鐘劍

摘要：隨著網(wǎng)絡安全事件帶來的損失越來越大，企業(yè)的網(wǎng)絡安全建設顯得更加重要。文章從頂層設計的角度出發(fā)，提出企業(yè)網(wǎng)絡安全建設關(guān)鍵因素，并給出相應的解決辦法。研究表明，網(wǎng)絡安全各要素之間是相互聯(lián)系、相互影響的，在建設中應該根據(jù)企業(yè)實際，優(yōu)先解決重要的問題。

關(guān)鍵詞：網(wǎng)絡安全建設;關(guān)鍵因素;企業(yè)

中圖分類號：TN915.08????????? 文獻標識碼：A

1 引言

網(wǎng)絡安全是信息系統(tǒng)健康、連續(xù)運行的重要保障，隨著信息化的發(fā)展，網(wǎng)絡安全事件時有發(fā)生，造成的損失也越來越大。為了“建立健全網(wǎng)絡安全保障體系，有力地促進經(jīng)濟社會發(fā)展”，國務院于2012年出臺了《國務院關(guān)于大力推進信息化發(fā)展和切實保障網(wǎng)絡安全的若干意見》，從多個方面對我國網(wǎng)絡安全建設進行了指導[1]。

通常來說，網(wǎng)絡安全主要面臨的是來自內(nèi)部和外部的、有意識和無意識的破壞。網(wǎng)絡安全建設是一個系統(tǒng)的工程，涉及到組織管理、技術(shù)、經(jīng)費、人才、法律等方面。多年以來，企業(yè)網(wǎng)絡安全的工作重點都是放在技術(shù)方面，研究開發(fā)了大量的新技術(shù)、硬件等，但很少有能從頂層設計來進行研究判斷的，或者只是籠統(tǒng)地給出了一些建議，并沒有指出哪些是建設的重點。實際上，大多數(shù)企業(yè)工作人員并不了解哪些是應該要著重解決的，因此往往是整體抓，什么都做，又力不從心，造成了投入巨大而收效甚微的局面。本文從頂層設計的角度出發(fā)，詳細地論述了企業(yè)網(wǎng)絡安全建設中的關(guān)鍵因素，并對其重要性和相互之間的影響做出分析，為企業(yè)提供參考。

2 研究現(xiàn)狀

目前，針對網(wǎng)絡安全建設中關(guān)鍵因素的研究較少，文獻[1]把ISO/IEC27001的網(wǎng)絡安全體系和國家電網(wǎng)現(xiàn)有體系進行了比較分析，給出了電網(wǎng)網(wǎng)絡安全建設的建議[2];文獻[3]在對128個國家9300名的管理人員進行調(diào)查后，得出了17個方面的結(jié)論，其中在亞洲地區(qū)，網(wǎng)絡安全工作人員更希望能夠增加網(wǎng)絡安全預算，企業(yè)比較重視注重網(wǎng)絡安全設施的同步規(guī)劃、同步建設、同步運行以及移動設備和云安全。

從實際的情況看，在網(wǎng)絡安全的建設過程中，企業(yè)希望能夠根據(jù)自身的情況進行防護，網(wǎng)絡安全等級保護和風險評估是最有效的辦法。如前文所述，網(wǎng)絡安全是一個系統(tǒng)化的工程，里面包含有諸多因素，把關(guān)鍵因素提取出來，能夠使得企業(yè)集中現(xiàn)有精力解決最主要的問題，根據(jù)實際情況在后續(xù)的過程中逐漸改進，從而可以避免多頭建設、輕重不分的情況。

