在當今的企業數字環境中，網絡安全建設早已不是簡單的IT技術問題，而是被上升到公司數字化轉型發展和安全生產責任的治理層面，確保網絡安全是每個現代企業組織都應努力實現的目標。然而企業要真正做好網絡安全工作并不容易，很多組織為網絡安全建設付出了巨大的努力和投資，卻始終難以獲得預期的效果，就像走進了一個巨大的迷宮中，跌跌撞撞的同時也充滿了誤區和陷阱。

面對以上困擾，Bondgate IT公司運營總監Damien Harrison認為，現代企業需要有一份清晰的行動準則和計劃，來指導企業如何更有效地開展網絡安全建設工作，這樣才能充分發揮網絡安全工作的全部價值。通過參考微軟公司的一份學習資料《安全的不可變法則》，Harrison梳理總結了網絡安全建設中應遵循的10條建設原則。

法則一、網絡安全投資是為了獲取價值，而不是追求絕對的安全

企業在開展網絡安全建設時，需要嚴格避免不計成本地追求絕對的安全性。因為在任何商業活動中，投資和價值都是密不可分的。只有價值才能證明投資的合理性。而在數字世界中，并不存在絕對的安全性，沒有任何一個系統能夠做到完全不可能被攻破，但是卻可以通過合理的保護措施，使其不會成為攻擊者的主要關注目標。

在數字世界中，攻擊者經常會尋找最容易攻破的系統，而不是那些需要大量時間、資源和專業知識的系統。這就是“安全投資回報率”概念發揮作用的地方。通過明智地投資于合適的網絡安全措施，組織可以使攻擊者需要更多的投資(時間、精力和工具)才能攻破自身的網絡系統，從而降低了他們的潛在回報。

因此，與其追求絕對安全的不可能夢想，不如集中精力投資于能夠提高攻擊成本的戰略措施。這可能包括定期的系統更新、員工培訓、多因素身份驗證等措施。網絡安全建設的目標永遠都不會是讓組織的網絡系統無法破解，而是使攻擊者不愿發起攻擊，因為它們不具備吸引力和盈利性。

法則二、停滯不前就意味著風險

網絡安全的本質就是攻防能力間的對抗，這就像一場沒有盡頭的貓鼠游戲。隨著“壞人”變得更聰明，防御者也需要不斷更新防御技能和措施。一旦網絡安全能力建設停滯不前，就可能會導致攻防間的能力缺口加大，這會帶來嚴重的網絡犯罪，而那些技能缺口嚴重、安全成熟度低的組織也成為黑客們的重點攻擊目標。因此，組織的網絡安全建設需要不斷修補弱點，及時更新優化網絡安全策略和計劃，并不斷培訓所有的員工提升網絡安全意識。

法則三、要確保安全防護措施的可用與易用

在網絡安全建設中，確保各項安全措施的可用性與易用性非常重要。如果這些措施不能被正常使用，那么再先進的技術也將失去價值。就像我們在家里安裝了一扇有很多鎖的防盜門，盡管安全性可能很好，但自己人也很難打開它，誰還會去使用它呢?同樣的，如果網絡安全措施過于復雜，那么員工們就會尋找捷徑繞過這些防護措施，這可能會產生安全性風險和漏洞。

企業在開展網絡安全建設時，首先要確保網絡安全系統的可用性。任何有效的網絡安全措施都不應對員工的日常工作流程和生產活動造成過多的干擾或阻礙。組織在制定和實施網絡安全策略時，應該找到平衡點，確保安全性和可用性之間得到良好協調。

法則四、隔離并不能保證安全

設想一下，如果我們把組織的網絡系統看成一套房子。那么一個完全隔離的房子看上去很安全，但并不切實際。網絡安全建設也是一樣，靠隔離來保障安全并不現實，需要一種更加系統、積極的防護戰略，它要求合理利用各種安全技術的能力和特點，構建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業安全工作中對縱深性、均衡性、抗易損性的多種要求。縱深化、體系化安全能力建設是現代企業網絡安全發展的必然趨勢。

