笔者在2017年《网络安全法》颁布之时，就已经在法律条文分析中向当时的业内客户汇报了关于“HW行动”的开展的预测。其实展开来《网络安全法》的法律条文，HW行动的规划也数次被提及。

  当时预测的网络安全建设节奏应该是，立法及普法、扩大行业监督管理、提高演练频率，当初的预测或者说今天的治理历程如下图：

  除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

  国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

  （二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力。

  ▷ 其中，“定期组织”、“应急演练”就是我们今天看到的“HW行动”，而参与HW行动的大部分企业其实就等于《网络安全法》中描述的“关键信息基础设施”。

  国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

  负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

  ▷ 这条规定指导了省级单位、行业监管部门组织的“HW行动”或“应急演练”。

  这里也侧面解答了很多网络安全从业者和企业主的困惑：“我企业的网络一直很平稳，没出过什么大事儿，我不想花费这个预算，不做安全行不行？不演习不HW行不行？”

  答案是：不行。享有财产被保护是每个公民和企业法人的权利，保障行业合规维护国家互联网空间领土主权完整，行业稳定发展也是各位的义务。

  第一是因为我国宪法已经规定了公民的合法的私有财产受宪法保护。公民的合法的私有财产不受侵犯。这样的规定一是涉及到企业所服务的用户的个人财产安全。

  第二是企业在法律意义上其实也是一个完整的“法人”，其自身利益一样受法律保护，也就是说其企业所有者有义务保障企业的安全运营。

  第三是被定义为关键信息基础设施的行业牵动了大量的民生和基础设施保障问题，一旦遭受到攻击或出现信息安全事故对国家和人民的损失是巨大的。

  我们先来思考下为什么很多很多网络安全从业者和企业主会存在着：“我企业的网络一直很平稳，没出过什么大事儿，我不想花费这个预算，不做安全行不行？不演习不HW行不行？”这样的困惑？其最终的原因是因为我国公司发展的周期太短了、速度太快了。相比较于国外的公司发展的历史沉淀还过于年轻。

  在发展初期的核心目标一定是为保障市场的繁荣扩张，保护企业健康茁壮成长，所以此阶段国家在立法设置、合规管控、信息安全建设指导层面给予了相对微妙且平衡的节奏，这让我们拥有了快速地增长的20年，但同时也代表着我国大部分企业的信息安全水平是“不及格”的，甚至很多企业是“交白卷”的。

  从可持续发展的方面出发，我们依旧需要尽快的堵上这个窟窿。从现有的国际紧张的局势和竞争格局去看，信息安全能力也是我国企业的整体一个短板，非常容易被降维打击。企业的安全能力不以人的主观意志决定水平，不以安全人才的高低决定水准浮动，企业的信息安全攻防线一定是基础设施加制度流程加响应机制综合形成一个整体的有机能力。

  是的，和各位印象相反的是，HW行动是所有的建设方案中，成本最低的。相比于给出一套通用的行业建设标准，动辄几千万投入的“马奇诺防线”，HW行动其实是给企业一个动态寻找自身短板的过程，原有的投入无需浪费，找到企业核心的短板快速补足。

  我来给一个非常武断的观点，如果作为一个信息安全行业从业的读者，在读到上面两个篇章的时候只感觉到了乏味和枯燥，没有一点共鸣点，那很遗憾您并不是一位合格的从业人员，或是在这方面没有天赋，或是专业知识面储备欠缺。这并非是对笔者的认同感，而是说各位对国家在网络安全空间治理和企业安全治理的政策和出发点并没有深刻的理解。假如没有这方面的理解，那在企业做信息安全也永远是与企业主做成本与预算的对抗，并不能帮助到企业切身实地的将信息安全的ROI做到最优解。

  实际上近年来的HW行动，对于很多企业而言也确实走到了一个偏门的误区。进入到了一种为了HW而HW的状态。

  国家设计HW行动的初衷其实是让企业能够以最小代价、可迭代的找到自身的企业信息安全建设路径。HW行动本质是一场“测评”，其核心的意义不在于其过程，或者“通过”，而在于企业能通过本次“测评”发现多少自身能力的缺失，或是内部基础设施的短板，或是响应机制的短板，或是一些流程的不合理。当然这其中的原因复杂繁琐，或有企业的理解不到位，或有企业主的安全意识不足，或有测评监督管理的机构的力度过于严苛或者因为行业的“一刀切”。但无论如何，对于一家公司尤其是中大规模的公司，如果每年度的信息安全演习只有一次HW行动，每年集全公司力气护一次网，那无疑是遗憾的，毕竟真正的“敌人”不会如HW行动一般“一板一眼”，手段可控且将手段和威胁以及攻击周期提前通知到企业。

  更令人遗憾的是，企业仍旧习惯利用自己在甲方优势地位，每年在测评期间“借调人员”、“借调设备”，甚至将HW行动变成了一场分门别类的生意。一个行业如此发展注定是不能持久的，也不能给这个行业注入任何新的活力，如此做法的代价也终将有一天会从某些突如其来的事件中通知我们答案。“作弊”代价的种子早已经埋下，问题是谁来为这样的错误进行买单罢了 。

  企业该如何利用HW行动的思路，来实现企业信息安全的有机建设。这里我们提出一个概念叫做信息安全弹性能力。其核心思想是：企业压根没必要建设极高成本的安全马奇诺防线，只需要建设符合自身水准的安全能力即可，只需要具备发现风险的能力及向监管机关及时汇报的制度和流程。

  当然这样的核心思想也并非笔者杜撰或是原地感悟出来的，这就是等级保护的核心思想，分级而治。企业并不要承担来自未知的极度不确定的威胁的代价，企业只需要做到对应自身企业标准，有能力响应有能力汇报即可。这也是怎么回事各位在HW行动过程中，不只有防护的过程还要发现风险及时上报的原因，也在训练企业的响应上报机制。

  6. 人才培育，构建企业内部的人才教育培训机制，培育企业自身的信息安全人才以及IT人才的信息安全能力；

  由于篇幅原因，笔者就不继续深入拆解更为详细的解决方案和治理经验了，有感兴趣的小伙伴可以咨询网安加学院进行仔细地了解，本文内容仅供参考，不提供任何实际在做的工作中的指导意见。返回搜狐，查看更加多