在很多公司和机构中,管理层通常依据自己对网络风险的认知,来决定网络安全安全的建设方向、建设重点和投入成本。
但由于其本身在陌生领域认识的局限性、滞后性和偏差性等。因此在开展网络安全的建设过程中,常出现以下多种现象:
1. 安全建设满足合规要求就好。一些管理层们认为机构安全仅需要遵从合规要求就够了,并不愿意在安全上进行过多的投入。在实践中,合规要求是帮助机构建立良好的网络安全基线并解决已知的漏洞。但合规要求没有能充分解决和应对新的、动态的安全威胁或对复杂的攻击对手。正确的做法应该是使用基于风险评估的方法来应用较新的网络安全标准和业界较佳实践,这样比仅遵从合规能更全面和更有效地管理网络风险。
2. 过于轻信己方的安全防护能力。事实上,这些年来发生的诸多攻击事件表明,机构的网络安全防护并不是想象中的钢铁长城,在外部APT攻击以及恶意内部人员的面前,机构的网络处于巨大的威胁中。幸运的是,很多企业CISO们认为威胁形势其实十分严峻,国外公司的研究报告表明83% 的 CISO 表示,过去三年外部威胁带来的挑战不断攀升,42% 的表示外部威胁显著增加; 59% 的 CISO 强烈赞同,攻击者的水平超过了企业的防御水平。因此建议通过定期和全面的安全评估来检查真实的安全防护能力。
3. 不觉得己方将遭受到攻击,认为攻击的几率和可能性非常低。这种考虑有些基于国情的考虑,认为国内处罚严厉,黑客不敢发起攻击。有些则认为己方属于小型机构或非关键基础信息设施行业,不会引起黑客的注意。但是,较近发生的勒索病毒事件以及国外机构对境内金融机构进行DDOS攻击并进行勒索的事件证明了上诉观点的错误。
4. 期望通过某种解决方案解决绝大部分的安全问题。网络安全是一个内容涵盖非常广泛的领域,因此在网络安全建设中,不存在银子弹的解决方案,每一种方案都只能提供一定范围和一定程度上的安全防护。在这其中尤其要注意两种错误的观念,一个是认为只要有完善的外网安全防护,内网就安全;另一个是认为业务生产网和其它网络已实现物理或逻辑隔离,因此业务网是安全的。实践中,因持有这两种观点而遭遇惨重损失的企业机构案例非常之多,值得管理层们警惕。
5. 重视技术层面的投入而忽略对人员的投入。战争中,决定战争胜负的是人的因素,网络安全建设也遵循同样的道理。内部人员的安全技能、对设备工具的使用熟悉情况、人员的数量、工作的积极性和主动性都将直接影响安全工作的质量和执行效率。因此管理层们应该考虑进行安全人力资源的评估、招募或引进足够的安全人员数量(包括安全外包)、开展定期的安全培训以提升人员技能、优化KPI绩效考核以提升人员工作积极性。
成都杰创华汉数码科技有限公司的是一家专业的从事四川保密办公室设备,四川信息安全设备,四川信息保密设备,四川涉密载体及安全检查设备等保密产品,如有需要欢迎来电咨询:13908039329