当前,网络攻击已从 “是否发生” 的疑问,转变为 “何时来袭” 的必然,这已成为全球企业安全管理者的普遍共识。更为严峻的是,Proofpoint 于 2025 年 8 月发布的《首席信息安全官之声报告》显示,76% 的 CISO 预判未来 12 个月企业将面临重大网络攻击威胁,该比例较上一年的 70% 持续攀升;同时,高达 58% 的 CISO 坦言,其所在企业尚未具备有效应对网络攻击的能力。
企业网络安全体系建设推进艰难,首席信息安全官(CISO)主导的安全规划屡屡受阻,其背后究竟存在哪些核心瓶颈?本文结合多位行业安全领袖观点与多项权威调研数据,梳理出制约企业安全议程落地的四大关键问题,并提出针对性破局路径。
团队能力缺位:事务繁杂不堪重负,核心优先级难以锚定
当下,CISO 正承受着前所未有的职业压力。Nagomi Security《2025 年 CISO 压力指数报告》数据显示,80% 的 CISO 处于高压或极端高压状态,87% 表示过去 12 个月压力持续攀升,67% 甚至每周或每日均存在职业倦怠现象。
安全团队工作任务繁重已成为行业常态,优先级管控遂成为 CISO 的核心工作内容。但现实困境在于,多数 CISO 仅自身掌握优先级判定逻辑,未对团队开展系统化培训,导致团队成员无法独立做出契合企业安全战略的决策与行动。
Databricks 现场安全业务负责人 Omar Khawaja 指出,该问题将使 CISO 陷入事必躬亲的管理困境,既耗费高管核心精力,又大幅拉低团队整体运转效率。
破局思路:CISO 需构建清晰的决策支撑体系与优先级判定标准,明确高、中、低风险事项的划分依据,赋能团队成员自主、精准完成工作排序,推动权责下沉,聚焦核心安全任务,释放团队整体效能。
AI 发展脱节:业务端加速布局 AI,安全防护难以同步跟进
人工智能技术的高速迭代,推动企业纷纷加快技术转型,期望借助 AI 实现流程革新与降本增效。但与之形成强烈反差的是,多数 CISO 的安全管控节奏,远滞后于业务部门的 AI 应用速度。
Cyera《2025 年 AI 数据安全状况报告》针对 921 名 IT 与网络安全专业人士的调研结果令人警醒:83% 的企业已落地 AI 应用,但仅 13% 的企业可清晰掌握 AI 系统对敏感数据的访问与处理行为,16% 将 AI 作为独立身份主体进行管理,11% 可实现高风险 AI 行为的自动化阻断,仅 7% 设立了专职 AI 治理团队。
SANS 首席 AI 官 Robert T. Lee 表示,诸多 CISO 因安全顾虑,要么直接否决 AI 应用场景,陷入 “拒绝式安全防御” 思维;要么在 AI 安全评估环节过度滞后,拖慢企业数字化转型节奏。加之企业 AI 战略频繁调整,进一步导致安全团队防护目标模糊不定。
更为严峻的是,业务部门为快速推进 AI 落地,常绕过安全部门自主部署,直接催生影子 AI、未授权代理与非透明数据流,显著扩大企业攻击面,引发大量安全隐患。
破局思路:CISO 需以整体化思维适配企业 AI 发展,而非采用单点评估模式。先为企业核心数据建立风险档案,简化低风险数据的 AI 部署评估流程,聚焦中高风险数据的 AI 场景防护;同时向业务单元派驻安全专员,实时对接 AI 应用需求,定向培养团队 AI 项目评估与防护能力,摒弃盲目否定,实现安全管控与技术创新协同发展。
安全运营守旧:AI 赋能安全价值凸显,规模化落地仍显迟缓
一方面是安全团队跟不上业务端 AI 应用步伐,另一方面,CISO 自身在将 AI 融入安全运营的过程中,同样进展缓慢。尽管 AI 对网络安全的赋能价值已得到行业公认,但真正实现规模化落地的企业仍占少数。
ISC2《2025 年网络安全劳动力研究》针对 1.6 万名企业管理者的调研显示,仅 28% 的企业已将 AI 工具融入安全运营体系,19% 处于测试阶段,22% 仍停留在前期评估阶段。
ISC2 首席信息安全官 Jon France 直言,当前 CISO 群体在 AI 安全部署层面普遍处于 “追赶状态”。值得关注的是,已应用 AI 安全工具的企业中,63% 表示工作生产力显著提升。在 AI 对安全运营的短期价值贡献中,40% 受访者认为网络监控受益最为突出,其次为安全运营与安全测试(均占 30%)、漏洞管理(29%)等领域。
这充分印证,AI 在安全运营领域的实用价值已得到验证,应用落地的滞后,直接意味着企业安全运营效率的落后。
人才短板凸显:人员与技能双重缺口,安全建设缺乏人力支撑
人才困境始终是 CISO 推进安全议程的核心障碍,当下这一问题愈发尖锐,成为企业构建强健安全态势的主要制约因素。埃森哲《2025 年网络安全韧性状况报告》显示,83% 的 IT 高管将网络安全人才短缺列为提升安全能力的首要障碍。
ISC2 研究进一步揭示人才问题的两大核心矛盾:一是人员供给不足,2025 年 63% 的企业存在不同程度的网络安全人才缺口,虽较 2024 年的 68% 略有回落,但形势依然严峻;二是技能结构断层,2025 年 59% 的企业存在关键技能需求缺口,远高于 2024 年的 44%,95% 的企业至少存在一项技能短板,其中 AI 相关技能需求最为迫切(41%),其次为云安全(36%)、风险评估(29%)等。
Omar Khawaja 还提出全新视角:当前安全团队不仅缺乏技术能力与软技能,更稀缺“中间技能”,如风险管理、变革管理等。此类技能是推动安全工作与业务深度对齐、引导全员遵守安全规范的关键,技能缺失将导致安全工作推进处处受阻。
破局思路:面对外部人才市场环境,CISO 虽无法直接主导,但可制定系统化人才战略,以技能与能力为核心优化招聘方向,精准弥补团队技能缺口;同时强化 “中间技能” 培养,打造复合型安全人才梯队,以人才优势支撑安全议程高效落地。
企业网络安全体系建设,从来不是 CISO 的单兵作战,亦非安全团队的孤军奋战,而是需要企业全员协同、技术与人才双轮驱动的系统性工程。上述四大问题看似独立,实则相互关联:团队能力不足源于人才与培训缺失,AI 应用滞后受制于能力与视野局限,人才短板又从根本上制约能力提升与技术落地。
对 CISO 而言,突破安全议程落地困局,需从 “单兵作战” 转向 “体系化建设”:既要完善团队能力培养与决策机制,也要紧跟技术趋势实现 AI 双向赋能,更要构建适配企业发展的人才梯队。唯有如此,能让企业网络安全建设同步于业务发展节奏,在日趋复杂的网络攻击环境中筑牢安全防线。
