建立现代企业网络安全防护体系

传统的企业安全防御体系的特点是：单点防御、各自为战。企业往往分别从不同的厂商采购各种各样的安全产品或服务，尽管表面上看起来“设施齐全”，但实际上不同的安全产品之间却是“各自为政”，独立运行，从而使企业无法全面把控自身网络安全问题。同时，传统的企业安全防御体系还普遍存在重防御、轻应急的问题，一旦发生安全事件，企业往往无所适从，从而引起很多不必要的损失。

在“互联网+”时代，要解决企业面临的各类安全问题，就需要在企业中建立一套全新的，适应各类安全威胁，甚至是未知威胁的现代企业安全防护体系，其核心思想是：建立数据驱动、协同联动、云+端+边界的立体纵深防御体系，同时还要建立快速、有效的网络安全应急响应体系，以应对各种突发的网络安全事件。

01

树立正确的现代企业网络安全观

Law

阻碍企业建立现代网络安全防御体系的首要障碍既不是成本问题，也不是技术问题，而是观念问题。很多企业的网络运营与管理者常有错误的、过时的网络安全观，主要表现在以下几个方面。

（1）安全管理以免责为目标

以等保标准的实践为例，很多企业管理者认为，只要达到了国家制定的信息安全等级保护制度要求的标准，企业就已经实现了安全达标，如果再发生安全事件，无论事件造成多么大的损失，企业自身都没有任何责任。这种免责观念导致很多企业只是为了达到等保要求而被动地采购标准指定的网络安全设备或系统，不仅对新兴安全技术与方法不闻不问，同时也不能正确有效地使用已经采购的网络安全设备或系统。这就使得很多企业采购的安全产品最终几乎都变成了无用的摆设。这种情况实际上违背了等保标准设计的初衷。

（2）害怕暴露问题，存在侥幸心理

很多企业害怕安全人员对其网络系统进行安全检测，更害怕第三方报告其网络系统存在安全漏洞，他们似乎认为，被报告有问题，就说明自己的工作没做好。这就好像一个人害怕体检一样，但不体检不等于身体就没问题。这种错误的观念使得很多企业错过了最佳的“诊疗时机”，使大量安全隐患长期存在，最后变成“要么不出事，要么出大事”。

（3）关心自身损失，忽略社会责任

根据某平台的统计，在已经被通告其系统存在安全漏洞的情况下，中国网站的平均漏洞修复率也仅为42.9%。半数以上的企业对自己的漏洞不闻不问。造成这种情况的一个重要原因就是：这些漏洞可能不会给网站本身带来直接的经济损失。例如，网站上的用户信息泄露，用户可能因此面临网络诈骗等各种高危风险，但网站本身可能没有任何直接经济损失，因此相关人员对报告的漏洞睁一只眼闭一只眼。

但是，新出台的《网络安全法》给这种错误的观念敲响了警钟。根据第六十条规定：对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的，企业将有可能面临五万元以上五十万元以下罚款，直接负责的主管人员将可能面临一万元以上十万元以下罚款。

（4）缺乏动态防御与应急响应意识

时至今日，仍然有相当多的企业管理者认为：所谓企业安全，就是给企业的每台计算机装上杀毒软件，给企业网络边界安装一套防火墙。严重缺乏运营监控、动态防御的意识。实际上，现代网络安全实践已经证明，任何静态部署的防御系统都不太可能有效防御现代网络攻击。

此外，传统安全观主要立足于防护，努力方向是尽可能避免安全事件的发生，而不太重视应急响应机制的建设。新型的安全观认为“防不住是一定的”，应当立足于一定防不住的假设来设计自己的防御和监控系统。

综上，现代大中型企业，在网络安全管理方面需要树立的正确安全观包括：注重实际效果、主动查找问题、坚持动态监控、做好数据运维、完善应急响应、兼顾社会责任。

02

建立数据驱动的协同联动防御体系

Law

传统安全防御体系强调的是利用攻防对抗技术在攻击的某个片段发现攻击行为。新型防御技术则以数据为核心，相当于将整个攻击过程都录制下来，然后对攻击的全过程进行回溯分析，不但能够了解攻击的全貌，而且有可能在攻击全过程的任意一个环节、片段发现攻击。此外，一旦发现安全事件，新型防御体系可以同时调动网络系统中的各类安全产品及资源进行协同防御，从而实现对各类网络威胁，特别是未知威胁的快速发现、快速响应与快速处置。

数据驱动的协同联动防御体系主要有以下几个特点。

（1）运维数据全量记录

对各类安全产品及网络流量的运维数据进行全量记录，从而进行态势感知、异常发现及攻击事件还原等安全分析。

（2）多维数据关联分析

对不同来源、不同维度的本地安全大数据，如终端杀毒、防火墙服务器流量、设备资产等，进行快速汇集、深度关联，以及自动化的高级智能分析。

（3）威胁情报辅助分析

将本地安全大数据与云端威胁情报中心推送的专属威胁情报相结合，实现对未知威胁与高级攻击的快速发现、精准定位和攻击溯源。

（4）协同联动快速响应

根据大数据分析系统的分析结果，对企业内网系统实现持续的安全监测、快速响应、事件调查及安全态势感知，并能够联动网络检测和响应（NDR）、端点检测和响应（EDR），进行快速协同响应处置。

03

建立有效的网络安全应急响应体系

Law

网络安全应急响应体系建设的不足是现代企业网络安全建设的主要问题之一。这主要是源于人们对“防不住是一定的”这一客观事实的认识不足。

企业的网络安全应急响应体系建设是一个系统工程。在网络安全应急响应体系中，最核心的部分是网络安全应急响应小组，它是应急响应处置的核心协调机构，其上还设有应急响应领导小组。

应急响应小组在处置网络安全应急事件过程中，需要进行大量的内外协调工作。其中，内部协调需要分别调动指挥与事件相关的业务线人员及专门负责技术维护的IT技术支撑人员；而外部协调的对象则主要包括政府机构、业务关联方、供应商及专业安全服务供应商等。

对于“互联网+”时代的现代企业，是否能够建立一套技能专业、反应迅速、领导有力的网络安全应急响应体系，是其网络安全综合管理水平的重要体现。

04

安全服务是企业安全制胜之本

Law

需要特别指出的是，即便企业采购了最先进的全套网络安全服务产品，并且建立了完善的网络安全应急响应体系，也未必能胜任企业的网络安全日常运维与管理工作，因为这些企业在采购安全产品时，很可能忽略了一项关键内容——安全服务。

在国内企业的安全采购过程中，企业往往能够接受为软、硬件安全产品买单，但却普遍不愿意为产品附带的安全服务买单。部分企业认为，安全服务本应该是安全产品的售后服务，是无偿的或免费的。

但实际上，无论是从运营成本还是从商业价值来看，安全服务都要比安全产品高得多。这就好比是豪华的汽车，如果没有司机驾驶，也就毫无 用处。由于安全人才短缺，在网络安全领域，好的“司机”要比好的“汽车”难找的多，这也就使得安全服务的成本远大于安全产品。对于企业安全服务商来说，安全服务的质量和水平是服务商实力差距和价值高低的根本体现。

因此，企业在选择安全服务商时，不应该只看中其产品的功能和报价，更应该把关注的焦点放在服务商专家队伍的技能水平和服务水平上。选择一支优秀的安全服务队伍，才是保障企业网络安全的关键。反之，如果企业在安全采购过程中，过分轻视安全服务，则会导致安全服务质量的大幅下降，同时使企业采购的各类安全产品的使用价值大打折扣。

— end —

内容来源：

《走近安全：网络世界的攻与防》