根據(jù)沈昌祥院士在第十七次全國計算機安全學術(shù)交流主題會上提出的觀點，我國網(wǎng)絡安全保障體系應包含六個體系：組織管理體系、法律保障體系、技術(shù)保障體系、基礎設施保障體系、經(jīng)費保障體系、人才培養(yǎng)體系[4]。對于一個企業(yè)來說，這也是有著重要的參考意義的。根據(jù)實際的經(jīng)驗，要想做好這六個方面的工作，其實并不容易，尤其是在一些企業(yè)中，人力和經(jīng)費都得不到充分的保證，而且網(wǎng)絡安全建設在每一個企業(yè)的情況都不相同，這使得網(wǎng)絡安全的建設標準在實施中困難重重，往往使得工作人員無所適從。為了對我國西部地區(qū)網(wǎng)絡安全保障工作體系建設現(xiàn)狀進行調(diào)查，工信部網(wǎng)絡安全協(xié)調(diào)司于2013年組織了針對此現(xiàn)狀的調(diào)查，并形成了調(diào)查報告。報告中，總結(jié)并采用了36個指標對西部地區(qū)網(wǎng)絡安全保障工作體系進行描述[5]。本文根據(jù)西部地區(qū)報告的指標進行提煉，得到幾個在網(wǎng)絡安全建設中的關(guān)鍵因素：組織管理機構(gòu)、網(wǎng)絡安全發(fā)展規(guī)劃、教育培訓、經(jīng)費預算、網(wǎng)絡安全制度和規(guī)范。

本文主要研究網(wǎng)絡安全建設過程中的關(guān)鍵因素，同時指出各因素對網(wǎng)絡安全整體建設的影響和他們之間的相互關(guān)系，幫助網(wǎng)絡安全工作人員更好地了解網(wǎng)絡安全建設中的關(guān)鍵問題，幫助企業(yè)做出決策。

3 網(wǎng)絡安全建設中的關(guān)鍵因素

3.1 組織管理機構(gòu)

組織管理機構(gòu)是一個企業(yè)進行網(wǎng)絡安全建設的基礎和核心。在企業(yè)的網(wǎng)絡安全建設中，管理才是最重要的措施。一般來說，按照國家要求，重點領域內(nèi)的政府機構(gòu)和企業(yè)都需要有一個網(wǎng)絡安全領導小組，網(wǎng)絡安全領導小組工作的好與壞，直接決定了該企業(yè)網(wǎng)絡安全建設的好與壞。如圖1所示，顯示了組織管理機構(gòu)對企業(yè)網(wǎng)絡安全建設和其他因素的影響。

作為一個有效的組織管理機構(gòu)，首先應該要得到企業(yè)的任命，如果機構(gòu)的工作職責沒有得到確認，員工對其工作就不理解和認同，從而使得下一步的工作困難重重。其次，為了明確組織管理機構(gòu)的職責，書面形式的文檔是必須的，在ISO 17799中，有書面文檔是首先要進行的第一項重要內(nèi)容。書面文檔不應該僅僅定義組織管理機構(gòu)的工作內(nèi)容，對責任也應該有所涉及，針對不同的用戶組進行不同的行為管理，對文檔的編寫、升級、管理維護人員也都有明確的規(guī)定。這樣，才能夠使得企業(yè)的網(wǎng)絡安全組織管理機構(gòu)運行規(guī)范、效率，而不是僅僅在發(fā)生網(wǎng)絡安全事件以后才采取相應的措施。例如，對于網(wǎng)絡安全的處罰，先制定好違規(guī)行為和處罰規(guī)定，在發(fā)生網(wǎng)絡安全事件并對職工進行處罰時，就不會顯得毫無依據(jù)，而且也十分有利于執(zhí)行內(nèi)部和外部的安全審計。

一般來說，想要做好企業(yè)的網(wǎng)絡安全組織管理工作，應該優(yōu)先考慮從幾個方面進行。

（1）組織管理機構(gòu)對于企業(yè)的網(wǎng)絡安全建設有一個全局的策略。有專職的網(wǎng)絡安全工作人員并能定期向CEO、CFO、COO等企業(yè)領導成員匯報網(wǎng)絡安全概況;有網(wǎng)絡安全工作計劃并能及時回顧上一個工作期的工作落實情況，能確切地了解在企業(yè)內(nèi)部和企業(yè)外部發(fā)生的網(wǎng)絡安全事件，以便針對企業(yè)現(xiàn)狀做出適當?shù)墓ぷ饔媱澱{(diào)整。以“震網(wǎng)”事件為例，每一個基礎設施管理部門的網(wǎng)絡安全工作人員都應該對其有深入的了解，包括病毒攻擊的渠道、攻擊途徑、防護措施等。

