在很多公司和機(jī)構(gòu)中，管理層通常依據(jù)自己對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)知，來(lái)決定網(wǎng)絡(luò)安全安全的建設(shè)方向、建設(shè)重點(diǎn)和投入成本。
 
      但由于其本身在陌生領(lǐng)域認(rèn)識(shí)的局限性、滯后性和偏差性等。因此在開展網(wǎng)絡(luò)安全的建設(shè)過(guò)程中，常出現(xiàn)以下多種現(xiàn)象：
 
      1. 安全建設(shè)滿足合規(guī)要求就好。一些管理層們認(rèn)為機(jī)構(gòu)安全僅需要遵從合規(guī)要求就夠了，并不愿意在安全上進(jìn)行過(guò)多的投入。在實(shí)踐中，合規(guī)要求是幫助機(jī)構(gòu)建立良好的網(wǎng)絡(luò)安全基線并解決已知的漏洞。但合規(guī)要求沒有能充分解決和應(yīng)對(duì)新的、動(dòng)態(tài)的安全威脅或?qū)?fù)雜的攻擊對(duì)手。正確的做法應(yīng)該是使用基于風(fēng)險(xiǎn)評(píng)估的方法來(lái)應(yīng)用最新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和業(yè)界最佳實(shí)踐，這樣比僅遵從合規(guī)能更全面和更有效地管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。
 
      2. 過(guò)于輕信己方的安全防護(hù)能力。事實(shí)上，這些年來(lái)發(fā)生的諸多攻擊事件表明，機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)并不是想象中的鋼鐵長(zhǎng)城，在外部APT攻擊以及惡意內(nèi)部人員的面前，機(jī)構(gòu)的網(wǎng)絡(luò)處于巨大的威脅中。幸運(yùn)的是，很多企業(yè)CISO們認(rèn)為威脅形勢(shì)其實(shí)十分嚴(yán)峻，國(guó)外公司的研究報(bào)告表明83% 的 CISO 表示，過(guò)去三年外部威脅帶來(lái)的挑戰(zhàn)不斷攀升，42% 的表示外部威脅顯著增加； 59% 的 CISO 強(qiáng)烈贊同，攻擊者的水平超過(guò)了企業(yè)的防御水平。因此建議通過(guò)定期和全面的安全評(píng)估來(lái)檢查真實(shí)的安全防護(hù)能力。
 
      3. 不覺得己方將遭受到攻擊，認(rèn)為攻擊的幾率和可能性非常低。這種考慮有些基于國(guó)情的考慮，認(rèn)為國(guó)內(nèi)處罰嚴(yán)厲，黑客不敢發(fā)起攻擊。有些則認(rèn)為己方屬于小型機(jī)構(gòu)或非關(guān)鍵基礎(chǔ)信息設(shè)施行業(yè)，不會(huì)引起黑客的注意。但是，最近發(fā)生的勒索病毒事件以及國(guó)外機(jī)構(gòu)對(duì)境內(nèi)金融機(jī)構(gòu)進(jìn)行DDOS攻擊并進(jìn)行勒索的事件證明了上訴觀點(diǎn)的錯(cuò)誤。
 
      4. 期望通過(guò)某種解決方案解決絕大部分的安全問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)內(nèi)容涵蓋非常廣泛的領(lǐng)域，因此在網(wǎng)絡(luò)安全建設(shè)中，不存在銀子彈的解決方案，每一種方案都只能提供一定范圍和一定程度上的安全防護(hù)。在這其中尤其要注意兩種錯(cuò)誤的觀念，一個(gè)是認(rèn)為只要有完善的外網(wǎng)安全防護(hù)，內(nèi)網(wǎng)就安全；另一個(gè)是認(rèn)為業(yè)務(wù)生產(chǎn)網(wǎng)和其它網(wǎng)絡(luò)已實(shí)現(xiàn)物理或邏輯隔離，因此業(yè)務(wù)網(wǎng)是安全的。實(shí)踐中，因持有這兩種觀點(diǎn)而遭遇慘重?fù)p失的企業(yè)機(jī)構(gòu)案例非常之多，值得管理層們警惕。
 
