网络安全建设应遵循的10条"黄金法则"

搜索最新SoC解决方案
关于汽车电子...物联网...安全...音频...视频

在当今的企业数字环境中，网络安全建设早已不是简单的IT技术问题，而是被上升到公司数字化转型发展和安全生产责任的治理层面，确保网络安全是每个现代企业组织都应努力实现的目标。然而企业要真正做好网络安全工作并不容易，很多组织为网络安全建设付出了巨大的努力和投资，却始终难以获得预期的效果，就像走进了一个巨大的迷宫中，跌跌撞撞的同时也充满了误区和陷阱。

imgtec.eetrend.com/, May. 11, 2024 – 

面对以上困扰，Bondgate IT公司运营总监Damien Harrison认为，现代企业需要有一份清晰的行动准则和计划，来指导企业如何更有效地开展网络安全建设工作，这样才能充分发挥网络安全工作的全部价值。通过参考微软公司的一份学习资料《安全的不可变法则》，Harrison梳理总结了网络安全建设中应遵循的10条建设原则。

法则一：网络安全投资是为了获取价值，而不是追求绝对的安全

企业在开展网络安全建设时，需要严格避免不计成本地追求绝对的安全性。因为在任何商业活动中，投资和价值都是密不可分的。只有价值才能证明投资的合理性。而在数字世界中，并不存在绝对的安全性，没有任何一个系统能够做到完全不可能被攻破，但是却可以通过合理的保护措施，使其不会成为攻击者的主要关注目标。

在数字世界中，攻击者经常会寻找最容易攻破的系统，而不是那些需要大量时间、资源和专业知识的系统。这就是"安全投资回报率"概念发挥作用的地方。通过明智地投资于合适的网络安全措施，组织可以使攻击者需要更多的投资（时间、精力和工具）才能攻破自身的网络系统，从而降低了他们的潜在回报。

因此，与其追求绝对安全的不可能梦想，不如集中精力投资于能够提高攻击成本的战略措施。这可能包括定期的系统更新、员工培训、多因素身份验证等措施。网络安全建设的目标永远都不会是让组织的网络系统无法破解，而是使攻击者不愿发起攻击，因为它们不具备吸引力和盈利性。

法则二：停滞不前就意味着风险

网络安全的本质就是攻防能力间的对抗，这就像一场没有尽头的猫鼠游戏。随着"坏人"变得更聪明，防御者也需要不断更新防御技能和措施。一旦网络安全能力建设停滞不前，就可能会导致攻防间的能力缺口加大，这会带来严重的网络犯罪，而那些技能缺口严重、安全成熟度低的组织也成为黑客们的重点攻击目标。因此，组织的网络安全建设需要不断修补弱点，及时更新优化网络安全策略和计划，并不断培训所有的员工提升网络安全意识。

法则三：要确保安全防护措施的可用与易用

在网络安全建设中，确保各项安全措施的可用性与易用性非常重要。如果这些措施不能被正常使用，那么再先进的技术也将失去价值。就像我们在家里安装了一扇有很多锁的防盗门，尽管安全性可能很好，但自己人也很难打开它，谁还会去使用它呢？同样的，如果网络安全措施过于复杂，那么员工们就会寻找捷径绕过这些防护措施，这可能会产生安全性风险和漏洞。

 Back