（2）把網(wǎng)絡安全支出作為信息系統(tǒng)建設成本和企業(yè)項目建設的一部分。在信息系統(tǒng)建設的初期，對網(wǎng)絡安全采取同步規(guī)劃、同步建設、同步運行的措施，以確保系統(tǒng)的網(wǎng)絡安全風險降到最低。隨著企業(yè)信息化建設的逐步推進，安全防護設施的“三同步”顯得尤為重要，在信息系統(tǒng)設計的時候沒有考慮安全設施的同步規(guī)劃，將會導致信息系統(tǒng)建成即有缺陷，建設完成后帶著安全隱患運行。根據(jù)實際經(jīng)驗，后期再進行整改的投入往往較大，技術(shù)難度也更高。

（3）建立規(guī)范的考核制度，對組織管理機構(gòu)人員的工作進行評價，幫助企業(yè)更好地了解組織管理機構(gòu)人員的實際工作情況，從而為員工制定能力發(fā)展計劃提供依據(jù)。

3.2 網(wǎng)絡安全發(fā)展規(guī)劃

制定企業(yè)的網(wǎng)絡安全發(fā)展規(guī)劃是網(wǎng)絡安全工作人員的責任，需要所有企業(yè)人員的配合、支持和參與，因為網(wǎng)絡安全的發(fā)展規(guī)劃與企業(yè)的發(fā)展規(guī)劃息息相關(guān)，所以應該保持其與企業(yè)發(fā)展目標的一致性，確保網(wǎng)絡安全始終為企業(yè)的發(fā)展服務。圖2為網(wǎng)絡安全發(fā)展規(guī)劃所涉及的幾個方面內(nèi)容。

“凡事預則立不預則廢”。在企業(yè)的網(wǎng)絡安全建設中，進行規(guī)劃是一件很重要的事情，因為它確定了未來幾年的工作方向和重點，以及所采取的網(wǎng)絡安全策略。文獻[6]指出：在系統(tǒng)設計階段就應該考慮部署網(wǎng)絡安全的策略和方法，并且要根據(jù)設備的負載能力等來進行適當?shù)恼{(diào)整，在執(zhí)行部署時，應進行網(wǎng)絡安全風險評估。同時，對于大多數(shù)企業(yè)來說，這意味著一種企業(yè)文化上的轉(zhuǎn)變，這種轉(zhuǎn)變是長期的，而且見效緩慢，因此在一開始就制定好適合企業(yè)的網(wǎng)絡安全發(fā)展規(guī)劃和支持活動，將會使得以后的網(wǎng)絡安全工作遇到的障礙明顯地減少。制定企業(yè)網(wǎng)絡安全發(fā)展規(guī)劃，要注意把握三個方面的工作。

（1）保持網(wǎng)絡安全目標與企業(yè)目標的一致性。舉例來說，網(wǎng)絡安全建設成本應該是小于所保護目標的價值，不然網(wǎng)絡安全的建設將毫無意義。根據(jù)目標的價值、重要程度來采取不同水平的控制措施，既能夠最大化地保障企業(yè)網(wǎng)絡安全的利益，對員工的日常工作影響也將明顯地減少。還有要注意的就是，在制定網(wǎng)絡安全策略時，必須要與技術(shù)人員進行充分交流，保證企業(yè)業(yè)務的可靠性、整體性、可用性，因此要確保技術(shù)人員的特殊要求能夠在網(wǎng)絡安全策略里被優(yōu)先得到滿足。

（2）制定多種計劃，包括災備恢復、應急響應、操作計劃、評估計劃等，這些工作都需要必要的硬件設施作為基礎，因此要搭建硬件環(huán)境，并估算設備的承載能力和功能設計與實際需求的差別，選擇一個最合適的方案。

（3）對用戶采取有效的控制計劃。根據(jù)職工所在部門采取劃分不同用戶組的辦法，對于企業(yè)核心信息了解得越多的用戶，其所采用的行為控制應該越嚴格。在保證商業(yè)連續(xù)性的條件下，對企業(yè)其他員工的活動采取適當控制，例如內(nèi)部控制、監(jiān)測控制、預防控制、校正控制等，同時為企業(yè)信息搭建合適的控制環(huán)境，例如分級管理、認證與接入控制、通信與操作管理等。

