網絡安全建設并非一蹴而就，需要過程和投入，如果缺乏系統思考必然會導致只重視解決眼前問題，而缺乏長遠的規劃，這種短期行為的規劃最終會造成頭痛醫頭、顧此失彼、重復建設等問題。

對于任何目標的實現來說，有一個重要的步驟就是制定計劃來確定實現目標的指導方針和步驟，對網絡安全建設同樣也是如此。一份完善的網絡安全計劃應該能夠清楚地描述企業想要實現的網絡安全目標，并進行相關工作任務和行動路線的分解和規劃，同時對后續建設提供相關借鑒，切實指導企業在網絡安全建設的優先次序和過程規劃。

為了幫助企業更好地應對網絡安全攻擊，本文整理了可能影響組織網絡安全計劃實施效果的幾個常見錯誤。

1. 忽視基礎安全能力建設

企業最常犯的錯誤之一是忽視了基礎性安全保障措施的建設，比如使用完善的身份驗證和及時進行安全更新。實際上，基本的網絡安全措施可以很好保護現代企業應對90%以上的攻擊。

企業可以采取以下幾個措施來保持良好的網絡安全，并加強整體安全態勢：

啟用多因素身份驗證（MFA）；

運用最小權限訪問原則；

及時進行安全補丁更新；

部署應用反惡意軟件工具；

開展數據安全治理。

2. 僅以合規作為安全計劃的目標

合規是網絡安全建設的重要目標，但是這并不意味著就完全安全了，比如企業的安全規程滿足在某個時間段的法規標準，就可以滿足合規要求，然而，企業卻很可能無法抵御此后出現的各種新威脅。企業不能因為沒有看到安全事件或主動攻擊的跡象，就認為自己是安全的。要抱著“假定失陷”（assume breach）的觀念，避免這種虛假的安全感。當攻擊者不斷探究闖入環境的新方法時，我們應該以假定失陷的理念，積極防范那些難以避免，同時又可能代價高昂的損害。

組織整體網絡安全能力的提升是一個非割裂的連續過程，一個組織機構的網絡安全體系的構建及能力提升應按照基礎架構安全、縱深防御、主動防御、威脅情報、進攻反制等階段疊加演進，每一階段的能力均依賴于其他階段的建設和支撐。

3. 缺少IT資產的洞察能力

全面識別和管理企業內的安全和數據風險具有挑戰性，如果不全面了解組織的信息化應用環境將會更加困難。因為如果無法清楚地了解整個環境，就無法確定網絡攻擊可能會發生在哪里。因此，企業必須要提前知道網絡上存在哪些系統、誰可以訪問哪些系統外，甚至要準確清點出連接至網絡的每個設備。

通過使用最新的威脅和漏洞管理等安全工具，可以幫助組織安全團隊實時發現漏洞和錯誤配置。此外，安全團隊還要能夠基于企業內的威脅情況和檢測結果來確定漏洞的優先級。這些洞察力有助于安全團隊識別潛在的問題，并有助于加快采取行動。

4. 沒有安全事件的應急響應預案

即使落實了適當的安全措施，網絡攻擊也是不可避免的。應對突發性的安全事件預案不是為了防止攻擊，而是為了在事件發生后盡量減小損失。要讓企業每一個成員都明確知道網絡攻擊發生后該第一時間聯系誰，可以從哪里獲得迅速解決或緩解威脅的建議。

當出現業務中斷時，應該采用業務連續性和災難恢復（BCDR）策略確保數據安全，并確保應用程序和工作負載快速恢復運行。通過站點恢復和備份等服務，企業可以在網絡攻擊時確保業務應用程序和工作負載的正常運行，從而確保業務連續性，同時也保持數據資產的安全性。

編輯：黃飛