网络安全建设应遵循的10条“黄金法则”

在当今的企业数字环境中，网络安全建设早已不是简单的IT技术问题，而是被上升到公司数字化转型发展和安全生产责任的治理层面，确保网络安全是每个现代企业组织都应努力实现的目标。然而企业要真正做好网络安全工作并不容易，很多组织为网络安全建设付出了巨大的努力和投资，却始终难以获得预期的效果，就像走进了一个巨大的迷宫中，跌跌撞撞的同时也充满了误区和陷阱。

面对以上困扰，Bondgate IT公司运营总监Damien Harrison认为，现代企业需要有一份清晰的行动准则和计划，来指导企业如何更有效地开展网络安全建设工作，这样才能充分发挥网络安全工作的全部价值。通过参考微软公司的一份学习资料《安全的不可变法则》，Harrison梳理总结了网络安全建设中应遵循的10条建设原则。

法则一

网络安全投资是为了获取价值，而不是追求绝对的安全

企业在开展网络安全建设时，需要严格避免不计成本地追求绝对的安全性。因为在任何商业活动中，投资和价值都是密不可分的。只有价值才能证明投资的合理性。而在数字世界中，并不存在绝对的安全性，没有任何一个系统能够做到完全不可能被攻破，但是却可以通过合理的保护措施，使其不会成为攻击者的主要关注目标。

在数字世界中，攻击者经常会寻找最容易攻破的系统，而不是那些需要大量时间、资源和专业知识的系统。这就是“安全投资回报率”概念发挥作用的地方。通过明智地投资于合适的网络安全措施，组织可以使攻击者需要更多的投资（时间、精力和工具）才能攻破自身的网络系统，从而降低了他们的潜在回报。

因此，与其追求绝对安全的不可能梦想，不如集中精力投资于能够提高攻击成本的战略措施。这可能包括定期的系统更新、员工培训、多因素身份验证等措施。网络安全建设的目标永远都不会是让组织的网络系统无法破解，而是使攻击者不愿发起攻击，因为它们不具备吸引力和盈利性。

法则二

停滞不前就意味着风险

网络安全的本质就是攻防能力间的对抗，这就像一场没有尽头的猫鼠游戏。随着“坏人”变得更聪明，防御者也需要不断更新防御技能和措施。一旦网络安全能力建设停滞不前，就可能会导致攻防间的能力缺口加大，这会带来严重的网络犯罪，而那些技能缺口严重、安全成熟度低的组织也成为黑客们的重点攻击目标。因此，组织的网络安全建设需要不断修补弱点，及时更新优化网络安全策略和计划，并不断培训所有的员工提升网络安全意识。

法则三

要确保安全防护措施的可用与易用

在网络安全建设中，确保各项安全措施的可用性与易用性非常重要。如果这些措施不能被正常使用，那么再先进的技术也将失去价值。就像我们在家里安装了一扇有很多锁的防盗门，尽管安全性可能很好，但自己人也很难打开它，谁还会去使用它呢？同样的，如果网络安全措施过于复杂，那么员工们就会寻找捷径绕过这些防护措施，这可能会产生安全性风险和漏洞。

企业在开展网络安全建设时，首先要确保网络安全系统的可用性。任何有效的网络安全措施都不应对员工的日常工作流程和生产活动造成过多的干扰或阻碍。组织在制定和实施网络安全策略时，应该找到平衡点，确保安全性和可用性之间得到良好协调。

法则四

隔离并不能保证安全

设想一下，如果我们把组织的网络系统看成一套房子。那么一个完全隔离的房子看上去很安全，但并不切实际。网络安全建设也是一样，靠隔离来保障安全并不现实，需要一种更加系统、积极的防护战略，它要求合理利用各种安全技术的能力和特点，构建形成多方式、多层次、功能互补的安全防护能力体系，以满足企业安全工作中对纵深性、均衡性、抗易损性的多种要求。纵深化、体系化安全能力建设是现代企业网络安全发展的必然趋势。

法则五

攻击面很庞大，可见性很重要

网络攻击者好比是狡猾的窃贼，他们会利用能找到的任何突破口趁虚而入，这可能是联网打印机、云服务、员工的电话，甚至是一封偷偷摸摸的电子邮件。因此，增强网络应用和资产的可见性是现代企业组织网络安全建设的一个重要原则之一。

在实际工作中，可见性需要通过对网络中的所有资产和攻击面进行实时监测来实现，包括资产和攻击面的整体可视化，以及异常情况的发现和告警，这些环节都需要结合具体的业务需求和安全策略进行灵活设计和实施。

法则六

网络安全建设需要优先级

任何组织拥有的资源都是有限的。因此，开展网络安全建设需要首先弄清楚什么资产对组织是最重要，并确保优先保护这些资产。在日常的安全运营中，各种监控措施会产生大数据，很多未经分类的数据没有利用价值。组织的网络安全决策应该基于对数据的观察，对其进行优先级排序和可行性分析之后再进行行动。没有基于风险的排序，组织就会将宝贵的资源浪费在一些并不重要的安全事务上。当然，随着组织业务不断发展变化，其所面临的风险也会不断演变，因此需要不断重新评估优先保护的资产。

法则七

信任需要建立在不断核验的基础上

在网络安全工作中，我们不能轻易相信网络上的一切东西，包括账户、权限和人员。因此，安全人员需要竭力确保设备、用户和应用程序都是合规可信的。这就好比安保人员会反复多次检查你的证件，不管他以前见过你多少次。大量实践证明，“最小特权原则”是一种非常有效的网络安全策略，即为每个用户和系统授予最低限度的访问权限。这意味着用户只能获得完成其工作所需的最低权限级别，而不是获得整个系统的完全访问权限。通过实施最小特权原则，即使某个用户的账户被攻破，攻击者也只能访问有限的资源，从而减少潜在的损害范围。

法则八

加密是组织网络安全建设的“必修课”

在保障网络安全的各种手段和技术中，密码仍然是行业公认的最有效、最可靠、最经济的关键性技术措施。如果把数据看作一个贵重的物品，那么加密就像把贵重品锁在了保险箱里。而密钥就是打开这个保险箱的钥匙。如果钥匙落入坏人之手，贵重品就面临险境。所以，组织需要确保密钥安全，只有合适的人才能使用。

法则九

要以人为本

在网络安全建设工作中，技术很重要，但并不能解决所有问题，而人员往往是组织网络安全建设最薄弱的环节，同时也是最不受重视的环节。因此，组织在开展网络安全建设时，应该将持续的员工网络安全意识培训作为减小数字攻击面的重要措施。尽管人为性错误难以避免，但能通过适当的教育和培训，可以大大降低导致数据泄露危害发生的可能性。

法则十

只有团队合作才能让梦想成真

网络安全建设是一项需要协调、沟通和协作的团队工作，它需要具备各种安全技能的专业人员，同时具备体系化的专业知识。如果仅靠几个优秀安全工程师单打独斗，必然会疏漏某些关键信息，而这些疏漏的信息可能带来灾难性后果。

企业在开展网络安全建设时，如果要避免任何可能的疏忽，就需要对安全事件进行全面处理，因此安全团队需要借助现代化的协同工具实现相互协作，将工具、人员、流程和自动化连入透明的工作场所，使信息、想法和数据处于最显眼的位置。只有团队合作才能更好地协作工作，真正实现网络安全建设的预期目标。

https://www.linkedin.com/pulse/demystifying-cybersecurity-10-laws-you-need-know-damien-harrison-03pqe?trk=public_post