文章总结： 防火墙失效主要是治理问题而非技术问题，核心在于人的能力与责任。数据显示超60%防火墙存在高危配置。文章建议组织应明确责任归属、确保持续合规、衡量业务相关结果、改进流程并关注风险而非活动量。最终结论是，只有能力匹配的人才能确保防火墙策略的有效运行，人的能力是安全治理的第一依赖。 综合评分： 95 文章分类： 安全建设,网络安全,安全运营,解决方案,安全意识

没有正确的人，再先进的防火墙也会被配置成高危

祺印说信安

2025年12月15日 00:01 甘肃

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

防火墙失效并不是技术问题，而是治理问题。

而治理体系中的核心变量，始终是——“人”。

在现代复杂网络环境中，防火墙的有效性不取决于它的品牌、性能或功能，而取决于是否有足够技术能力与责任意识的人对其进行管理、验证和不断演进。

换言之，防火墙从来不是自己失效，而是人与组织机制使其失效。

企业防火墙失效并非技术缺失，而是因为责任不明确、流程不一致，且没有以结果为衡量标准。FireMon Insights的最新数据显示：超过 60%的企业防火墙在首次评估中未能通过高危合规性检查，超过三分之一的防火墙甚至在最关键级别也未能通过。

这些并非个别错误，而是治理缺陷的征兆，无法通过更换工具、组建团队或仓促调整来解决。

大规模安全是一个治理问题。

如今的防火墙不再仅仅位于网络边缘。它们协调着混合数据中心、多云平台、边缘服务以及数千个分布式终端之间的访问。曾经静态的边界如今已演变成一个动态的、不断变化的接入点和策略网络。

当策略偏离、规则蔓延和配置错误发生时，问题就不仅仅是技术上的，更是运营上的，甚至是战略上的。这表明没有人真正负责确保防火墙能够按照业务预期运行。

我们看到的这些模式并非偶然。它们源于组织如何分配责任、执行政策和评估绩效。而这正是NIST网络安全框架2.0新增的“治理”功能如此重要的原因。它指出了许多董事会仍然忽略的一点：缺乏治理的控制措施只是徒劳无功。如果无法证明其有效性，那就等于无效。

Verizon数据泄露调查报告年复一年地讲述着类似的故事：人为错误、仓促的变更、流程管理不善。根本原因通常并非缺少防火墙规则，而是缺乏证据证明该规则在不断变化的环境中仍然有效。

要想在这个领域保持领先地位，治理必须不再是事后才考虑的问题，而必须成为一项核心职能，一项真正意义上的所有权、衡量标准和问责机制。

这就是它在实践中的样子。

以治理为先的组织会做到以下五件事。

1. 明确责任归属，避免职责模糊。防火墙策略风险常常被团队间的沟通鸿沟所掩盖。应指定一位高管负责，不仅在审计期间，而且在日常运营中也应如此。赋予其权力，使其能够阻止变更、标记风险并推动策略的健康发展，例如确保正常运行时间和控制成本。

2. 确保合规持续进行。季度审计只是快照，而企业环境每时每刻都在变化。应将高严重性违规行为视为生产环境漏洞，并明确责任人、服务级别协议 (SLA) 和真正的问责机制。将自动化策略检查嵌入到变更工作流程中。

3. 衡量与业务相关的结果。规则数量和变更量并非成功的指标。应追踪违规修复的中位时间、预先模拟的变更百分比或已知所有者的规则百分比。将这些数据与可用性和安全性关键绩效指标 (KPI) 一起报告。

4. 改进上游交接流程。太多策略失败都源于应用团队临时提出的不明确的请求。必须要求提供上下文信息、最小权限原则，并将规则过期时间与应用生命周期挂钩。如果应用停止运行，其策略也应随之停止。

5. 衡量风险，而非活动量。在能够证明持续改进之前，不要宣布成功。将自身的风险状况与同行或公司历史数据进行比较。战略应以证据而非希望为依据。

防火墙故障的真正代价是返工、延误和信任的丧失。

防火墙故障不仅仅会导致审计发现，还会造成服务中断、产品发布延迟，并迫使安全团队构建脆弱的例外规则，完全绕过安全策略。当团队无法证明其控制措施的有效性时，他们往往会诉诸一些简单粗暴的手段，例如一刀切的规则、紧急变更和手动变通方案。

这些决定都会增加复杂性，削弱安全性，并削弱审计人员、客户和监管机构的信任。

是时候像对待财务治理一样对待防火墙治理了。

我们要求首席财务官对财务控制的有效运作负责。我们将正常运行时间作为一项运营指标。为什么安全控制就应该例外呢？

防火墙强制执行技术已经成熟。目前缺失的是战略性的纪律，一个精心设计的管理体系，包括所有权、自动化、衡量指标和文化，以确保策略能够大规模有效执行。在这个体系中，每条规则都有其目的、计划和失效日期。

防火墙故障并非不可避免，而是我们运行机制中预先设计好的。

这些数字令人担忧。但真正的关键在于：问题不在于技术，而在于管理。

董事会不需要更多的防火墙规则。他们需要的是每天都能证明政策治理有效的证据。而这一切始于一个决定：是将其视为一项战略职能，还是继续像应对突发事件一样应对失败？

组织需要明确负责人、持续自动化合规、基于业务结果设定KPI、推动最小权限与规则生命周期管理，并以风险变化而非工作量衡量成效。最终结论是：防火墙失败不是技术问题，而是管理问题；要避免失效，必须构建成熟的战略治理体系，使每条策略都被正确拥有、验证和持续改进。

设备再先进，没有能力的人也会配置成“高危”； 体系再完善，能力不足的人也会使其形同虚设。

因此，组织必须把“人才能力”的重要性放在与技术同等甚至更高的位置， 只有能力匹配的人，才能让防火墙真正做到“不会失效”。防火墙失效根本不是技术问题，而是人的能力与治理体系的问题。真正的安全能力必须依赖能力匹配的人去运行、验证和维护。

在动态、分布式的现代网络架构中，技术能力匹配的人决定了：

• 是否能落实最小权限
• 是否能防止策略漂移
• 是否能支撑业务快速变化
• 是否能让治理机制落地
• 是否能形成可审计、可证明的控制

换言之，没有正确的人，再先进的防火墙也会被配置成高危；有了能力匹配的人，才能使设备实现高水平安全。人的能力，是防火墙治理体系的第一依赖，也是最终保障。

— 往期回顾 欢迎关注 —

准备好了吗？等级测评师是时候开启新征程了

2025收集更新信通院白皮书系列合集（665个）下载

什么是真正的信息安全服务？“专业公司”“专业人士”误导“安服”概念有多严重？

——等级保护

从上海要求三级系统现场打卡200小时谈低价测评

欲等保定级先数据分类分级

浅谈重要数据识别与等级保护之间关系

新形势下的等级保护定级备案如何开展

——数据安全

《网络数据安全管理条例》解读

市场监管总局印发《网络交易合规数据报送管理暂行办法》

数据安全知识：什么是数据安全？

——工业控制系统

工业控制系统安全IEC 62443标准：概述

普渡大学工业控制系统安全模型

**一图读懂工业和信息化领域数据安全事件应急预案（试行）

——错与罚**

两家单位违反《网络安全法》被新乡市网信办行政处罚

关于“四川一科技公司因数据泄露被顶格罚款30万元”的几处疑点

——其他

浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案

精彩回顾：祺印说信安2024之前

祺印说信安2024年一年回顾

查看原文：《没有正确的人，再先进的防火墙也会被配置成高危》