第3问，CSO需要什么样的资源？
　　我们曾经接触过一家迷你企业，其负责人谈到网站安全，就是一个头三个大，但我们一看，居然连个像样的硬件防火墙都没有，要他增加投入，他却含糊其辞，指望着通过什么打补丁，安装软件防火墙就可以搞定，结果其网站仍然是三天两头被黑/被挂马。
　　与缺资金相比，CSO可能更缺的是人。
　　在许多组织内部，人的编制是固定而不变的。因此，几乎就没有专人去负责网络安全。对于一个生产食品的传统企业来说，在被黑之前还无伤大雅，但对于一家网络游戏企业来说，则无异于自杀。
　　虽然说“巧妇难为无米之炊”，但这个话说起来容易做起来难。CEO需要给CSO必须的弹药/粮草才能打好。那么，CSO需要什么样的资源呢？
　　不妨将网络安全看作一次守城战斗，通常的做法是，首先建立城墙，把城内与外界分割开来，阻断其与外界的所有联系，然后再修建几座城门，作为进出的检查关卡，监控进出的所有人员与车辆，是安全的第一种方法，这就是防火墙和UTM（Threat Management））设备（多重网关）应用原则。
　　为了防止入侵者的偷袭，再在外部挖出一条护城河，让敌人的行动暴露在宽阔的、可看见的空间里，为了通行，在河上架起吊桥，把路的使用主动权把握在自己的手中，控制通路的关闭时间是安全的第二种方法。这就是网闸的原型，其思想和白名单有类似之处，只允许好人通过，防火墙不允许坏人通过，两个思路刚好相反且互相补充。
　　对于已经悄悄混进城的“危险分子”，要在城内建立有效的安全监控体系，比如人人都有身份证、大街小巷的摄像监控网络、街道的安全联防组织，每个公民都是一名安全巡视员，只要入侵者稍有异样行为，就会被立即揪住，这是安全的第三种方法。这就是数据交换网技术/IAM（Identity and Access Management，身份识别与访问控制）和SIM（security information management安全信息管理）/SEM（security event management安全事件管理）/ SIEM/GEM（global event management全局事件管理）的原型。
　　总之，CSO必须争取到资金/设备/人员的全面支持，才能构架一个包含威胁管理/身份识别与访问控制/安全检测与报警为一体的安全环境，在中国，重硬轻软是通病，需要加强的恰恰是人员/机制/软件等软性因素。
　　第4问，怎么解决人才短缺问题？
　　打防御战，最为难得的是以弱胜强，“太原之战”李光弼以1万胜10万，“空城计”诸葛亮以两三小卒退司马懿15万大军，都堪称典范。
　　如果CSO能够得到全力支持，则在人才水平不够的问题上，可以通过挖角甚至招安来解决，在人才数量不够的情况下，可以通过招募来解决。
　　但现实的情况下，公司的董事会那帮人对于腐败的事情可以睁眼闭眼，但对增加安全人员编制的提案却往往用缓兵之计，CSO该如何是好？
　　部分CSO也采用了“空城计”，比如，在外网上，只放静态信息而没有任何动态信息。让黑客觉得没有攻击价值就懒得攻。这个策略在前几年还可以奏效，但现在，由于挂马的流行，空城也变得有价值起来，这条计谋已经难以再次应用。
　　而反观“太原之战”，李光弼以1万胜10万，则与其善用挖地道的“工兵”举措休戚相关。当对方主将还稳坐中军帐，准备接受对手的投降时，却突然地面塌陷，整个1000多人全部沉入地下，军队大乱，7万人溃败。这就是人才培训与流程或制度优化的重要所在。
　　总而言之，CSO在平时就要注重网络安全人才的培训（包括知识普及）和建立一套行之有效的流程与制度，从而可以最大化发挥既有设备/人员的优势，核心在于让黑客攻击成本/时间增加，我方防御成本/时间降低。

(责任编辑：)