感谢您阅读《网络安全之：等保测评机构大环境与背景》，本篇为您继续介绍网络安全和等保测评机构的内容，您可前往信创致远http://www.dengbao110.com/查看完整版内容。

接下来,切入本章正题,企业安全是什么？我认为它可以概括为：从广义的信息安全或狭义的网络安全出发,根据企业自身所处的产业地位、IT总投入能力、商业模式和业务需求为目标,而建立的安全解决方案以及为保证方案实践的有效性而进行的一系列系统化、工程化的日常安全活动的集合。怎么感觉有点咬文嚼字？实际上,这里面的每一个项都会决定你的网络安全整体方案是什么，等保测评机构 做等保测评对哪怕同是中国互联网TOP10中的公司，安全需求也完全不一样。

有人也许会觉得CSO干的活有点虚,但凡偏管理都是纸上谈兵。我不直接回答这个问题,我只举一个例子，大多数身在这个行业的人都知道社工库遍地都是，入侵者甚至站在了大数据的维度，国内的数据库绝大多数除了password字段加盐值存储之外,其余信息都以明文保存。而在欧美等地隐私保护是有明确的法律规定的,映射到数据持久化这个细节,就是需要满足一定强度以上的加密算法加密存储。CSO就是需要制定这些策略的人,难道说这些都是形而上学无用的安全措施吗？在互联网公司,网络安全负责人会较多地介入到日常技术性活动中,但随着组织规模的扩大和行政体系的加深,CSO不再可能像白帽子一样专注于攻防对抗的细节,这也是一个无法回避的现实问题。是不是一定要说出诸如CSRF时IE和其他浏览器的区别,才算是合格的CSO？我觉得这要看具体场景,对于国内排名TOP10以后的互联网企业,我觉得这个要求也许勉强算合理范畴,但对于规模非常庞大的企业而言,这个要求显然太苛刻了,比如我所在公司,CSO属于法务类职位而不是技术类职位。

不想当将军的士兵不是好士兵,虽然有人想走纯技术路线,但是仍有很多想过要当CSO。CSO这个职位跟某些大牛表达的不完全一致,所以下面的篇幅会继续写,至少在技术层面,CSO不会只停留在微观对抗上,而是会关注系统性建设更多一点。