企业网络安全观——给高管们的6条建议

随着国家安全战略的建立、《中华人民共和国网络安全法》等法律法规的颁布和实施、监管机构的推动、企业机构自身业务的发展，相信几乎所有的C Level级别的高管都认同网络安全的重要性和关键性。在这些新的形势下，很多机构的高管们都在思索和探讨如何持续改进和完善机构的网络安全治理，本文将根从企业网络安全的视角尝试提出以下六个建议供机构的高管们做参考。

高管们的安全观决定企业安全建设的成效

1

高管们普遍都认同网络安全的重要性，同时也都认同网络安全是他们必须面对和解决的问题。但不少高管并不清楚和能说出安全风险来自什么地方，什么样的安全因素将带来最大风险，这种认知和理解上的不足表现在高管们心中的安全风险和现实中安全风险的比例没有呈现一致性。

2

高管们对自己机构网络安全现状的情况以及安全防护能力的自信心有所不同。

3

高管们和下层管理层以及具体工作的安全职员之间存在着对网络安全认知不一致性。

这些现象提示我们，机构的高管群需要改进他们的安全观，改变网络安全停留在口头重视的情况，需要切实深入的了解机构的网络安全现状、了解新的网络安全风险，只有这样，作为机构的最终决策者和负责人才能肩负好网络安全的责任。

良好的工作机制

是机构中网络安全工作的关键之一

今天，关于网络安全应该是全员参与的企业安全理念早已被企业机构普遍所认同。但是高管们还需认真考虑如何将网络安全与机构的运营工作机制进行有机的融合，使其成为一个鲜活，立体的工作内容，而不只是停留在企业制度文档上苍白的文字。就目前而言，一些机构存在着工作机制方面的问题。

安全态势感知与情报分享

将显著改变原有被动防御的局面

绝大部分网络攻击很少是孤立事件。攻击者在发动攻击时需要提前做很多的工作。

例如寻找漏洞、制作工具、甚至对真实目标进行攻击前会对其它目标进行测试攻击。根据美国执法机构的调查研究表明在2014年一次针对摩根大通公司的攻击中，执法机构调查发现至少另有10家金融服务机构成为同一黑客组织的目标。

又如，近期勒索病毒的猖獗就和黑客团体泄露并利用美国NSA的网络战武器有直接关系。

因此，如果机构能够迅速获取到执法部门、安全企业发布的关于安全威胁和攻击的安全态势信息，则可以迅速的提升警戒程度，制定相应的预防和处置措施，减小受影响和受攻击的可能性。

持续和理性的安全建设

是保障机构网络安全有效性的重要基础

在一些机构中，高管们常依据自己对特定网络风险的认知来决定安全建设的方向、建设重点和投入成本。但由于他们的安全威胁认知存在一定的局限性、滞后性和偏差性。因此在开展网络安全的建设过程中，常出现以下多种现象：

1. 安全建设满足合规要求就好。

2. 过于轻信己方的安全防护能力。

3. 不觉得己方将遭受到攻击，认为攻击的几率和可能性非常低。

4. 期望通过某种解决方案解决绝大部分的安全问题。

5. 重视技术层面的投入而忽略对人员的投入。

基础的安全管理和防护手段

发挥着最大的功效

在安全领域，最为基础的安全管理防护措施发挥着最为重要的作用，国外咨询机构的研究报告中就显示超过75%的安全漏洞可以通过基础的控制措施进行防护，因此高管们应该把如何做好基础的控制措施放在首要和优先的位置 （在机构有更多资源的情况下可进一步扩充和提升全面安全防护能力）。一般来说，这些基础控制措施包括：

1. 有效和更新的管理制度和流程机制

2. 有效的网络边界隔离与防护

3. 定期/不定期的安全评估

4. 严格的权限账户管控

5. 配置操作规范和安全审计

6. 安全漏洞的发现与修补

7. 桌面终端安全防护

8. 持续的内部人员安全培训

9. 第三方服务及供应链的安全管控

10. 安全应急预案编制与应急演练

网络安全中的基础防护犹如建筑中承担抗震关键的柱子和房梁。做好基础防护则意味着企业机构达到了应有的安全基线，同时也获得了最大程度的安全投入回报。

积极的应对和恰当的改进

可帮助建立更为有效的网络安全

正如网络攻击者不断的寻找漏洞，不断的改进其攻击手段以提高攻击成功率一样，企业机构也需要针对网络风险的变化及时的进行调整。在这种情况下，高管们应该主动开展和进行一些有利的变革改进以适应新的合规、新的法律框架、以及新的风险应对要求。这些变革改进包括组织架构、企业安全策略、安全管理机制、安全技术等层面，下面给出一些变革的方向和内容以供高管们参考。

• 改变并提升对网络安全的支持程度。

• 提升安全管理层的发言权重。

• 改进管理层汇报报告的质量和内容。

• 提升应对危机的处置能力。

• 提升对客户信息的保护水平。

结束语

网络安全对企业机构的高管们而言不是一个单纯管理或技术层面的战术问题，而是一个关系到企业生存的战略问题。网络安全需要高管们对其有清晰、正确和全面的认识，通过主动和积极方式将其作为组织治理、风险管理和业务连续性框架的必不可少的一部分。随着网络安全形势的日益严峻，国家和行业网络安全监管的日益严厉，建议企业机构的高管们加强对网络安全的工作协同、改善工作机制、保持持续有效的建设投入、以灵活和恰当的方式构建和形成具有弹性的企业网络安全治理。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP