无论政府、金融、能源、军工、军队、教育还是医疗等企事业机构都在响应国家的网络安全等级保护或分级保护要求的号召,遵循网络安全法落实相关网络安全保护义务。但还是有很多的机构存在侥幸心理,认为网络安全的建设是人力和资金的纯粹支出,而总是去被动执行。

　　事实上网络安全是一种投资,是一种区别于保险投资的重要投资,一方面确保业务的安全稳定运行,减少风险发生后的补救支出,另一方面是提升自身竞争力的一种体现。不管是用户还是投资人,都希望在安全的业务平台上交易或办理业务,并不希望造成资料泄露或意外的安全事件发生。如某个电商平台、打车平台或租房平台,大家都希望个人信息得到较好的保护,而不是被滥用。银行等金融机构更加敏感,如果平台漏洞百出,用户不仅不愿意去交易使用,投资机构也会对该银行给出负面评价。

　　等级保护或分级保护是国家相关部门给出的一个基本级保护要求,很多的机构要根据自身业务的要求提出量身定制的解决方案,有的方面或许会高于等级保护相关的要求,这也正常不过。网络安全的动态发展特点,使得国家相关部门或主管机构不能专门为指定的机构确定保护的方法,各企业机构需要根据自身业务发展和规划的要求,建设网络安全人才团队,制定详细的网络安全防护策略,与网络安全企业建立良好的信息沟通和服务框架。

　　网络安全建设难度到底有多大,很多企业很茫然,有些甚至认为只要履行好相关基本的保护义务即可,其他方面可以不重视。有些机构相反会认为怎么做都会存在风险,而不知所措,这些都会造成网络安全建设错位。

　　企业应该从以下几个方面进行探索:

　　1、 风险评估体系。

　　对企业自身风险点有较清醒的认知,对行业内的要求以及国家相关主管部门的要求熟知,对业务平台的软件建设的流程或业务数据流进行仔细的评估。网络安全建设的宗旨是通过网络安全措施降低风险到能接受的程度,对残余风险进行动态跟踪,并有相应的应急预案。风险评估体系在信息系统发生变化时应该周期性的去评估。

　　2、 安全措施的有效性验证。

　　很多企业根据自身经验和同行业经验采购了大量安全产品,但并没有很好的去使用起来,很多安全策略并不严谨,漏洞百出。还有些机构对产品并不熟悉,认为安全是一次性建设并没有真正的运维使用起来,我们发现很多的规则库并没有得到及时的更新,如很多新增的业务系统日志并没有纳入到整个安全体系中来,对安全风险存在一定的盲区。日常的有效运维很重要,企业制定的安全措施要及时落实到实际运维工作中。我们在过去工作中发现用户在使用VPN传统方式组网时,很多的设备失效,数据上传不及时,而由于运维成本过高厂家无法做到及时的去维护系统。

　　3、 安全的动态监测以及动态防护。

　　很多机构根据相关要求建设了态势感知平台,但海量数据或大量的误报信息给工作带来了较大的困扰。我们建议企业根据自身业务涉及到的操作系统、数据库进行定制化的安全通告,对业务软件平台进行准确的黑箱测试并验证,进行漏洞补救。对勒索病毒或蠕虫类病毒进行查杀,针对端口协议类制定有效安全防护策略。这些措施往往比态势感知平台更为有效。

　　4、 对于反欺诈以及安全情报及时关注。

　　了解行业动态以及安全发展动态,对于安全情报及时关注,对于新型攻击等特点进行机构合作研究。有些甚至需要反向研究,在一次非正式会议场合,有个机构通过第三方平台购买个人信息,如果涉及到自身业务,采取风险提示的方式进行防护。有些机构采取蜜罐方式进行攻击行为捕获,并制定反制措施。这些方式虽然有效,但很多是游走在法律的边缘,稍不留意则会酿成大祸。

　　以上几点措施,希望对企事业机构能够带来一定的帮助,各企事业机构对于网络安全建设一方面遵循国家主管机构的要求,另一方面紧密结合自身业务特点,建设高效的安全团队落实责任制,对涉及到网络安全的新技术持续关注。网络安全的建设好坏与否将来会体现在企业的核心竞争力上,对于业务的促进也会带来较大的帮助。少追求些安全热点新名词,多些实用的基础措施落实,做好数据的保护,制定切实有效的管理措施流程,相信这对网络安全建设会更有帮助。

　　智恒科技从公司成立初期就十分重视安全产品的实用性易用性,防止网络安全产品成为一种摆设。网页防篡改是护网的最后一道防线,堡垒机是管理规范化的利器,日志审计是网络安全法中最重要的措施,WEB应用安全扫描监控,更科学的应用级漏洞管理对业务系统会带来显著的安全性提升,SD-WAN集成了丰富的安全措施,简易的开局运维,高可视化的管理会让整个网络更一目了然。

　　(全文完)

　　责任编辑:张华