在很多公司和機構(gòu)中,管理層通常依據(jù)自己對網(wǎng)絡(luò)風(fēng)險的認(rèn)知,來決定網(wǎng)絡(luò)安全安全的建設(shè)方向、建設(shè)重點和投入成本。
但由于其本身在陌生領(lǐng)域認(rèn)識的局限性、滯后性和偏差性等。因此在開展網(wǎng)絡(luò)安全的建設(shè)過程中,常出現(xiàn)以下多種現(xiàn)象:
1. 安全建設(shè)滿足合規(guī)要求就好。一些管理層們認(rèn)為機構(gòu)安全僅需要遵從合規(guī)要求就夠了,并不愿意在安全上進行過多的投入。在實踐中,合規(guī)要求是幫助機構(gòu)建立良好的網(wǎng)絡(luò)安全基線并解決已知的漏洞。但合規(guī)要求沒有能充分解決和應(yīng)對新的、動態(tài)的安全威脅或?qū)?fù)雜的攻擊對手。正確的做法應(yīng)該是使用基于風(fēng)險評估的方法來應(yīng)用較新的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和業(yè)界較佳實踐,這樣比僅遵從合規(guī)能更全面和更有效地管理網(wǎng)絡(luò)風(fēng)險。
2. 過于輕信己方的安全防護能力。事實上,這些年來發(fā)生的諸多攻擊事件表明,機構(gòu)的網(wǎng)絡(luò)安全防護并不是想象中的鋼鐵長城,在外部APT攻擊以及惡意內(nèi)部人員的面前,機構(gòu)的網(wǎng)絡(luò)處于巨大的威脅中。幸運的是,很多企業(yè)CISO們認(rèn)為威脅形勢其實十分嚴(yán)峻,國外公司的研究報告表明83% 的 CISO 表示,過去三年外部威脅帶來的挑戰(zhàn)不斷攀升,42% 的表示外部威脅顯著增加; 59% 的 CISO 強烈贊同,攻擊者的水平超過了企業(yè)的防御水平。因此建議通過定期和全面的安全評估來檢查真實的安全防護能力。
3. 不覺得己方將遭受到攻擊,認(rèn)為攻擊的幾率和可能性非常低。這種考慮有些基于國情的考慮,認(rèn)為國內(nèi)處罰嚴(yán)厲,黑客不敢發(fā)起攻擊。有些則認(rèn)為己方屬于小型機構(gòu)或非關(guān)鍵基礎(chǔ)信息設(shè)施行業(yè),不會引起黑客的注意。但是,較近發(fā)生的勒索病毒事件以及國外機構(gòu)對境內(nèi)金融機構(gòu)進行DDOS攻擊并進行勒索的事件證明了上訴觀點的錯誤。
4. 期望通過某種解決方案解決絕大部分的安全問題。網(wǎng)絡(luò)安全是一個內(nèi)容涵蓋非常廣泛的領(lǐng)域,因此在網(wǎng)絡(luò)安全建設(shè)中,不存在銀子彈的解決方案,每一種方案都只能提供一定范圍和一定程度上的安全防護。在這其中尤其要注意兩種錯誤的觀念,一個是認(rèn)為只要有完善的外網(wǎng)安全防護,內(nèi)網(wǎng)就安全;另一個是認(rèn)為業(yè)務(wù)生產(chǎn)網(wǎng)和其它網(wǎng)絡(luò)已實現(xiàn)物理或邏輯隔離,因此業(yè)務(wù)網(wǎng)是安全的。實踐中,因持有這兩種觀點而遭遇慘重?fù)p失的企業(yè)機構(gòu)案例非常之多,值得管理層們警惕。
5. 重視技術(shù)層面的投入而忽略對人員的投入。戰(zhàn)爭中,決定戰(zhàn)爭勝負(fù)的是人的因素,網(wǎng)絡(luò)安全建設(shè)也遵循同樣的道理。內(nèi)部人員的安全技能、對設(shè)備工具的使用熟悉情況、人員的數(shù)量、工作的積極性和主動性都將直接影響安全工作的質(zhì)量和執(zhí)行效率。因此管理層們應(yīng)該考慮進行安全人力資源的評估、招募或引進足夠的安全人員數(shù)量(包括安全外包)、開展定期的安全培訓(xùn)以提升人員技能、優(yōu)化KPI績效考核以提升人員工作積極性。
成都杰創(chuàng)華漢數(shù)碼科技有限公司的是一家專業(yè)的從事四川保密辦公室設(shè)備,四川信息安全設(shè)備,四川信息保密設(shè)備,四川涉密載體及安全檢查設(shè)備等保密產(chǎn)品,如有需要歡迎來電咨詢:13908039329