在當(dāng)今的企業(yè)數(shù)字環(huán)境中，網(wǎng)絡(luò)安全建設(shè)早已不是簡(jiǎn)單的IT技術(shù)問(wèn)題，而是被上升到公司數(shù)字化轉(zhuǎn)型發(fā)展和安全生產(chǎn)責(zé)任的治理層面，確保網(wǎng)絡(luò)安全是每個(gè)現(xiàn)代企業(yè)組織都應(yīng)努力實(shí)現(xiàn)的目標(biāo)。然而企業(yè)要真正做好網(wǎng)絡(luò)安全工作并不容易，很多組織為網(wǎng)絡(luò)安全建設(shè)付出了巨大的努力和投資，卻始終難以獲得預(yù)期的效果，就像走進(jìn)了一個(gè)巨大的迷宮中，跌跌撞撞的同時(shí)也充滿了誤區(qū)和陷阱。

面對(duì)以上困擾，Bondgate IT公司運(yùn)營(yíng)總監(jiān)Damien Harrison認(rèn)為，現(xiàn)代企業(yè)需要有一份清晰的行動(dòng)準(zhǔn)則和計(jì)劃，來(lái)指導(dǎo)企業(yè)如何更有效地開(kāi)展網(wǎng)絡(luò)安全建設(shè)工作，這樣才能充分發(fā)揮網(wǎng)絡(luò)安全工作的全部?jī)r(jià)值。通過(guò)參考微軟公司的一份學(xué)習(xí)資料《安全的不可變法則》，Harrison梳理總結(jié)了網(wǎng)絡(luò)安全建設(shè)中應(yīng)遵循的10條建設(shè)原則。

法則一：網(wǎng)絡(luò)安全投資是為了獲取價(jià)值，而不是追求絕對(duì)的安全

企業(yè)在開(kāi)展網(wǎng)絡(luò)安全建設(shè)時(shí)，需要嚴(yán)格避免不計(jì)成本地追求絕對(duì)的安全性。因?yàn)樵谌魏紊虡I(yè)活動(dòng)中，投資和價(jià)值都是密不可分的。只有價(jià)值才能證明投資的合理性。而在數(shù)字世界中，并不存在絕對(duì)的安全性，沒(méi)有任何一個(gè)系統(tǒng)能夠做到完全不可能被攻破，但是卻可以通過(guò)合理的保護(hù)措施，使其不會(huì)成為攻擊者的主要關(guān)注目標(biāo)。

在數(shù)字世界中，攻擊者經(jīng)常會(huì)尋找最容易攻破的系統(tǒng)，而不是那些需要大量時(shí)間、資源和專(zhuān)業(yè)知識(shí)的系統(tǒng)。這就是“安全投資回報(bào)率”概念發(fā)揮作用的地方。通過(guò)明智地投資于合適的網(wǎng)絡(luò)安全措施，組織可以使攻擊者需要更多的投資（時(shí)間、精力和工具）才能攻破自身的網(wǎng)絡(luò)系統(tǒng)，從而降低了他們的潛在回報(bào)。

因此，與其追求絕對(duì)安全的不可能夢(mèng)想，不如集中精力投資于能夠提高攻擊成本的戰(zhàn)略措施。這可能包括定期的系統(tǒng)更新、員工培訓(xùn)、多因素身份驗(yàn)證等措施。網(wǎng)絡(luò)安全建設(shè)的目標(biāo)永遠(yuǎn)都不會(huì)是讓組織的網(wǎng)絡(luò)系統(tǒng)無(wú)法破解，而是使攻擊者不愿發(fā)起攻擊，因?yàn)樗鼈儾痪邆湮陀浴?/p>

法則二：停滯不前就意味著風(fēng)險(xiǎn)

網(wǎng)絡(luò)安全的本質(zhì)就是攻防能力間的對(duì)抗，這就像一場(chǎng)沒(méi)有盡頭的貓鼠游戲。隨著“壞人”變得更聰明，防御者也需要不斷更新防御技能和措施。一旦網(wǎng)絡(luò)安全能力建設(shè)停滯不前，就可能會(huì)導(dǎo)致攻防間的能力缺口加大，這會(huì)帶來(lái)嚴(yán)重的網(wǎng)絡(luò)犯罪，而那些技能缺口嚴(yán)重、安全成熟度低的組織也成為黑客們的重點(diǎn)攻擊目標(biāo)。因此，組織的網(wǎng)絡(luò)安全建設(shè)需要不斷修補(bǔ)弱點(diǎn)，及時(shí)更新優(yōu)化網(wǎng)絡(luò)安全策略和計(jì)劃，并不斷培訓(xùn)所有的員工提升網(wǎng)絡(luò)安全意識(shí)。