3.3 教育培訓

網(wǎng)絡安全教育技能培訓的重要性一直都是國際社會在網(wǎng)絡安全領域的重點關(guān)注目標。以美國為例，其發(fā)布的《網(wǎng)絡空間安全戰(zhàn)略》就明確提出了要求加強“網(wǎng)絡教育和勞動力發(fā)展培訓”，而2009年奧巴馬公布的《網(wǎng)絡空間政策評估—保障可信和強健的信息和通信基礎設施》報告中，也要求“提升公眾的網(wǎng)絡安全意識，加強網(wǎng)絡安全教育”。

多年以來，在企業(yè)的網(wǎng)絡安全建設中一直都存在“重技術(shù)，輕管理”的現(xiàn)象，大部分工作人員安全意識淡薄，基本沒有經(jīng)過系統(tǒng)的網(wǎng)絡安全意識和教育培訓，對網(wǎng)絡安全一知半解。而在實際的情況中，80%以上的成功入侵都是利用了人的無知、麻痹和懶惰，對安全策略知之甚少的企業(yè)。因為員工個人問題而存在網(wǎng)絡安全漏洞的比例高達93%，這些漏洞包括網(wǎng)絡安全工作人員技術(shù)實力達不到要求、員工不重視網(wǎng)絡安全、對公司知識產(chǎn)權(quán)沒有保護意識等，而36%最嚴重的網(wǎng)絡安全事件都是由于人員疏忽而造成的[7]。

2018年8月，華住集團發(fā)生一起嚴重的酒店客戶數(shù)據(jù)泄露事件。犯罪嫌疑人竊取了華住旗下酒店的用戶數(shù)據(jù)并將其掛在境外網(wǎng)站上出售，后來經(jīng)過技術(shù)人員對日志進行審計和分析，發(fā)現(xiàn)華住集團技術(shù)人員存在著低級管理問題，使用了非常簡單的超級管理員賬號密碼。2018年9月，烏克蘭武裝部隊某個自動化控制系統(tǒng)服務器被研究人員發(fā)現(xiàn)存在大量的弱密碼，上報以后，上級部門并沒有將該問題進行解決，后來該研究人員經(jīng)過簡單的滲透測試，甚至入侵到了國防部網(wǎng)絡，他們驚訝地發(fā)現(xiàn)國防部部分網(wǎng)絡是沒有密碼的，而在其將問題再次上報以后的4個月時間內(nèi)，訪問烏克蘭國防部部分服務器和計算機的密碼一直沒有更改。

人是網(wǎng)絡安全技術(shù)的載體，隨著信息技術(shù)的發(fā)展，黑客的技術(shù)也在不斷進步，現(xiàn)階段攻擊的特點是：攻擊成本低，實現(xiàn)簡單，造成的損失逐漸加大。根據(jù)調(diào)查，對自己企業(yè)網(wǎng)絡安全有信心的人員比例每年都在下降[7]，因為攻擊技術(shù)無時無刻不在發(fā)展，如不加強學習，幾年后技術(shù)人員將會發(fā)現(xiàn)自己對網(wǎng)絡安全新知識一無所知，無能為力。圖3顯示了缺乏網(wǎng)絡安全教育培訓所引發(fā)的一系列影響。

對于企業(yè)來說，想要做好網(wǎng)絡安全教育培訓工作，可以從三個方面進行。

（1）新員工的入職培訓，包括網(wǎng)絡安全技能培訓和意識培訓，幫助其熟悉企業(yè)現(xiàn)階段所采取的網(wǎng)絡安全策略、重要的信息資產(chǎn)、網(wǎng)絡安全有關(guān)管理等;老員工的技能培訓，包括操作系統(tǒng)的安全配置、安全設備的設置、網(wǎng)絡設備的安全配置、設置訪問控制策略等。在設備方面，有研究指出，沒有經(jīng)過正確配置的安全設備有時反而會減弱企業(yè)的網(wǎng)絡安全防護能力[8]。

（2）對于沒有組織過技能培訓和意識培訓的企業(yè)，可以考慮組織一次全員的系統(tǒng)培訓，這樣做的效果是相當明顯的。實際工作證明，派遣人員參加過網(wǎng)絡安全培訓的企業(yè)比沒有參加過任何培訓的企業(yè)，在系統(tǒng)防護能力上更勝一籌，并且參加培訓的人員等級越高，效果越明顯。

