鐘劍

摘要：隨著網(wǎng)絡(luò)安全事件帶來(lái)的損失越來(lái)越大，企業(yè)的網(wǎng)絡(luò)安全建設(shè)顯得更加重要。文章從頂層設(shè)計(jì)的角度出發(fā)，提出企業(yè)網(wǎng)絡(luò)安全建設(shè)關(guān)鍵因素，并給出相應(yīng)的解決辦法。研究表明，網(wǎng)絡(luò)安全各要素之間是相互聯(lián)系、相互影響的，在建設(shè)中應(yīng)該根據(jù)企業(yè)實(shí)際，優(yōu)先解決重要的問(wèn)題。

關(guān)鍵詞：網(wǎng)絡(luò)安全建設(shè);關(guān)鍵因素;企業(yè)

中圖分類(lèi)號(hào)：TN915.08????????? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

網(wǎng)絡(luò)安全是信息系統(tǒng)健康、連續(xù)運(yùn)行的重要保障，隨著信息化的發(fā)展，網(wǎng)絡(luò)安全事件時(shí)有發(fā)生，造成的損失也越來(lái)越大。為了“建立健全網(wǎng)絡(luò)安全保障體系，有力地促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展”，國(guó)務(wù)院于2012年出臺(tái)了《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障網(wǎng)絡(luò)安全的若干意見(jiàn)》，從多個(gè)方面對(duì)我國(guó)網(wǎng)絡(luò)安全建設(shè)進(jìn)行了指導(dǎo)[1]。

通常來(lái)說(shuō)，網(wǎng)絡(luò)安全主要面臨的是來(lái)自?xún)?nèi)部和外部的、有意識(shí)和無(wú)意識(shí)的破壞。網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)的工程，涉及到組織管理、技術(shù)、經(jīng)費(fèi)、人才、法律等方面。多年以來(lái)，企業(yè)網(wǎng)絡(luò)安全的工作重點(diǎn)都是放在技術(shù)方面，研究開(kāi)發(fā)了大量的新技術(shù)、硬件等，但很少有能從頂層設(shè)計(jì)來(lái)進(jìn)行研究判斷的，或者只是籠統(tǒng)地給出了一些建議，并沒(méi)有指出哪些是建設(shè)的重點(diǎn)。實(shí)際上，大多數(shù)企業(yè)工作人員并不了解哪些是應(yīng)該要著重解決的，因此往往是整體抓，什么都做，又力不從心，造成了投入巨大而收效甚微的局面。本文從頂層設(shè)計(jì)的角度出發(fā)，詳細(xì)地論述了企業(yè)網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素，并對(duì)其重要性和相互之間的影響做出分析，為企業(yè)提供參考。

2 研究現(xiàn)狀

目前，針對(duì)網(wǎng)絡(luò)安全建設(shè)中關(guān)鍵因素的研究較少，文獻(xiàn)[1]把ISO/IEC27001的網(wǎng)絡(luò)安全體系和國(guó)家電網(wǎng)現(xiàn)有體系進(jìn)行了比較分析，給出了電網(wǎng)網(wǎng)絡(luò)安全建設(shè)的建議[2];文獻(xiàn)[3]在對(duì)128個(gè)國(guó)家9300名的管理人員進(jìn)行調(diào)查后，得出了17個(gè)方面的結(jié)論，其中在亞洲地區(qū)，網(wǎng)絡(luò)安全工作人員更希望能夠增加網(wǎng)絡(luò)安全預(yù)算，企業(yè)比較重視注重網(wǎng)絡(luò)安全設(shè)施的同步規(guī)劃、同步建設(shè)、同步運(yùn)行以及移動(dòng)設(shè)備和云安全。

從實(shí)際的情況看，在網(wǎng)絡(luò)安全的建設(shè)過(guò)程中，企業(yè)希望能夠根據(jù)自身的情況進(jìn)行防護(hù)，網(wǎng)絡(luò)安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估是最有效的辦法。如前文所述，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)化的工程，里面包含有諸多因素，把關(guān)鍵因素提取出來(lái)，能夠使得企業(yè)集中現(xiàn)有精力解決最主要的問(wèn)題，根據(jù)實(shí)際情況在后續(xù)的過(guò)程中逐漸改進(jìn)，從而可以避免多頭建設(shè)、輕重不分的情況。

根據(jù)沈昌祥院士在第十七次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流主題會(huì)上提出的觀點(diǎn)，我國(guó)網(wǎng)絡(luò)安全保障體系應(yīng)包含六個(gè)體系：組織管理體系、法律保障體系、技術(shù)保障體系、基礎(chǔ)設(shè)施保障體系、經(jīng)費(fèi)保障體系、人才培養(yǎng)體系[4]。對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，這也是有著重要的參考意義的。根據(jù)實(shí)際的經(jīng)驗(yàn)，要想做好這六個(gè)方面的工作，其實(shí)并不容易，尤其是在一些企業(yè)中，人力和經(jīng)費(fèi)都得不到充分的保證，而且網(wǎng)絡(luò)安全建設(shè)在每一個(gè)企業(yè)的情況都不相同，這使得網(wǎng)絡(luò)安全的建設(shè)標(biāo)準(zhǔn)在實(shí)施中困難重重，往往使得工作人員無(wú)所適從。為了對(duì)我國(guó)西部地區(qū)網(wǎng)絡(luò)安全保障工作體系建設(shè)現(xiàn)狀進(jìn)行調(diào)查，工信部網(wǎng)絡(luò)安全協(xié)調(diào)司于2013年組織了針對(duì)此現(xiàn)狀的調(diào)查，并形成了調(diào)查報(bào)告。報(bào)告中，總結(jié)并采用了36個(gè)指標(biāo)對(duì)西部地區(qū)網(wǎng)絡(luò)安全保障工作體系進(jìn)行描述[5]。本文根據(jù)西部地區(qū)報(bào)告的指標(biāo)進(jìn)行提煉，得到幾個(gè)在網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素：組織管理機(jī)構(gòu)、網(wǎng)絡(luò)安全發(fā)展規(guī)劃、教育培訓(xùn)、經(jīng)費(fèi)預(yù)算、網(wǎng)絡(luò)安全制度和規(guī)范。

本文主要研究網(wǎng)絡(luò)安全建設(shè)過(guò)程中的關(guān)鍵因素，同時(shí)指出各因素對(duì)網(wǎng)絡(luò)安全整體建設(shè)的影響和他們之間的相互關(guān)系，幫助網(wǎng)絡(luò)安全工作人員更好地了解網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵問(wèn)題，幫助企業(yè)做出決策。

3 網(wǎng)絡(luò)安全建設(shè)中的關(guān)鍵因素

3.1 組織管理機(jī)構(gòu)

組織管理機(jī)構(gòu)是一個(gè)企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)和核心。在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中，管理才是最重要的措施。一般來(lái)說(shuō)，按照國(guó)家要求，重點(diǎn)領(lǐng)域內(nèi)的政府機(jī)構(gòu)和企業(yè)都需要有一個(gè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組工作的好與壞，直接決定了該企業(yè)網(wǎng)絡(luò)安全建設(shè)的好與壞。如圖1所示，顯示了組織管理機(jī)構(gòu)對(duì)企業(yè)網(wǎng)絡(luò)安全建設(shè)和其他因素的影響。

作為一個(gè)有效的組織管理機(jī)構(gòu)，首先應(yīng)該要得到企業(yè)的任命，如果機(jī)構(gòu)的工作職責(zé)沒(méi)有得到確認(rèn)，員工對(duì)其工作就不理解和認(rèn)同，從而使得下一步的工作困難重重。其次，為了明確組織管理機(jī)構(gòu)的職責(zé)，書(shū)面形式的文檔是必須的，在ISO 17799中，有書(shū)面文檔是首先要進(jìn)行的第一項(xiàng)重要內(nèi)容。書(shū)面文檔不應(yīng)該僅僅定義組織管理機(jī)構(gòu)的工作內(nèi)容，對(duì)責(zé)任也應(yīng)該有所涉及，針對(duì)不同的用戶(hù)組進(jìn)行不同的行為管理，對(duì)文檔的編寫(xiě)、升級(jí)、管理維護(hù)人員也都有明確的規(guī)定。這樣，才能夠使得企業(yè)的網(wǎng)絡(luò)安全組織管理機(jī)構(gòu)運(yùn)行規(guī)范、效率，而不是僅僅在發(fā)生網(wǎng)絡(luò)安全事件以后才采取相應(yīng)的措施。例如，對(duì)于網(wǎng)絡(luò)安全的處罰，先制定好違規(guī)行為和處罰規(guī)定，在發(fā)生網(wǎng)絡(luò)安全事件并對(duì)職工進(jìn)行處罰時(shí)，就不會(huì)顯得毫無(wú)依據(jù)，而且也十分有利于執(zhí)行內(nèi)部和外部的安全審計(jì)。

一般來(lái)說(shuō)，想要做好企業(yè)的網(wǎng)絡(luò)安全組織管理工作，應(yīng)該優(yōu)先考慮從幾個(gè)方面進(jìn)行。

（1）組織管理機(jī)構(gòu)對(duì)于企業(yè)的網(wǎng)絡(luò)安全建設(shè)有一個(gè)全局的策略。有專(zhuān)職的網(wǎng)絡(luò)安全工作人員并能定期向CEO、CFO、COO等企業(yè)領(lǐng)導(dǎo)成員匯報(bào)網(wǎng)絡(luò)安全概況;有網(wǎng)絡(luò)安全工作計(jì)劃并能及時(shí)回顧上一個(gè)工作期的工作落實(shí)情況，能確切地了解在企業(yè)內(nèi)部和企業(yè)外部發(fā)生的網(wǎng)絡(luò)安全事件，以便針對(duì)企業(yè)現(xiàn)狀做出適當(dāng)?shù)墓ぷ饔?jì)劃調(diào)整。以“震網(wǎng)”事件為例，每一個(gè)基礎(chǔ)設(shè)施管理部門(mén)的網(wǎng)絡(luò)安全工作人員都應(yīng)該對(duì)其有深入的了解，包括病毒攻擊的渠道、攻擊途徑、防護(hù)措施等。

（2）把網(wǎng)絡(luò)安全支出作為信息系統(tǒng)建設(shè)成本和企業(yè)項(xiàng)目建設(shè)的一部分。在信息系統(tǒng)建設(shè)的初期，對(duì)網(wǎng)絡(luò)安全采取同步規(guī)劃、同步建設(shè)、同步運(yùn)行的措施，以確保系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低。隨著企業(yè)信息化建設(shè)的逐步推進(jìn)，安全防護(hù)設(shè)施的“三同步”顯得尤為重要，在信息系統(tǒng)設(shè)計(jì)的時(shí)候沒(méi)有考慮安全設(shè)施的同步規(guī)劃，將會(huì)導(dǎo)致信息系統(tǒng)建成即有缺陷，建設(shè)完成后帶著安全隱患運(yùn)行。根據(jù)實(shí)際經(jīng)驗(yàn)，后期再進(jìn)行整改的投入往往較大，技術(shù)難度也更高。

（3）建立規(guī)范的考核制度，對(duì)組織管理機(jī)構(gòu)人員的工作進(jìn)行評(píng)價(jià)，幫助企業(yè)更好地了解組織管理機(jī)構(gòu)人員的實(shí)際工作情況，從而為員工制定能力發(fā)展計(jì)劃提供依據(jù)。

3.2 網(wǎng)絡(luò)安全發(fā)展規(guī)劃

制定企業(yè)的網(wǎng)絡(luò)安全發(fā)展規(guī)劃是網(wǎng)絡(luò)安全工作人員的責(zé)任，需要所有企業(yè)人員的配合、支持和參與，因?yàn)榫W(wǎng)絡(luò)安全的發(fā)展規(guī)劃與企業(yè)的發(fā)展規(guī)劃息息相關(guān)，所以應(yīng)該保持其與企業(yè)發(fā)展目標(biāo)的一致性，確保網(wǎng)絡(luò)安全始終為企業(yè)的發(fā)展服務(wù)。圖2為網(wǎng)絡(luò)安全發(fā)展規(guī)劃所涉及的幾個(gè)方面內(nèi)容。

“凡事預(yù)則立不預(yù)則廢”。在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中，進(jìn)行規(guī)劃是一件很重要的事情，因?yàn)樗_定了未來(lái)幾年的工作方向和重點(diǎn)，以及所采取的網(wǎng)絡(luò)安全策略。文獻(xiàn)[6]指出：在系統(tǒng)設(shè)計(jì)階段就應(yīng)該考慮部署網(wǎng)絡(luò)安全的策略和方法，并且要根據(jù)設(shè)備的負(fù)載能力等來(lái)進(jìn)行適當(dāng)?shù)恼{(diào)整，在執(zhí)行部署時(shí)，應(yīng)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。同時(shí)，對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，這意味著一種企業(yè)文化上的轉(zhuǎn)變，這種轉(zhuǎn)變是長(zhǎng)期的，而且見(jiàn)效緩慢，因此在一開(kāi)始就制定好適合企業(yè)的網(wǎng)絡(luò)安全發(fā)展規(guī)劃和支持活動(dòng)，將會(huì)使得以后的網(wǎng)絡(luò)安全工作遇到的障礙明顯地減少。制定企業(yè)網(wǎng)絡(luò)安全發(fā)展規(guī)劃，要注意把握三個(gè)方面的工作。

（1）保持網(wǎng)絡(luò)安全目標(biāo)與企業(yè)目標(biāo)的一致性。舉例來(lái)說(shuō)，網(wǎng)絡(luò)安全建設(shè)成本應(yīng)該是小于所保護(hù)目標(biāo)的價(jià)值，不然網(wǎng)絡(luò)安全的建設(shè)將毫無(wú)意義。根據(jù)目標(biāo)的價(jià)值、重要程度來(lái)采取不同水平的控制措施，既能夠最大化地保障企業(yè)網(wǎng)絡(luò)安全的利益，對(duì)員工的日常工作影響也將明顯地減少。還有要注意的就是，在制定網(wǎng)絡(luò)安全策略時(shí)，必須要與技術(shù)人員進(jìn)行充分交流，保證企業(yè)業(yè)務(wù)的可靠性、整體性、可用性，因此要確保技術(shù)人員的特殊要求能夠在網(wǎng)絡(luò)安全策略里被優(yōu)先得到滿(mǎn)足。

（2）制定多種計(jì)劃，包括災(zāi)備恢復(fù)、應(yīng)急響應(yīng)、操作計(jì)劃、評(píng)估計(jì)劃等，這些工作都需要必要的硬件設(shè)施作為基礎(chǔ)，因此要搭建硬件環(huán)境，并估算設(shè)備的承載能力和功能設(shè)計(jì)與實(shí)際需求的差別，選擇一個(gè)最合適的方案。

（3）對(duì)用戶(hù)采取有效的控制計(jì)劃。根據(jù)職工所在部門(mén)采取劃分不同用戶(hù)組的辦法，對(duì)于企業(yè)核心信息了解得越多的用戶(hù)，其所采用的行為控制應(yīng)該越嚴(yán)格。在保證商業(yè)連續(xù)性的條件下，對(duì)企業(yè)其他員工的活動(dòng)采取適當(dāng)控制，例如內(nèi)部控制、監(jiān)測(cè)控制、預(yù)防控制、校正控制等，同時(shí)為企業(yè)信息搭建合適的控制環(huán)境，例如分級(jí)管理、認(rèn)證與接入控制、通信與操作管理等。

3.3 教育培訓(xùn)

網(wǎng)絡(luò)安全教育技能培訓(xùn)的重要性一直都是國(guó)際社會(huì)在網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)關(guān)注目標(biāo)。以美國(guó)為例，其發(fā)布的《網(wǎng)絡(luò)空間安全戰(zhàn)略》就明確提出了要求加強(qiáng)“網(wǎng)絡(luò)教育和勞動(dòng)力發(fā)展培訓(xùn)”，而2009年奧巴馬公布的《網(wǎng)絡(luò)空間政策評(píng)估—保障可信和強(qiáng)健的信息和通信基礎(chǔ)設(shè)施》報(bào)告中，也要求“提升公眾的網(wǎng)絡(luò)安全意識(shí)，加強(qiáng)網(wǎng)絡(luò)安全教育”。

多年以來(lái)，在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中一直都存在“重技術(shù)，輕管理”的現(xiàn)象，大部分工作人員安全意識(shí)淡薄，基本沒(méi)有經(jīng)過(guò)系統(tǒng)的網(wǎng)絡(luò)安全意識(shí)和教育培訓(xùn)，對(duì)網(wǎng)絡(luò)安全一知半解。而在實(shí)際的情況中，80%以上的成功入侵都是利用了人的無(wú)知、麻痹和懶惰，對(duì)安全策略知之甚少的企業(yè)。因?yàn)閱T工個(gè)人問(wèn)題而存在網(wǎng)絡(luò)安全漏洞的比例高達(dá)93%，這些漏洞包括網(wǎng)絡(luò)安全工作人員技術(shù)實(shí)力達(dá)不到要求、員工不重視網(wǎng)絡(luò)安全、對(duì)公司知識(shí)產(chǎn)權(quán)沒(méi)有保護(hù)意識(shí)等，而36%最嚴(yán)重的網(wǎng)絡(luò)安全事件都是由于人員疏忽而造成的[7]。

2018年8月，華住集團(tuán)發(fā)生一起嚴(yán)重的酒店客戶(hù)數(shù)據(jù)泄露事件。犯罪嫌疑人竊取了華住旗下酒店的用戶(hù)數(shù)據(jù)并將其掛在境外網(wǎng)站上出售，后來(lái)經(jīng)過(guò)技術(shù)人員對(duì)日志進(jìn)行審計(jì)和分析，發(fā)現(xiàn)華住集團(tuán)技術(shù)人員存在著低級(jí)管理問(wèn)題，使用了非常簡(jiǎn)單的超級(jí)管理員賬號(hào)密碼。2018年9月，烏克蘭武裝部隊(duì)某個(gè)自動(dòng)化控制系統(tǒng)服務(wù)器被研究人員發(fā)現(xiàn)存在大量的弱密碼，上報(bào)以后，上級(jí)部門(mén)并沒(méi)有將該問(wèn)題進(jìn)行解決，后來(lái)該研究人員經(jīng)過(guò)簡(jiǎn)單的滲透測(cè)試，甚至入侵到了國(guó)防部網(wǎng)絡(luò)，他們驚訝地發(fā)現(xiàn)國(guó)防部部分網(wǎng)絡(luò)是沒(méi)有密碼的，而在其將問(wèn)題再次上報(bào)以后的4個(gè)月時(shí)間內(nèi)，訪(fǎng)問(wèn)烏克蘭國(guó)防部部分服務(wù)器和計(jì)算機(jī)的密碼一直沒(méi)有更改。

人是網(wǎng)絡(luò)安全技術(shù)的載體，隨著信息技術(shù)的發(fā)展，黑客的技術(shù)也在不斷進(jìn)步，現(xiàn)階段攻擊的特點(diǎn)是：攻擊成本低，實(shí)現(xiàn)簡(jiǎn)單，造成的損失逐漸加大。根據(jù)調(diào)查，對(duì)自己企業(yè)網(wǎng)絡(luò)安全有信心的人員比例每年都在下降[7]，因?yàn)楣艏夹g(shù)無(wú)時(shí)無(wú)刻不在發(fā)展，如不加強(qiáng)學(xué)習(xí)，幾年后技術(shù)人員將會(huì)發(fā)現(xiàn)自己對(duì)網(wǎng)絡(luò)安全新知識(shí)一無(wú)所知，無(wú)能為力。圖3顯示了缺乏網(wǎng)絡(luò)安全教育培訓(xùn)所引發(fā)的一系列影響。

對(duì)于企業(yè)來(lái)說(shuō)，想要做好網(wǎng)絡(luò)安全教育培訓(xùn)工作，可以從三個(gè)方面進(jìn)行。

（1）新員工的入職培訓(xùn)，包括網(wǎng)絡(luò)安全技能培訓(xùn)和意識(shí)培訓(xùn)，幫助其熟悉企業(yè)現(xiàn)階段所采取的網(wǎng)絡(luò)安全策略、重要的信息資產(chǎn)、網(wǎng)絡(luò)安全有關(guān)管理等;老員工的技能培訓(xùn)，包括操作系統(tǒng)的安全配置、安全設(shè)備的設(shè)置、網(wǎng)絡(luò)設(shè)備的安全配置、設(shè)置訪(fǎng)問(wèn)控制策略等。在設(shè)備方面，有研究指出，沒(méi)有經(jīng)過(guò)正確配置的安全設(shè)備有時(shí)反而會(huì)減弱企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力[8]。

（2）對(duì)于沒(méi)有組織過(guò)技能培訓(xùn)和意識(shí)培訓(xùn)的企業(yè)，可以考慮組織一次全員的系統(tǒng)培訓(xùn)，這樣做的效果是相當(dāng)明顯的。實(shí)際工作證明，派遣人員參加過(guò)網(wǎng)絡(luò)安全培訓(xùn)的企業(yè)比沒(méi)有參加過(guò)任何培訓(xùn)的企業(yè)，在系統(tǒng)防護(hù)能力上更勝一籌，并且參加培訓(xùn)的人員等級(jí)越高，效果越明顯。

（3）組織管理機(jī)構(gòu)成員要進(jìn)一步加強(qiáng)對(duì)企業(yè)的認(rèn)知，而不是僅僅將重點(diǎn)放在網(wǎng)絡(luò)安全技術(shù)上。鑒于每一家企業(yè)的特殊性，照搬其他企業(yè)或機(jī)構(gòu)的做法是不明智的，從企業(yè)本身出發(fā)才能更好地從整體上考慮建設(shè)的問(wèn)題。而這些出發(fā)點(diǎn)包括企業(yè)的資金預(yù)算、資產(chǎn)價(jià)值、重點(diǎn)保護(hù)的資產(chǎn)、現(xiàn)有防護(hù)能力、現(xiàn)有設(shè)備、當(dāng)前采用的策略、企業(yè)下一步的發(fā)展重點(diǎn)等。

3.4 經(jīng)費(fèi)預(yù)算

經(jīng)費(fèi)是網(wǎng)絡(luò)安全建設(shè)的保障，在企業(yè)里，隨著近年來(lái)設(shè)備投入和人員花費(fèi)的逐漸提高，政策制定者和研究者逐漸開(kāi)始對(duì)網(wǎng)絡(luò)安全的經(jīng)費(fèi)支出表現(xiàn)出加大的關(guān)注。如圖4所示，網(wǎng)絡(luò)安全經(jīng)費(fèi)包含了幾個(gè)方面的支出。

隨著黑客能力的提升，網(wǎng)絡(luò)安全事件造成的損失逐年上升，具有攻擊成本低、實(shí)現(xiàn)簡(jiǎn)單、防御難度大、成本高的特點(diǎn)。

由于缺少網(wǎng)絡(luò)安全經(jīng)費(fèi)，設(shè)備和系統(tǒng)的改造、升級(jí)、購(gòu)置、維護(hù)等沒(méi)有保證，有些企業(yè)的安全設(shè)備一用就是十幾年，設(shè)備已遠(yuǎn)遠(yuǎn)跟不上需求。在這些企業(yè)里，往往都是靠技術(shù)人員自身的技術(shù)實(shí)力來(lái)進(jìn)行網(wǎng)絡(luò)安全防護(hù)，但由于缺乏經(jīng)費(fèi)，導(dǎo)致人員缺乏網(wǎng)絡(luò)安全培訓(xùn)，技能沒(méi)有得到提升，不能及時(shí)發(fā)現(xiàn)和解決現(xiàn)有問(wèn)題，也造成了對(duì)自己網(wǎng)絡(luò)安全能力有信心的人員比例每年都在下降。為了解決這一問(wèn)題，可以從兩個(gè)方面考慮。

（1）根據(jù)防護(hù)目標(biāo)的價(jià)值來(lái)選擇網(wǎng)絡(luò)安全花費(fèi)，根據(jù)系統(tǒng)的功能來(lái)選擇重點(diǎn)需要防護(hù)的要害部位，根據(jù)人員情況選擇培訓(xùn)的重點(diǎn)。

（2）用宏觀經(jīng)濟(jì)學(xué)和工商管理的理論方法來(lái)分析網(wǎng)絡(luò)安全領(lǐng)域的經(jīng)費(fèi)投入問(wèn)題。一般來(lái)說(shuō)，企業(yè)在經(jīng)費(fèi)方面所面臨的問(wèn)題往往都是：到底要投入多少才夠？文獻(xiàn)[9]提供了一種經(jīng)典的成本評(píng)價(jià)和決策規(guī)則來(lái)進(jìn)行分析的方法—凈現(xiàn)值模型分法（Net Present Value）。當(dāng)涉及到經(jīng)費(fèi)問(wèn)題時(shí)，可以先取得網(wǎng)絡(luò)安全建設(shè)的量化期望，因?yàn)榱炕诰W(wǎng)絡(luò)安全建設(shè)上會(huì)顯得更精確、更客觀和有對(duì)比性。本文3.1的第二條建議也指出，應(yīng)該要把網(wǎng)絡(luò)安全技術(shù)支出作為項(xiàng)目成本分析的一部分，并且從投資的角度來(lái)考慮這個(gè)問(wèn)題，而量化是進(jìn)行計(jì)算和統(tǒng)計(jì)分析的基礎(chǔ)。通常來(lái)說(shuō)，網(wǎng)絡(luò)安全預(yù)算占到信息化建設(shè)預(yù)算的10%是比較合理的。

3.5 網(wǎng)絡(luò)安全制度和規(guī)范

對(duì)于一個(gè)有效的網(wǎng)絡(luò)安全管理來(lái)說(shuō)，制度和規(guī)范是必不可少的，它涵蓋了網(wǎng)絡(luò)安全建設(shè)的方方面面。隨著信息技術(shù)的發(fā)展，因特網(wǎng)、云服務(wù)、網(wǎng)絡(luò)之間的互連對(duì)于企業(yè)來(lái)說(shuō)變得越來(lái)越重要，阻止員工不上互聯(lián)網(wǎng)，無(wú)論是從技術(shù)手段還是從實(shí)際的工作需要出發(fā)，都不太現(xiàn)實(shí)，而且對(duì)于很多企業(yè)來(lái)說(shuō)是不可能的。另外，由于信息數(shù)據(jù)對(duì)于企業(yè)來(lái)說(shuō)正變得越來(lái)越重要，而員工的意識(shí)和習(xí)慣卻還是基于過(guò)去的認(rèn)知，因此有必要制定相關(guān)的制度和規(guī)范來(lái)對(duì)員工的網(wǎng)絡(luò)安全行為進(jìn)行約束和規(guī)范，從而建立起一個(gè)良好的網(wǎng)絡(luò)安全環(huán)境，內(nèi)容如圖5所示。

在制定制度和規(guī)范之前，首先需要考慮一個(gè)問(wèn)題：制度和規(guī)范對(duì)于企業(yè)的影響是否是有利的？畢竟，制度和規(guī)范對(duì)于員工來(lái)說(shuō)更多的是一種約束?；仡?“千禧蟲(chóng)危機(jī)”，不難得到，盡管這個(gè)問(wèn)題早就被國(guó)際重視，但是很少有國(guó)家采取積極措施來(lái)對(duì)其進(jìn)行防御。尷尬的是，根據(jù)2013年至2018年間對(duì)廣西重要信息系統(tǒng)的檢查結(jié)果來(lái)看，網(wǎng)絡(luò)安全也同樣面臨著這樣的情況，絕大多數(shù)企業(yè)都知道網(wǎng)絡(luò)安全會(huì)帶來(lái)危害，但是能在事前采取積極行動(dòng)的企業(yè)卻不多，很多都是在發(fā)生了網(wǎng)絡(luò)安全事件以后才采取了相應(yīng)的措施。在網(wǎng)絡(luò)安全建設(shè)方面，規(guī)章和規(guī)范是確保制度有效的利器，在得到有效執(zhí)行的情況下，制度和規(guī)范會(huì)迫使企業(yè)和員工采取一些積極的應(yīng)對(duì)措施，從而使得企業(yè)的網(wǎng)絡(luò)安全建設(shè)更為有效，對(duì)于企業(yè)來(lái)說(shuō)是利大于弊的。

2019年，法律法規(guī)在經(jīng)濟(jì)領(lǐng)域和政府機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)中，仍然顯得相當(dāng)重要。SP800-30中，提高風(fēng)險(xiǎn)管理可以從風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)削減、評(píng)價(jià)和評(píng)估這三方面進(jìn)行，而法律、規(guī)則和指導(dǎo)文件則很好地對(duì)這三個(gè)方面進(jìn)行了規(guī)定。根據(jù)MSI所建立的網(wǎng)絡(luò)安全模型，網(wǎng)絡(luò)安全是由技術(shù)、方針和意識(shí)構(gòu)成的金字塔，技術(shù)在最上層，方針位于中間層，而意識(shí)則處在最底層[10]。多方面的調(diào)查也顯示，網(wǎng)絡(luò)安全更多的是一個(gè)管理問(wèn)題而不僅僅是技術(shù)問(wèn)題，意識(shí)是真正提高安全的唯一途徑，為了提高員工意識(shí)，則應(yīng)該制定規(guī)則和制度文件。

規(guī)范的重要性在于給技術(shù)人員提供了建設(shè)的標(biāo)準(zhǔn)，包括防護(hù)水平、防護(hù)的重點(diǎn)、所采用的技術(shù)設(shè)備以及控制粒度等方面的內(nèi)容。沒(méi)有任何一個(gè)策略能夠做到100%的安全，但是一個(gè)好的策略無(wú)疑會(huì)使得安全風(fēng)險(xiǎn)大大降低，而策略最終需要通過(guò)規(guī)范來(lái)確定實(shí)施。

總的來(lái)說(shuō)，制度和規(guī)范對(duì)于企業(yè)來(lái)說(shuō)具有幾個(gè)好處。

（1）聚焦那些什么都不做的人，至少讓他們采取一些改變，如果制度正確的話(huà)，那么這種改變對(duì)于企業(yè)來(lái)說(shuō)是積極的。如員工在防火墻和防病毒軟件的保護(hù)下很少會(huì)做出其它防護(hù)措施，企業(yè)重視接口的防護(hù)而忽略了終端和對(duì)用戶(hù)的管理，這里面就有很大的提升空間。

（2）制度能帶來(lái)更高的安全意識(shí)，如果以前僅僅是覺(jué)得安裝了殺毒軟件以后就無(wú)所謂了，現(xiàn)在至少會(huì)有一些行為上的改變。如上網(wǎng)會(huì)留意到是否瀏覽了有惡意代碼的網(wǎng)站，終端使用習(xí)慣有所改變（如鎖定電腦屏幕、設(shè)置登錄密碼等）。而把安全活動(dòng)提高到公司的制度上來(lái)，無(wú)疑會(huì)讓員工更清楚地意識(shí)到自己的責(zé)任，從而提高警戒心，形成良好的習(xí)慣。

（3）為網(wǎng)絡(luò)安全建立了一個(gè)機(jī)構(gòu)層面的責(zé)任，并且定義了網(wǎng)絡(luò)安全的關(guān)鍵角色和責(zé)任，工作人員會(huì)因?yàn)樗袚?dān)的網(wǎng)絡(luò)安全責(zé)任而更加地重視網(wǎng)絡(luò)安全建設(shè)。同時(shí)，制度和規(guī)范也提供了一些其他的必要要求和指導(dǎo)，如制度的指向性會(huì)讓職工明確其所擁有資源的重要性。

為了能夠讓制度和規(guī)范更好地起作用，可以考慮從幾方面進(jìn)行。

（1）完善與外包公司之間的網(wǎng)絡(luò)安全制度。對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)是核心資產(chǎn)，數(shù)據(jù)泄漏則是重要的防御對(duì)象，而我國(guó)企業(yè)里很少有與外包公司簽訂網(wǎng)絡(luò)安全協(xié)議的。由于服務(wù)提供商具有的權(quán)限比較高，他們往往可以對(duì)數(shù)據(jù)進(jìn)行刪除和操作，而企業(yè)的商業(yè)公告、發(fā)展報(bào)告、服務(wù)器IP、服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)漏洞、用戶(hù)的使用習(xí)慣等都很容易地被外包公司了解，所以制定外包公司的合作制度能起著防范作用。

（2）力求讓每個(gè)人都清楚地理解到，將商業(yè)數(shù)據(jù)綁定在信息系統(tǒng)上的風(fēng)險(xiǎn)，并能按照制定的方針和方法來(lái)操作，以規(guī)避此風(fēng)險(xiǎn)。關(guān)鍵的控制目標(biāo)應(yīng)納入員工的績(jī)效考評(píng)里，對(duì)違規(guī)的行為進(jìn)行調(diào)查和采取行動(dòng)，僅僅靠口頭說(shuō)明，其約束力往往比較薄弱，而且容易給員工造成管理混亂，不知道哪些事可以做，哪些事不能做。

（3）經(jīng)驗(yàn)告知，對(duì)一些重點(diǎn)領(lǐng)域的企業(yè)來(lái)說(shuō)，政府的干預(yù)和調(diào)節(jié)是必然要發(fā)生的事情，尤其是對(duì)于那些重要的基礎(chǔ)設(shè)施管理企業(yè)。制定制度和規(guī)范將會(huì)使得政府機(jī)構(gòu)對(duì)這些比較放心，而且對(duì)于用戶(hù)來(lái)說(shuō)，也顯得他們的數(shù)據(jù)得到了保障。

4 綜合分析

在實(shí)際的網(wǎng)絡(luò)安全建設(shè)中，以上幾個(gè)因素如果沒(méi)有做好，將會(huì)產(chǎn)生各種問(wèn)題，從而增加系統(tǒng)風(fēng)險(xiǎn)，并且這些問(wèn)題并不是孤立的，關(guān)系如圖6所示。

通過(guò)圖6不難看出，網(wǎng)絡(luò)安全的各種因素相互制約，當(dāng)某一方面出現(xiàn)問(wèn)題時(shí)，會(huì)對(duì)另一方面產(chǎn)生聯(lián)動(dòng)的消極影響。因此，企業(yè)應(yīng)該全面考慮這些問(wèn)題對(duì)系統(tǒng)的影響，并將各種問(wèn)題綜合考慮進(jìn)行處理，以降低信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。企業(yè)如果想做好網(wǎng)絡(luò)安全的防護(hù)工作，則應(yīng)該抓住其中的關(guān)鍵因素，并著力于解決自身能解決的問(wèn)題。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全建設(shè)不僅僅只是技術(shù)問(wèn)題，更多的是一個(gè)組織管理問(wèn)題，對(duì)于企業(yè)來(lái)說(shuō)，由于考慮到成本和效益的特殊性，根據(jù)自身實(shí)際選擇適當(dāng)?shù)牟呗允潜夭豢缮俚?。本文從網(wǎng)絡(luò)安全頂層設(shè)計(jì)角度出發(fā)，提出企業(yè)在網(wǎng)絡(luò)安全建設(shè)中的幾個(gè)關(guān)鍵因素，并且分析了它們的重要性及其互相之間的影響，最后給出相應(yīng)的建議。實(shí)際工作表明，企業(yè)的網(wǎng)絡(luò)安全建設(shè)并不能簡(jiǎn)單地照搬政府機(jī)構(gòu)的網(wǎng)絡(luò)安全做法，而是需要從投資、成本、收益等不同角度來(lái)考慮，充分分析哪一個(gè)因素是目前亟需解決并且是企業(yè)自身可以解決的，從而最終得到適合自身的策略計(jì)劃。

參考文獻(xiàn)

[1]?國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障網(wǎng)絡(luò)安全的若干意見(jiàn)（國(guó)發(fā)〔2012〕23號(hào)）.

[2]?張浩，詹輝紅.基于ISO_IEC27001的網(wǎng)絡(luò)安全體系與國(guó)家電網(wǎng)公司現(xiàn)有體系的比較研究[J].電力信息化，2009（5）：43-46.

[3]?Gary Loveland，Mark Lobel ，Joe Nocera. Key findings from The GlobalState of Information Security Survey 2013[EB/OL]. https：//www.pwc.com/na/en/assets/pdf/global-state-of-information-security-survey-2014-key-findings-report.pdf，2013.

[4]?沈昌祥.關(guān)于加強(qiáng)網(wǎng)絡(luò)安全保障體系的思考[J].計(jì)算機(jī)安全，2002（12）：3-4.

[5]?蘭紅星，朱世清，等.西部地區(qū)網(wǎng)絡(luò)安全保障工作體系建設(shè)研究[R].廣西壯族自治區(qū)工信和信息化委員會(huì)，2013：35-38.

[6]?Guide to Information Security[EB/OL]. https：//www.oaic.gov.au/images/documents/privacy/privacy-guides/information-security-guide-2013_WEB.pdf，2013.

[7]?James Crowther，Darek Dabbs，Shaun Dakin. 2013 Information Security Breaches Survey Technical Report [EB/OL]. https：//assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/200455/bis-13-p184-2013-information-security-breaches-survey-technical-report.pdf，2013.

[8]?朱建明，Sr inivasan Raghunathan.基于博弈論的信息安全技術(shù)評(píng)價(jià)模型[J].計(jì)算機(jī)學(xué)報(bào)，2009（4）：831-832.

[9]?Lawrence A.Gordon， Martin P.Loeb. Budgeting Process for Information Security Expenditures[EB/OL]. https：//www.researchgate.net/publication/220427223_Budgeting_process_for_information_security_expenditures，2006.

[10]?Alexander Hutton.Information Security Standards and Regulations[EB/OL]. http：//www.microsolved.com.2004.