2018年,我朋友在广州经营一家有50家连锁门店的餐饮企业,因为业务系统遭受勒索病毒攻击,被迫全面启动《网络安全法》合规整改。当时我们以为只是购买几台设备就能过关,但实际的投入账本却远比想象复杂,今天就来分享这段真实经历。
第一笔大额投入是网络安全等级保护测评,我们找了广州本地的测评机构,对核心的会员系统和支付系统进行定级和测评,花费了约8万元。紧接着是整改阶段,我们购买了下一代防火墙、入侵防御系统和日志审计设备,总投入接近15万元。更让人头疼的是人员成本,我们不得不招聘一名专职安全运维工程师,年薪约12万元,还要安排全员进行每年两次的网络安全培训,每次花费约2万元。
最让我们意外的是持续性的投入。除了设备每年需要续保(约3万元),我们还需要购买云安全防护服务(年费2万元),并委托第三方进行每半年一次的渗透测试(每次1.5万元)。算下来,第一年直接投入超过40万元,后续每年还要维持近20万元的运营成本。虽然这个数字让老板肉疼,但回想起来,正是这些投入帮我们建立了基本的安全防线,至少再没出现过大规模数据泄露事件。