（3）組織管理機構(gòu)成員要進一步加強對企業(yè)的認知，而不是僅僅將重點放在網(wǎng)絡安全技術(shù)上。鑒于每一家企業(yè)的特殊性，照搬其他企業(yè)或機構(gòu)的做法是不明智的，從企業(yè)本身出發(fā)才能更好地從整體上考慮建設的問題。而這些出發(fā)點包括企業(yè)的資金預算、資產(chǎn)價值、重點保護的資產(chǎn)、現(xiàn)有防護能力、現(xiàn)有設備、當前采用的策略、企業(yè)下一步的發(fā)展重點等。

3.4 經(jīng)費預算

經(jīng)費是網(wǎng)絡安全建設的保障，在企業(yè)里，隨著近年來設備投入和人員花費的逐漸提高，政策制定者和研究者逐漸開始對網(wǎng)絡安全的經(jīng)費支出表現(xiàn)出加大的關(guān)注。如圖4所示，網(wǎng)絡安全經(jīng)費包含了幾個方面的支出。

隨著黑客能力的提升，網(wǎng)絡安全事件造成的損失逐年上升，具有攻擊成本低、實現(xiàn)簡單、防御難度大、成本高的特點。

由于缺少網(wǎng)絡安全經(jīng)費，設備和系統(tǒng)的改造、升級、購置、維護等沒有保證，有些企業(yè)的安全設備一用就是十幾年，設備已遠遠跟不上需求。在這些企業(yè)里，往往都是靠技術(shù)人員自身的技術(shù)實力來進行網(wǎng)絡安全防護，但由于缺乏經(jīng)費，導致人員缺乏網(wǎng)絡安全培訓，技能沒有得到提升，不能及時發(fā)現(xiàn)和解決現(xiàn)有問題，也造成了對自己網(wǎng)絡安全能力有信心的人員比例每年都在下降。為了解決這一問題，可以從兩個方面考慮。

（1）根據(jù)防護目標的價值來選擇網(wǎng)絡安全花費，根據(jù)系統(tǒng)的功能來選擇重點需要防護的要害部位，根據(jù)人員情況選擇培訓的重點。

（2）用宏觀經(jīng)濟學和工商管理的理論方法來分析網(wǎng)絡安全領域的經(jīng)費投入問題。一般來說，企業(yè)在經(jīng)費方面所面臨的問題往往都是：到底要投入多少才夠？文獻[9]提供了一種經(jīng)典的成本評價和決策規(guī)則來進行分析的方法—凈現(xiàn)值模型分法（Net Present Value）。當涉及到經(jīng)費問題時，可以先取得網(wǎng)絡安全建設的量化期望，因為量化在網(wǎng)絡安全建設上會顯得更精確、更客觀和有對比性。本文3.1的第二條建議也指出，應該要把網(wǎng)絡安全技術(shù)支出作為項目成本分析的一部分，并且從投資的角度來考慮這個問題，而量化是進行計算和統(tǒng)計分析的基礎。通常來說，網(wǎng)絡安全預算占到信息化建設預算的10%是比較合理的。

3.5 網(wǎng)絡安全制度和規(guī)范

對于一個有效的網(wǎng)絡安全管理來說，制度和規(guī)范是必不可少的，它涵蓋了網(wǎng)絡安全建設的方方面面。隨著信息技術(shù)的發(fā)展，因特網(wǎng)、云服務、網(wǎng)絡之間的互連對于企業(yè)來說變得越來越重要，阻止員工不上互聯(lián)網(wǎng)，無論是從技術(shù)手段還是從實際的工作需要出發(fā)，都不太現(xiàn)實，而且對于很多企業(yè)來說是不可能的。另外，由于信息數(shù)據(jù)對于企業(yè)來說正變得越來越重要，而員工的意識和習慣卻還是基于過去的認知，因此有必要制定相關(guān)的制度和規(guī)范來對員工的網(wǎng)絡安全行為進行約束和規(guī)范，從而建立起一個良好的網(wǎng)絡安全環(huán)境，內(nèi)容如圖5所示。

在制定制度和規(guī)范之前，首先需要考慮一個問題：制度和規(guī)范對于企業(yè)的影響是否是有利的？畢竟，制度和規(guī)范對于員工來說更多的是一種約束?；仡?“千禧蟲危機”，不難得到，盡管這個問題早就被國際重視，但是很少有國家采取積極措施來對其進行防御。尷尬的是，根據(jù)2013年至2018年間對廣西重要信息系統(tǒng)的檢查結(jié)果來看，網(wǎng)絡安全也同樣面臨著這樣的情況，絕大多數(shù)企業(yè)都知道網(wǎng)絡安全會帶來危害，但是能在事前采取積極行動的企業(yè)卻不多，很多都是在發(fā)生了網(wǎng)絡安全事件以后才采取了相應的措施。在網(wǎng)絡安全建設方面，規(guī)章和規(guī)范是確保制度有效的利器，在得到有效執(zhí)行的情況下，制度和規(guī)范會迫使企業(yè)和員工采取一些積極的應對措施，從而使得企業(yè)的網(wǎng)絡安全建設更為有效，對于企業(yè)來說是利大于弊的。

2019年，法律法規(guī)在經(jīng)濟領域和政府機構(gòu)的網(wǎng)絡安全防護中，仍然顯得相當重要。SP800-30中，提高風險管理可以從風險評估、風險削減、評價和評估這三方面進行，而法律、規(guī)則和指導文件則很好地對這三個方面進行了規(guī)定。根據(jù)MSI所建立的網(wǎng)絡安全模型，網(wǎng)絡安全是由技術(shù)、方針和意識構(gòu)成的金字塔，技術(shù)在最上層，方針位于中間層，而意識則處在最底層[10]。多方面的調(diào)查也顯示，網(wǎng)絡安全更多的是一個管理問題而不僅僅是技術(shù)問題，意識是真正提高安全的唯一途徑，為了提高員工意識，則應該制定規(guī)則和制度文件。

規(guī)范的重要性在于給技術(shù)人員提供了建設的標準，包括防護水平、防護的重點、所采用的技術(shù)設備以及控制粒度等方面的內(nèi)容。沒有任何一個策略能夠做到100%的安全，但是一個好的策略無疑會使得安全風險大大降低，而策略最終需要通過規(guī)范來確定實施。

總的來說，制度和規(guī)范對于企業(yè)來說具有幾個好處。

（1）聚焦那些什么都不做的人，至少讓他們采取一些改變，如果制度正確的話，那么這種改變對于企業(yè)來說是積極的。如員工在防火墻和防病毒軟件的保護下很少會做出其它防護措施，企業(yè)重視接口的防護而忽略了終端和對用戶的管理，這里面就有很大的提升空間。

（2）制度能帶來更高的安全意識，如果以前僅僅是覺得安裝了殺毒軟件以后就無所謂了，現(xiàn)在至少會有一些行為上的改變。如上網(wǎng)會留意到是否瀏覽了有惡意代碼的網(wǎng)站，終端使用習慣有所改變（如鎖定電腦屏幕、設置登錄密碼等）。而把安全活動提高到公司的制度上來，無疑會讓員工更清楚地意識到自己的責任，從而提高警戒心，形成良好的習慣。

（3）為網(wǎng)絡安全建立了一個機構(gòu)層面的責任，并且定義了網(wǎng)絡安全的關(guān)鍵角色和責任，工作人員會因為所承擔的網(wǎng)絡安全責任而更加地重視網(wǎng)絡安全建設。同時，制度和規(guī)范也提供了一些其他的必要要求和指導，如制度的指向性會讓職工明確其所擁有資源的重要性。

為了能夠讓制度和規(guī)范更好地起作用，可以考慮從幾方面進行。

（1）完善與外包公司之間的網(wǎng)絡安全制度。對于企業(yè)來說，數(shù)據(jù)是核心資產(chǎn)，數(shù)據(jù)泄漏則是重要的防御對象，而我國企業(yè)里很少有與外包公司簽訂網(wǎng)絡安全協(xié)議的。由于服務提供商具有的權(quán)限比較高，他們往往可以對數(shù)據(jù)進行刪除和操作，而企業(yè)的商業(yè)公告、發(fā)展報告、服務器IP、服務器操作系統(tǒng)、應用系統(tǒng)漏洞、用戶的使用習慣等都很容易地被外包公司了解，所以制定外包公司的合作制度能起著防范作用。