      5. 重視技術(shù)層面的投入而忽略對(duì)人員的投入。戰(zhàn)爭(zhēng)中，決定戰(zhàn)爭(zhēng)勝負(fù)的是人的因素，網(wǎng)絡(luò)安全建設(shè)也遵循同樣的道理。內(nèi)部人員的安全技能、對(duì)設(shè)備工具的使用熟悉情況、人員的數(shù)量、工作的積極性和主動(dòng)性都將直接影響安全工作的質(zhì)量和執(zhí)行效率。因此管理層們應(yīng)該考慮進(jìn)行安全人力資源的評(píng)估、招募或引進(jìn)足夠的安全人員數(shù)量（包括安全外包）、開展定期的安全培訓(xùn)以提升人員技能、優(yōu)化KPI績(jī)效考核以提升人員工作積極性。
 
 

基礎(chǔ)的安全管理和防護(hù)手段發(fā)揮著最大的功效
 
      目前，管理層們?cè)诙攘考悍綑C(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)安全建設(shè)的時(shí)候，往往會(huì)受到互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的應(yīng)用和開展，黑客攻擊技術(shù)和手段日益先進(jìn)和復(fù)雜，以及安全廠家不斷推出的新產(chǎn)品這三個(gè)因素的影響，將資源投入到這類熱點(diǎn)領(lǐng)域而忽視了企業(yè)機(jī)構(gòu)最為基礎(chǔ)的安全管理和防護(hù)。事實(shí)上，在安全領(lǐng)域，最為基礎(chǔ)的安全管理防護(hù)措施發(fā)揮著最為重要的作用，國(guó)外咨詢機(jī)構(gòu)的研究報(bào)告中就顯示超過(guò)75%的安全漏洞可以通過(guò)基礎(chǔ)的控制措施進(jìn)行防護(hù)[4]，因此管理層們應(yīng)該把如何做好基礎(chǔ)的控制措施放在首要和優(yōu)先的位置 （在機(jī)構(gòu)有更多資源的情況下可進(jìn)一步擴(kuò)充和提升全面安全防護(hù)能力）。一般來(lái)說(shuō)，這些基礎(chǔ)控制措施包括：
 
1. 有效和更新的管理制度和流程機(jī)制

2. 有效的網(wǎng)絡(luò)邊界隔離與防護(hù)

3. 定期/不定期的安全評(píng)估

4. 嚴(yán)格的權(quán)限賬戶管控

5. 配置操作規(guī)范和安全審計(jì)

6. 安全漏洞的發(fā)現(xiàn)與修補(bǔ)

7. 桌面終端安全防護(hù)

8. 持續(xù)的內(nèi)部人員安全培訓(xùn)

9. 第三方服務(wù)及供應(yīng)鏈的安全管控

10. 安全應(yīng)急預(yù)案編制與應(yīng)急演練
 
      網(wǎng)絡(luò)安全中的基礎(chǔ)防護(hù)猶如建筑中承擔(dān)抗震關(guān)鍵的柱子和房梁。做好基礎(chǔ)防護(hù)則意味著企業(yè)機(jī)構(gòu)達(dá)到了應(yīng)有的安全基線，同時(shí)也獲得了最大程度的安全投入回報(bào)。
 
積極的應(yīng)對(duì)和恰當(dāng)?shù)母倪M(jìn)可幫助建立更為有效的網(wǎng)絡(luò)安全
 
      正如網(wǎng)絡(luò)攻擊者不斷的尋找漏洞，不斷的改進(jìn)其攻擊手段以提高攻擊成功率一樣，企業(yè)機(jī)構(gòu)也需要針對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的變化及時(shí)的進(jìn)行調(diào)整。在這種情況下，管理層們應(yīng)該主動(dòng)開展和進(jìn)行一些有利的變革改進(jìn)以適應(yīng)新的合規(guī)、新的法律框架、以及新的風(fēng)險(xiǎn)應(yīng)對(duì)要求。這些變革改進(jìn)包括組織架構(gòu)、企業(yè)安全策略、安全管理機(jī)制、安全技術(shù)等層面，下面給出一些變革的方向和內(nèi)容以供管理層們參考。
 
