什么是网络安全战略体系？如何快速构建网络安全战略体系？

	什么是网络安全战略体系？如何快速构建网络安全战略体系？网络安全是确保信息的完整性、 保密性和可用性的实践。它代表防御安全事故和从安全事故中恢复的能力。这些安全事故包括硬盘 故障或断电，以及来自竞争对手的网络攻击等。后者包括脚本小子、黑客、有能力执行高级持续 性威胁(APT)的犯罪团伙，以及其他可对企业构成严重威胁的人。业务连续性和灾难恢复能力 对于网络安全(例如应用安全和狭义的网络安全)至关重要。 安全应该成为整个企业的首要考虑因素，且得到高级管理层的授权。我们如今生活的信息世界 的脆弱性也需要强大的网络安全控制战略。管理人员应该明白，所有的系统都是按照一定的安 全标准建立起来的，且员工都需要经过适当的培训。例如，所有代码都可能存在漏洞， 其中一些漏洞还是关键的安全缺陷。毕竟，开发者也只是普通人而已难免出错。 一、安全培训 人往往是网络安全规划中最薄弱的环节。培训开发人员进行安全编码，培训操作人员优 先考虑强大的安全状况，培训最终用户识别网络钓鱼邮件和社会工程攻击——总而言之， 网络安全始于意识。 然而，即便是有强大的网络安全控制措施，所有企业还是难逃遭遇某种网络攻击的威胁。 攻击者总是利用最薄弱的环节，但是其实只要通过执行一些基本的安全任务——有时被称为“网络卫生”， 很多攻击都是可以轻松防护的。外科医生不洗手决不允许进入手术室。同样地，企业也有责任执行维护网 络安全的基本要求，例如保持强大的身份验证实践，以及不将敏感数据存储在可以公开访问的地方。 然而，一个好的网络安全战略需要的却不仅仅是这些基本实践。技术精湛的黑客可以规避大多数的防御措施和攻 击面——对于大多数企业而言，攻击者入侵系统的方式或“向量”数正在不断扩张。例如，随着信息和现实世界的 日益融合，犯罪分子和国家间谍组织正在威胁物理网络系统的ICA，如汽车、发电厂、医疗设备，甚至你的物联网冰箱。 同样地，云计算的普及应用趋势，自带设备办公(BYOD)以及物联网(IoT)的蓬勃发展也带来了新的安全挑战。 对于这些系统的安全防御工作变得尤为重要。 网络安全进一步复杂化的另一个突出表现是围绕消费者隐私的监管环境。遵守像欧盟《通用数据保护条例》 (GDPR)这样严格的监管框架还要求赋予新的角色，以确保组织能够满足GDPR和其他法规对 于隐私和安全的合规要求。 如此一来，对于网络安全专业人才的需求开始进一步增长，招聘经理们正在努力挑选合适的候选人来填补职位空缺。 但是，对于目前这种供求失衡的现状就需要组织能够把重点放在风险最大的领域中。 二、网络安全类型 网络安全的范围非常广，但其核心领域主要如下所述，对于这些核心领域任何企业都 需要予以高度的重视，将其考虑到自身的网络安全战略之中： 1. 关键基础设施 关键基础设施包括社会所依赖的物理网络系统，包括电网、净水系统、交通信号灯以及医院系统等。 例如，发电厂联网后就会很容易遭受网络攻击。负责关键基础设施的组织的解决方案是执行尽职调查， 以确保了解这些漏洞并对其进行防范。其他所有人也都应该对他们所依赖的关键基础设施， 在遭遇网络攻击后会对他们自身造成的影响进行评估，然后制定应急计划。 2. 网络安全(狭义) 网络安全要求能够防范未经授权的入侵行为以及恶意的内部人员。确保网络安全通常需要权衡利弊。 例如，访问控制(如额外登录)对于安全而言可能是必要的，但它同时也会降低生产力。 用于监控网络安全的工具会生成大量的数据，但是由于生成的数据量太多导致经常会忽略有效的告警。 为了更好地管理网络安全监控，安全团队越来越多地使用机器学习来标记异常流量，并实时生成威胁警告。 3. 云安全 越来越多的企业将数据迁移到云中也会带来新的安全挑战。例如，2017年几乎每周都会报道由于云实例配置 不当而导致的数据泄露事件。云服务提供商正在创建新的安全工具，以帮助企业用户能够更好地保护他们的数据， 但是需要提醒大家的是：对于网络安全而言，迁移到云端并不是执行尽职调查的灵丹妙药。 4. 应用安全 应用程序安全(AppSec)，尤其是Web应用程序安全已经成为最薄弱的攻击技术点，但很少有组织能够 充分缓解所有的OWASP十大Web漏洞。应用程序安全应该从安全编码实践开始， 并通过模糊和渗透测试来增强。 应用程序的快速开发和部署到云端使得DevOps作为一门新兴学科应运而生。DevOps团队通常将业务 需求置于安全之上，考虑到威胁的扩散，这个关注点可能会发生变化。 5. 物联网(IoT)安全 物联网指的是各种关键和非关键的物理网络系统，例如家用电器、传感器、打印机以及安全摄像头等。 物联网设备经常处于不安全的状态，且几乎不提供安全补丁，这样一来不仅会威胁到用户，还会威胁到 互联网上的其他人，因为这些设备经常会被恶意行为者用来构建僵尸网络。 这为家庭用户和社会带来了独特的安全挑战。