熟，越来越多的合作伙伴开始注重解决实际问题，与甲方共同成长，这无疑是一种积极的趋势。

同时，维春老师也提到了对安全厂商和产品更高的要求，这既包括被动性的安全要求，如确保产品本身的安全性，也包括主动性的创新要求，如开放性的创新思维和合作方式。这些要求都体现了行业对于安全工作的重视和期待。

对于如何达到这些要求，需要有开放性的创新思路，通过甲乙双方的努力和碰撞，结合各自领域的深刻理解，共同推动创新和发展。这种开放、合作的创新模式，不仅能够提升解决方案的实用性和示范价值，还能够促进行业的整体进步。

最后，随着技术的不断进步和市场的不断变化，我们需要保持开放的心态和务实的作风，不断推动行业的创新和进步。

注：2023年6月9日，中国证券业协会正式印发《证券公司网络和信息安全三年提升计划（2023-2025）》（简称《安全提升计划》），明确了六大类31项主要任务，其中，鼓励信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%；鼓励有条件的券商结合自身实际情况逐步提升信息科技专业人员比例至企业员工总数的7%等。本期讨论内容为2023年1月《安全提升计划》征求意见稿出台背景。