法則三：要確保安全防護(hù)措施的可用與易用

在網(wǎng)絡(luò)安全建設(shè)中，確保各項(xiàng)安全措施的可用性與易用性非常重要。如果這些措施不能被正常使用，那么再先進(jìn)的技術(shù)也將失去價(jià)值。就像我們?cè)诩依锇惭b了一扇有很多鎖的防盜門(mén)，盡管安全性可能很好，但自己人也很難打開(kāi)它，誰(shuí)還會(huì)去使用它呢？同樣的，如果網(wǎng)絡(luò)安全措施過(guò)于復(fù)雜，那么員工們就會(huì)尋找捷徑繞過(guò)這些防護(hù)措施，這可能會(huì)產(chǎn)生安全性風(fēng)險(xiǎn)和漏洞。

企業(yè)在開(kāi)展網(wǎng)絡(luò)安全建設(shè)時(shí)，首先要確保網(wǎng)絡(luò)安全系統(tǒng)的可用性。任何有效的網(wǎng)絡(luò)安全措施都不應(yīng)對(duì)員工的日常工作流程和生產(chǎn)活動(dòng)造成過(guò)多的干擾或阻礙。組織在制定和實(shí)施網(wǎng)絡(luò)安全策略時(shí)，應(yīng)該找到平衡點(diǎn)，確保安全性和可用性之間得到良好協(xié)調(diào)。

法則四：隔離并不能保證安全

設(shè)想一下，如果我們把組織的網(wǎng)絡(luò)系統(tǒng)看成一套房子。那么一個(gè)完全隔離的房子看上去很安全，但并不切實(shí)際。網(wǎng)絡(luò)安全建設(shè)也是一樣，靠隔離來(lái)保障安全并不現(xiàn)實(shí)，需要一種更加系統(tǒng)、積極的防護(hù)戰(zhàn)略，它要求合理利用各種安全技術(shù)的能力和特點(diǎn)，構(gòu)建形成多方式、多層次、功能互補(bǔ)的安全防護(hù)能力體系，以滿足企業(yè)安全工作中對(duì)縱深性、均衡性、抗易損性的多種要求?？v深化、體系化安全能力建設(shè)是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全發(fā)展的必然趨勢(shì)。

法則五：攻擊面很龐大，可見(jiàn)性很重要

網(wǎng)絡(luò)攻擊者好比是狡猾的竊賊，他們會(huì)利用能找到的任何突破口趁虛而入，這可能是聯(lián)網(wǎng)打印機(jī)、云服務(wù)、員工的電話，甚至是一封偷偷摸摸的電子郵件。因此，增強(qiáng)網(wǎng)絡(luò)應(yīng)用和資產(chǎn)的可見(jiàn)性是現(xiàn)代企業(yè)組織網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要原則之一。

在實(shí)際工作中，可見(jiàn)性需要通過(guò)對(duì)網(wǎng)絡(luò)中的所有資產(chǎn)和攻擊面進(jìn)行實(shí)時(shí)監(jiān)測(cè)來(lái)實(shí)現(xiàn)，包括資產(chǎn)和攻擊面的整體可視化，以及異常情況的發(fā)現(xiàn)和告警，這些環(huán)節(jié)都需要結(jié)合具體的業(yè)務(wù)需求和安全策略進(jìn)行靈活設(shè)計(jì)和實(shí)施。

法則六：網(wǎng)絡(luò)安全建設(shè)需要優(yōu)先級(jí)

任何組織擁有的資源都是有限的。因此，開(kāi)展網(wǎng)絡(luò)安全建設(shè)需要首先弄清楚什么資產(chǎn)對(duì)組織是最重要，并確保優(yōu)先保護(hù)這些資產(chǎn)。在日常的安全運(yùn)營(yíng)中，各種監(jiān)控措施會(huì)產(chǎn)生大數(shù)據(jù)，很多未經(jīng)分類(lèi)的數(shù)據(jù)沒(méi)有利用價(jià)值。組織的網(wǎng)絡(luò)安全決策應(yīng)該基于對(duì)數(shù)據(jù)的觀察，對(duì)其進(jìn)行優(yōu)先級(jí)排序和可行性分析之后再進(jìn)行行動(dòng)。沒(méi)有基于風(fēng)險(xiǎn)的排序，組織就會(huì)將寶貴的資源浪費(fèi)在一些并不重要的安全事務(wù)上。當(dāng)然，隨著組織業(yè)務(wù)不斷發(fā)展變化，其所面臨的風(fēng)險(xiǎn)也會(huì)不斷演變，因此需要不斷重新評(píng)估優(yōu)先保護(hù)的資產(chǎn)。