      改變并提升對(duì)網(wǎng)絡(luò)安全的支持程度。網(wǎng)絡(luò)安全的問(wèn)題會(huì)威脅到企業(yè)的各個(gè)層面，并帶來(lái)商業(yè)和聲譽(yù)的雙重?fù)p失，因此，企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)安全不再只是 IT 部門的問(wèn)題，僅有CSO或CISO的支持是不夠的。管理層們均有責(zé)參與到企業(yè)安全管理中。離開了管理層決策層領(lǐng)導(dǎo)的集體支持，則難以建立一個(gè)有效的網(wǎng)絡(luò)安全防護(hù)。調(diào)查表明自2013年起，有31%—32%的受訪者稱，管理層意識(shí)和支持的缺乏對(duì)網(wǎng)絡(luò)安全的有效性產(chǎn)生了不利影響。
 
      提升安全管理層的發(fā)言權(quán)重。一些機(jī)構(gòu)并沒有設(shè)立CSO或CISO的職位，或者CSO和CISO并沒有能夠進(jìn)入到公司的決策層（或董事會(huì)）（國(guó)外著名咨詢機(jī)構(gòu)的研究報(bào)告表明約有75%的受訪者表示其負(fù)責(zé)網(wǎng)絡(luò)安全的人沒有進(jìn)入董事會(huì)[5]）。這樣將導(dǎo)致網(wǎng)絡(luò)安全的問(wèn)題和建議沒有能夠被決策層給予足夠的重視，從而沒有獲得對(duì)網(wǎng)絡(luò)安全應(yīng)有的建設(shè)支持。

      改進(jìn)管理層匯報(bào)報(bào)告的質(zhì)量和內(nèi)容。研究表明在給決策層呈報(bào)的報(bào)告中，存在著兩個(gè)突出的問(wèn)題。一個(gè)是網(wǎng)絡(luò)安全的內(nèi)容偏低，約25%的報(bào)告會(huì)闡述提及威脅等級(jí)；另一個(gè)問(wèn)題是網(wǎng)絡(luò)安全的內(nèi)容沒有能夠以決策層能看懂的業(yè)務(wù)語(yǔ)言來(lái)進(jìn)行描述。因此導(dǎo)致決策層不能完全了解和理解當(dāng)前機(jī)構(gòu)所面臨的風(fēng)險(xiǎn)，進(jìn)而對(duì)網(wǎng)絡(luò)安全建設(shè)產(chǎn)生了不利影響。

      提升應(yīng)對(duì)危機(jī)的處置能力。現(xiàn)在絕大多數(shù)的企業(yè)機(jī)構(gòu)普遍均建立了基于技術(shù)層面的網(wǎng)絡(luò)安全應(yīng)急預(yù)案。然而，很多機(jī)構(gòu)缺乏以下三種應(yīng)急預(yù)案。第一種是對(duì)于發(fā)生事件之后如何邀請(qǐng)執(zhí)法機(jī)構(gòu)介入的應(yīng)急預(yù)案，第二種是如何配合監(jiān)管和執(zhí)法機(jī)構(gòu)進(jìn)行事件調(diào)查與處置的應(yīng)急預(yù)案，第三種是如何在媒體上發(fā)布應(yīng)對(duì)消息以緩解或消除造成的社會(huì)影響及公眾質(zhì)疑的應(yīng)急預(yù)案。建議領(lǐng)導(dǎo)層考慮增加以上應(yīng)急處置內(nèi)容和程序，確保企業(yè)機(jī)構(gòu)更加有效地應(yīng)對(duì)安全危機(jī)。

      提升對(duì)客戶信息的保護(hù)水平。隨著國(guó)家《網(wǎng)絡(luò)安全法》的頒布實(shí)施，國(guó)家在法規(guī)層面顯著提升了對(duì)個(gè)人信息的保護(hù)要求。