如何建立有效的网络安全防御体系

官话不说了，核心就是当领导的要知道本组织的信息系统(资产)的重要性，服务的场景对象是啥，组织要明确需要保护的对象(安全方针就是掂量掂量重要不重要)。投入持续人、财、物、服务和必要的合规工具和安全管理及运营工具(安全策略就是组织建立不建立、啥线路、掂量掂量投多少银子)，这层做好了方向不会出大问题，基本可以打30分了。原理能这样想网络安全的领导不多，经过HW的检验，估计未来慢慢会多起来了。

按照管理层明确的保护对象方向等级，给予人、财物、资源制定具体的工作计划，没有规矩不成方圆，制度要有，要建立可靠的安全组织(自己人十安全服务资源池)。制定安全执行策略，具体制度落地策略，建设，运行，持续稽核，这层做好了，至少40分了(提醒：好多地方都是空制度，现在的经验制度十平台结合是可落地的)。一个明白道理的高情商的安全处处长基本上可以走上正确的方向了，知道如何承上启下，和领导说明白和一线的团队做好策略的去落地，随着发展信息安全首席安全官未来应该是个炙手可热的职位。

有了上两层的基础，接下来开展工作就好办多了，如果没有上面两层的支持这个阶段基本是不可行的，网络安全保障体系建设一定是围绕业务和数据的，俗称“业务+数据定义安全战略”确定好保护对象和级别，需要协同，需要按照三同步原则(同步规划设计、同步建设、同步运行)，选择好规划服务商、建设服务商，踏实规划，体系逐步实现。说的简单，其实这些个环节一个出问题，就是坑坑相连，能按照这些环节都下来顺利的不多。

这些年看到最大的坑有两个，一个是不了解业务和数据抡起来就瞎设计(可恨，比如国家级的某一体化平台)，一个是生搬硬套的安全合规标准(可怜，比如某啥啥潮的)，多维的业务需要多维的防护，设计不好就会导致降维防护，做不好就是个豆腐渣工程。 HW打瘫的目标对象基本上一种是不合规的，另一种是假合规或者阶段合规持续不合规。

图3：意识不统一导致的防御体系的降维防护

除了上面的坑，要考虑安全已经是体系化大安全的概念了，尤其是现在以及未来的系统建设已经是按照“大系统、大平台、大数据”建设的了，涉及到方方面面。所以不管是自建安全体系还是采用安全服务商承建，网络安全防御体系需要思考的边界已经扩大到供应链安全了(包含这些内容也不仅仅这些内容，软件开发的源代码检测、 提供链路服务、托管服务、DNS服务、CDN服务、安全运维服务、IT运维服务、以及合规要求的管理、技术、运维、测评的各项要求)。尽量可控可信，扎实先把合规扎实了(少看PPT，多看实际效果和系统，从刚需出发到合规，不要仅仅从合规出发，花架子没用，基础安全还是挺重要的，不要被新技术忽悠了)。这些做好了可以是50分了，还没有开始建设就要考虑这么多，磨刀不误砍柴工，谋定而后动才是正道。

啰嗦了这么多才开始准备如何建设了，网络安全防御体系的建设是个大工程，不同的人理解不同。汇总起来就是一个风险控制目标、两个视角(国内合规、国外自适应)、三个领域策略融合(管理、技术、运维)、 四个体系独立而融合(防御体系、检测体系、响应体系、预测体系)的建立可视、可管、可控、可调度、可持续的弹性扩展的一个很NB的安全管理及运营中心 (简称“12341)。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!