法則七：信任需要建立在不斷核驗(yàn)的基礎(chǔ)上

在網(wǎng)絡(luò)安全工作中，我們不能輕易相信網(wǎng)絡(luò)上的一切東西，包括賬戶、權(quán)限和人員。因此，安全人員需要竭力確保設(shè)備、用戶和應(yīng)用程序都是合規(guī)可信的。這就好比安保人員會(huì)反復(fù)多次檢查你的證件，不管他以前見(jiàn)過(guò)你多少次。大量實(shí)踐證明，“最小特權(quán)原則”是一種非常有效的網(wǎng)絡(luò)安全策略，即為每個(gè)用戶和系統(tǒng)授予最低限度的訪問(wèn)權(quán)限。這意味著用戶只能獲得完成其工作所需的最低權(quán)限級(jí)別，而不是獲得整個(gè)系統(tǒng)的完全訪問(wèn)權(quán)限。通過(guò)實(shí)施最小特權(quán)原則，即使某個(gè)用戶的賬戶被攻破，攻擊者也只能訪問(wèn)有限的資源，從而減少潛在的損害范圍。

法則八：加密是組織網(wǎng)絡(luò)安全建設(shè)的“必修課”

在保障網(wǎng)絡(luò)安全的各種手段和技術(shù)中，密碼仍然是行業(yè)公認(rèn)的最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵性技術(shù)措施。如果把數(shù)據(jù)看作一個(gè)貴重的物品，那么加密就像把貴重品鎖在了保險(xiǎn)箱里。而密鑰就是打開(kāi)這個(gè)保險(xiǎn)箱的鑰匙。如果鑰匙落入壞人之手，貴重品就面臨險(xiǎn)境。所以，組織需要確保密鑰安全，只有合適的人才能使用。

法則九：要以人為本

在網(wǎng)絡(luò)安全建設(shè)工作中，技術(shù)很重要，但并不能解決所有問(wèn)題，而人員往往是組織網(wǎng)絡(luò)安全建設(shè)最薄弱的環(huán)節(jié)，同時(shí)也是最不受重視的環(huán)節(jié)。因此，組織在開(kāi)展網(wǎng)絡(luò)安全建設(shè)時(shí)，應(yīng)該將持續(xù)的員工網(wǎng)絡(luò)安全意識(shí)培訓(xùn)作為減小數(shù)字攻擊面的重要措施。盡管人為性錯(cuò)誤難以避免，但能通過(guò)適當(dāng)?shù)慕逃团嘤?xùn)，可以大大降低導(dǎo)致數(shù)據(jù)泄露危害發(fā)生的可能性。

法則十：只有團(tuán)隊(duì)合作才能讓夢(mèng)想成真

網(wǎng)絡(luò)安全建設(shè)是一項(xiàng)需要協(xié)調(diào)、溝通和協(xié)作的團(tuán)隊(duì)工作，它需要具備各種安全技能的專(zhuān)業(yè)人員，同時(shí)具備體系化的專(zhuān)業(yè)知識(shí)。如果僅靠幾個(gè)優(yōu)秀安全工程師單打獨(dú)斗，必然會(huì)疏漏某些關(guān)鍵信息，而這些疏漏的信息可能帶來(lái)災(zāi)難性后果。

企業(yè)在開(kāi)展網(wǎng)絡(luò)安全建設(shè)時(shí)，如果要避免任何可能的疏忽，就需要對(duì)安全事件進(jìn)行全面處理，因此安全團(tuán)隊(duì)需要借助現(xiàn)代化的協(xié)同工具實(shí)現(xiàn)相互協(xié)作，將工具、人員、流程和自動(dòng)化連入透明的工作場(chǎng)所，使信息、想法和數(shù)據(jù)處于最顯眼的位置。只有團(tuán)隊(duì)合作才能更好地協(xié)作工作，真正實(shí)現(xiàn)網(wǎng)絡(luò)安全建設(shè)的預(yù)期目標(biāo)。

參考鏈接：https://www.linkedin.com/pulse/demystifying-cybersecurity-10-laws-you-need-know-damien-harrison-03pqe?trk=public_post