法則五、攻擊面很龐大，可見性很重要

網絡攻擊者好比是狡猾的竊賊，他們會利用能找到的任何突破口趁虛而入，這可能是聯網打印機、云服務、員工的電話，甚至是一封偷偷摸摸的電子郵件。因此，增強網絡應用和資產的可見性是現代企業組織網絡安全建設的一個重要原則之一。

在實際工作中，可見性需要通過對網絡中的所有資產和攻擊面進行實時監測來實現，包括資產和攻擊面的整體可視化，以及異常情況的發現和告警，這些環節都需要結合具體的業務需求和安全策略進行靈活設計和實施。

法則六、網絡安全建設需要優先級

任何組織擁有的資源都是有限的。因此，開展網絡安全建設需要首先弄清楚什么資產對組織是最重要，并確保優先保護這些資產。在日常的安全運營中，各種監控措施會產生大數據，很多未經分類的數據沒有利用價值。組織的網絡安全決策應該基于對數據的觀察，對其進行優先級排序和可行性分析之后再進行行動。沒有基于風險的排序，組織就會將寶貴的資源浪費在一些并不重要的安全事務上。當然，隨著組織業務不斷發展變化，其所面臨的風險也會不斷演變，因此需要不斷重新評估優先保護的資產。

法則七、信任需要建立在不斷核驗的基礎上

在網絡安全工作中，我們不能輕易相信網絡上的一切東西，包括賬戶、權限和人員。因此，安全人員需要竭力確保設備、用戶和應用程序都是合規可信的。這就好比安保人員會反復多次檢查你的證件，不管他以前見過你多少次。大量實踐證明，“最小特權原則”是一種非常有效的網絡安全策略，即為每個用戶和系統授予最低限度的訪問權限。這意味著用戶只能獲得完成其工作所需的最低權限級別，而不是獲得整個系統的完全訪問權限。通過實施最小特權原則，即使某個用戶的賬戶被攻破，攻擊者也只能訪問有限的資源，從而減少潛在的損害范圍。

法則八、加密是組織網絡安全建設的“必修課”

在保障網絡安全的各種手段和技術中，密碼仍然是行業公認的最有效、最可靠、最經濟的關鍵性技術措施。如果把數據看作一個貴重的物品，那么加密就像把貴重品鎖在了保險箱里。而密鑰就是打開這個保險箱的鑰匙。如果鑰匙落入壞人之手，貴重品就面臨險境。所以，組織需要確保密鑰安全，只有合適的人才能使用。

法則九、要以人為本

在網絡安全建設工作中，技術很重要，但并不能解決所有問題，而人員往往是組織網絡安全建設最薄弱的環節，同時也是最不受重視的環節。因此，組織在開展網絡安全建設時，應該將持續的員工網絡安全意識培訓作為減小數字攻擊面的重要措施。盡管人為性錯誤難以避免，但能通過適當的教育和培訓，可以大大降低導致數據泄露危害發生的可能性。

法則十、只有團隊合作才能讓夢想成真

網絡安全建設是一項需要協調、溝通和協作的團隊工作，它需要具備各種安全技能的專業人員，同時具備體系化的專業知識。如果僅靠幾個優秀安全工程師單打獨斗，必然會疏漏某些關鍵信息，而這些疏漏的信息可能帶來災難性后果。

企業在開展網絡安全建設時，如果要避免任何可能的疏忽，就需要對安全事件進行全面處理，因此安全團隊需要借助現代化的協同工具實現相互協作，將工具、人員、流程和自動化連入透明的工作場所，使信息、想法和數據處于最顯眼的位置。只有團隊合作才能更好地協作工作，真正實現網絡安全建設的預期目標。

參考鏈接：https://www.linkedin.com/pulse/demystifying-cybersecurity-10-laws-you-need-know-damien-harrison-03pqe?trk=public_post