第1问，CSO为什么纷纷阵亡“安全门”？
　　在这个行当做了几年的CSO们，可能都知道网络安全是费力不讨好的活。AOL，美国退伍军人事务管理部和美国俄亥俄州大学的信息高管，都曾经因为网络安全事故而“下课”。近日，美国国土安全部计算机紧急响应组的头头Mischel Kwon从奥巴马政府中辞职，她是5年来第四位从计算机紧急响应组领导岗位退职的人士。
　　今年3月份，国家数字安全中心的主管Rod Beckstrom也告老还乡。他在自己的辞职信中抱怨称国家安全部门对国家数字安全中心提供的资金不足，而且还对其工作过度干涉。“这活儿太累了！”
　　而国内，许多CSO也深有体会，网络安全管理权限不大，但一出点屁大的事情，就要自己背黑锅救火，实在是个烫手的山芋。
　　为什么会这样呢？这要认清当前网络安全管理的形势。
　　形势之一，网络犯罪市场化、集团化
　　如果说前几年的网络黑客还是单兵作战，权作饭后消遣的话，则随着互联网用户资料与数据的积累与升值，越来越多的网络犯罪也逐步集团化、市场化，开始进行有组织、有纪律、有有预谋的攻击行动，这正是“流氓不可怕，就怕流氓有文化”。
　　形势之二，网络安全投入空心化、滞后化
　　网络犯罪团伙从游击战变成了阵地战，防御小组却踏步不前，不论从硬件、软件、人员、机制、知识上都相对滞后，因此，安全形势正在发生逆转，攻防的强弱均衡正在被打破，且攻方日渐占领主动，而领导往往由于“轻敌”或者“畏敌”，要么到出大事了再慌忙补救，要么干脆“鸵鸟政策”，因噎废食。
　　总而言之，在黑客水平和人数、组织性均有大幅提升的情况下，网络安全管理已经成为一场易攻难守、风险损失暴增的持续战，如果不能够扭转敌强我弱的趋势，则失败无可避免。
　　第2问，谁该为网络安全负责？
　　战争的目的是消灭战争。既然网络安全是企业和机构无法逃避的威胁，那么，就要正确面对，就要去亮剑，然而，一个错误的做法是，网络安全往往成为了CSO或者信息部门一个人的战斗。
　　Ponemon公司组织的调查表明，在谁该为网络安全负责这个事情上，CEO和CIO的认知充满矛盾。有53%的CEO认为CIO（首席信息官）应负责数据保护工作，而只有25%的下级高管持有同样的意见。
　　在中国，同样，许多领导和普通员工对网络安全的认知仍然处于小学生水平，也就天真的以为，网络安全交给CSO/CIO就可以高枕无忧了。许多领导分辨不清十分明显的邮件钓鱼程序，直到系统速度变慢或者崩溃，才气急败坏的打电话：“老李啊，我这笔记本怎么才用几天又不行了？”
　　所以，CSO应该让CEO和所有员工明白，防御战不是搞暗杀，派一支小分队就可以搞定的事情，需要全员皆兵，打一场持久战。这就同防病毒一样，你总不能指望一个卫生部长，对全国13亿人民的健康负责吧？

(责任编辑：)