研报解读|《2025年思科网络安全就绪度指数报告》

今天解读的这份报告是思科发布的第三届年度网络安全就绪度调研，调研覆盖全球 30 个市场、8000 家企业及安全负责人，采用双盲调研形式。

当下生成式 AI 全面普及，深刻改变企业科技架构，也让网络安全环境变得更为复杂，报告便围绕 AI 时代下企业网络安全整体现状、五大安全评估支柱、不同行业与企业规模的能力差异、现存问题以及优化建议展开分析。整体来看，全球企业网络安全就绪度和上一年基本持平，AI 在提升安全防御能力的同时，也催生了各类新型网络威胁，目前大部分企业的安全防护依旧停留在初级阶段。

在整体现状与核心数据方面，AI 带来的双面影响十分突出。过去十二个月里，86% 承担安全管理工作的企业管理者都遭遇过至少一起和 AI 相关的安全事件，然而仅有 48% 的企业员工清楚攻击者会如何利用 AI 发起攻击，也只有 45% 的企业拥有足够的内部资源与技术，能够开展全面的 AI 安全风险评估。有意思的是，仅 10% 的企业将 AI 视作安全防护工作里最大的难点，可现实中依托 AI 打造的网络攻击手段还在持续升级。报告将企业网络安全就绪度划分为成熟、进阶、成长、入门四个等级，近两年整体数据变化不大，其中达到成熟级别的企业占比 4%，较往年小幅上涨，这类企业搭建了完善且先进的安全防护体系；进阶级企业占 26%，已部署多款安全方案，防护水平高于行业平均；成长级企业占 61%，仅落地了部分安全措施，防护能力偏弱；入门级企业占 9%，只配备了基础的安全工具。综合来看，成长级与入门级企业合计占比达到 70%，意味着绝大多数企业安全能力存在明显短板，很难应对不断演变的网络威胁。

目前高发的 AI 安全攻击类型分布清晰，模型被盗或是遭到未授权访问的情况占比 43%，AI 加持的社工诈骗、深度伪造、钓鱼攻击占比 42%，数据投毒、提示注入攻击、训练数据泄露的占比分别为 38%、35% 和 26%，各类 AI 攻击已经形成完整的攻击链条。同时企业在安全运营中还面临诸多共性难题，影子 AI 风险尤为突出，22% 的企业对公共 AI 工具没有设置访问限制，60% 的 IT 团队无法查看员工使用生成式 AI 时输入的指令，同样有 60% 的企业没办法识别员工私下使用未授权 AI 工具的行为，极大增加了敏感数据泄露的风险。混合办公模式也进一步扩大了安全攻击面，31% 的员工平均每周会登录六个不同的办公网络，84% 的员工使用非企业托管设备接入内网。另外多数企业存在安全工具冗余的问题，70% 的企业配备了十款以上安全工具，26% 的企业工具数量更是超过三十款，77% 的企业反映繁杂的工具拖慢了威胁检测、应急响应与故障恢复的效率。安全人才短缺也是行业普遍痛点，86% 的企业认为人才不足是阻碍安全建设的关键因素，其中 39% 将其认定为重大难题，53% 的企业有十个以上安全岗位处于空缺状态，88% 的企业安全团队人员缺口比例超过一成。预算层面，虽然 98% 的企业计划增加安全领域投入，但预算增长速度有所放缓，如今仅 45% 的企业会将超过一成的 IT 总预算划分给安全板块，相比往年有所下降，安全资源的增长速度已经跟不上企业整体 IT 业务的扩张节奏。结合 2025 年企业规划来看，大家的安全投入方向也有明确倾向，63% 的企业选择升级现有的安全方案，58% 计划布局 AI 类安全技术，55% 打算新增安全解决方案，还有 44% 的企业将重心放在员工安全培训与安全人才招聘上。

报告设置了五大核心安全支柱作为主要评估维度，分别是权重占 25% 的身份智能、25% 的网络韧性、20% 的设备可信、15% 的云安全加固以及 15% 的 AI 安全加固。整体而言五大维度的成熟度普遍偏低，只有设备可信板块实现了明显提升。身份智能板块权重占比最高，数据显示 60% 的安全事件都源于身份漏洞，攻击者常利用被盗的合法账号进行横向渗透与权限提升，这类问题也难以被及时检测。目前该板块达到成熟水平的企业仅占 6%，发展进度缓慢，企业主流部署了身份行为分析、持续性风险访问分析等工具，无密码认证的落地率仅有 36%，同时 29% 的企业把身份防护列为首要安全挑战，也有近半数企业开始将 AI 融入身份安全体系，用来识别异常风险。

设备可信是五大支柱中表现最好的一项，受混合办公与物联网普及影响，非托管设备数量激增，倒逼企业加强相关防护，该板块成熟企业占比从往年的 7% 提升至 12%。当下防火墙、设备完整性认证、设备行为异常检测等工具部署率较高，46% 的企业借助 AI 开展设备监控与威胁识别，并且在未来十二个月里，有 53% 的企业计划部署移动设备管理系统。网络韧性权重同样为 25%，也是当前风险最高的领域，混合办公普及、AI 流量激增、数据中心不断扩容，都让网络防护压力持续加大，该板块成熟企业仅占 7%，整体能力甚至出现倒退，部分企业从进阶级滑落至成长级。31% 的企业认为网络防护是五大领域中最难应对的工作，老旧漏洞长期得不到修复也是普遍现状，虽然防火墙、网络异常检测、加密流量分析等工具已有不少企业部署，但完整落地运行的不足半数，47% 的企业尝试用 AI 强化网络防御，超半数企业计划在一年内完成网络分段改造工作。

云安全加固板块连续两年表现垫底，成熟企业占比仅 4%，进展几乎停滞。目前主机防火墙、可视化分析类工具落地相对较多，而混合零信任、跨云策略统一管理等高阶安全方案部署率偏低，仅在 36% 至 40% 之间，46% 的企业运用 AI 提升云防护能力，同时七成多暂未搭建云安全体系的企业，计划在一到两年内完成相关部署。AI 安全加固板块成熟企业占比 7%，和上一年持平，依旧是企业安全防护的短板之一。行业内对安全自动化的接受程度有所区分，97% 的企业可以接受部分安全工作自动化，但仅有 33% 愿意实现全面自动化。现阶段 89% 的企业利用 AI 做威胁情报分析，85% 用于威胁检测，71% 用于威胁响应，70% 用于事件恢复，不过各环节真正实现全面自动化的比例很低，以威胁检测为例，全自动化落地比例仅 27%，企业主要顾虑集中在技术落地难度大、合规存在风险、AI 模型适配性不足等方面。

从不同行业和企业规模的角度来看，科技服务、媒体通信、自然资源这几大行业整体安全就绪度偏高，成熟企业占比达到 6%。批发、医疗等行业安全基础薄弱，入门级企业占比偏高，其中批发行业入门级占 15%，医疗行业占 14%，自然资源行业入门级占比也达到 16%。不同行业对于 AI 安全威胁的认知也存在差距，科技与金融行业的认知程度最高，有 55% 的相关从业者能够清晰认知 AI 攻击风险，而医疗行业的认知水平最低，仅有 39%。