（2）力求讓每個人都清楚地理解到，將商業(yè)數(shù)據(jù)綁定在信息系統(tǒng)上的風險，并能按照制定的方針和方法來操作，以規(guī)避此風險。關(guān)鍵的控制目標應納入員工的績效考評里，對違規(guī)的行為進行調(diào)查和采取行動，僅僅靠口頭說明，其約束力往往比較薄弱，而且容易給員工造成管理混亂，不知道哪些事可以做，哪些事不能做。

（3）經(jīng)驗告知，對一些重點領域的企業(yè)來說，政府的干預和調(diào)節(jié)是必然要發(fā)生的事情，尤其是對于那些重要的基礎設施管理企業(yè)。制定制度和規(guī)范將會使得政府機構(gòu)對這些比較放心，而且對于用戶來說，也顯得他們的數(shù)據(jù)得到了保障。

4 綜合分析

在實際的網(wǎng)絡安全建設中，以上幾個因素如果沒有做好，將會產(chǎn)生各種問題，從而增加系統(tǒng)風險，并且這些問題并不是孤立的，關(guān)系如圖6所示。

通過圖6不難看出，網(wǎng)絡安全的各種因素相互制約，當某一方面出現(xiàn)問題時，會對另一方面產(chǎn)生聯(lián)動的消極影響。因此，企業(yè)應該全面考慮這些問題對系統(tǒng)的影響，并將各種問題綜合考慮進行處理，以降低信息系統(tǒng)的網(wǎng)絡安全風險。企業(yè)如果想做好網(wǎng)絡安全的防護工作，則應該抓住其中的關(guān)鍵因素，并著力于解決自身能解決的問題。

5 結(jié)束語

網(wǎng)絡安全建設不僅僅只是技術(shù)問題，更多的是一個組織管理問題，對于企業(yè)來說，由于考慮到成本和效益的特殊性，根據(jù)自身實際選擇適當?shù)牟呗允潜夭豢缮俚?。本文從網(wǎng)絡安全頂層設計角度出發(fā)，提出企業(yè)在網(wǎng)絡安全建設中的幾個關(guān)鍵因素，并且分析了它們的重要性及其互相之間的影響，最后給出相應的建議。實際工作表明，企業(yè)的網(wǎng)絡安全建設并不能簡單地照搬政府機構(gòu)的網(wǎng)絡安全做法，而是需要從投資、成本、收益等不同角度來考慮，充分分析哪一個因素是目前亟需解決并且是企業(yè)自身可以解決的，從而最終得到適合自身的策略計劃。

參考文獻

[1]?國務院關(guān)于大力推進信息化發(fā)展和切實保障網(wǎng)絡安全的若干意見（國發(fā)〔2012〕23號）.

[2]?張浩，詹輝紅.基于ISO_IEC27001的網(wǎng)絡安全體系與國家電網(wǎng)公司現(xiàn)有體系的比較研究[J].電力信息化，2009（5）：43-46.

[3]?Gary Loveland，Mark Lobel ，Joe Nocera. Key findings from The GlobalState of Information Security Survey 2013[EB/OL]. https：//www.pwc.com/na/en/assets/pdf/global-state-of-information-security-survey-2014-key-findings-report.pdf，2013.

[4]?沈昌祥.關(guān)于加強網(wǎng)絡安全保障體系的思考[J].計算機安全，2002（12）：3-4.

[5]?蘭紅星，朱世清，等.西部地區(qū)網(wǎng)絡安全保障工作體系建設研究[R].廣西壯族自治區(qū)工信和信息化委員會，2013：35-38.

[6]?Guide to Information Security[EB/OL]. https：//www.oaic.gov.au/images/documents/privacy/privacy-guides/information-security-guide-2013_WEB.pdf，2013.

[7]?James Crowther，Darek Dabbs，Shaun Dakin. 2013 Information Security Breaches Survey Technical Report [EB/OL]. https：//assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/200455/bis-13-p184-2013-information-security-breaches-survey-technical-report.pdf，2013.

[8]?朱建明，Sr inivasan Raghunathan.基于博弈論的信息安全技術(shù)評價模型[J].計算機學報，2009（4）：831-832.

[9]?Lawrence A.Gordon， Martin P.Loeb. Budgeting Process for Information Security Expenditures[EB/OL]. https：//www.researchgate.net/publication/220427223_Budgeting_process_for_information_security_expenditures，2006.

[10]?Alexander Hutton.Information Security Standards and Regulations[EB/OL]. http：//www.microsolved.com.2004.