緣由：

作者今天讀一本書，偶然看到瞭這樣的一段話：

“經過20多年的快速發展，我國網絡安全工作的理論和實踐均取得瞭長足進步，但網絡安全的現實問題和潛在風險仍與日俱增。隻要將國內外的網絡安全工作略作比較，就不難發現，我們在網絡安全戰略、理念、理論、技術以及產品研發、市場服務等方面，無論是引進消化，還是自主創新，甚至綜合集成，均有不俗的表現，與西方的差距越來越小，唯有在網絡安全工作務實上，與國外的差距較大，究其原因，安全策略的缺失乃是最大癥結所在。所謂安全策略，即根據國傢的相關政策法規，依據行業規范和技術標準，針對本單位的特定安全目標和要求，研究制定具體的安全要求 、職責分工及工作舉措”。

作者對上述的觀點完全贊同，並且在以往的文章中也提及過“安全策略”對於網絡安全工作的重要意義。安全三分靠技術、七分靠管理，而安全策略恰恰是管理中最核心的環節。也許是因為我們重“情”的文化屬性，隸屬“理”屬性的安全策略關註的要少一些，才有瞭我們與國外上述的差距。不過這也沒啥，認識差距就是最好的開始，隻要知道安全策略的相關工作是後續網絡安全工作重點要補的課就ok瞭。

舉兩個例子（感覺一下策略的重要性）：

1、政府機構：

一名公務人員上班時用大量時間瀏覽互聯網。由於本單位沒有一項安全策略說明,哪些行為屬於個人過分用單位信息系統,因此管理層無法對這名公務員進行處罰。領導層後來又發現,該公務人員下載瞭很多非法（涉黃）材料,於是以此為理由將其解雇。該向公務人員申訴投訴,稱自己是被無理解雇，因為從來沒人告訴他不得下載色情材料。最終此公務人員的申訴被采納，最終恢職。

如果這個單位當時有一項策略對個人使用信息系統做出明確規定,這個結局原本不會出現

2、一個報業公司：

一傢地方報業公司沒有制定策略對員工離職後必須銷用戶ID和口令權限做出規定。一名記者離開這傢報業公司,此後不久,這傢報業公司遇到麻煩:作為競爭對手的另一傢當地報業公司不斷獲取他們獨傢采訪報道的資料,檢查過系統日志後發現,正是那位離職記者不斷連接前主的計算機盜走采訪素材供新報業公司使用。

如果這傢報業公司制定有員工離職後撤銷其訪問權限的策略,這樣的未經授權訪問原本是可以避免的。

編制策略的范圍：

針對不同的應用單位，安全策略的側重點會有所不同，但整體范圍上還是有一些相同之處。參考國外在這方面的經驗並結合作者的經歷，應用單位需要在如下10個方面進行安全策略設計（詳細內容就不在展開瞭，太多瞭，總共是1800多條策略）：

1、網絡安全組織（內部組織、外部相關方）

2、資產管理（資產責任、分類分級）

3、人力資源安全（雇傭前、受雇期間、終止或變化）

4、物理和環境安全（安全區域、設備）

5、通信與操作管理（規則與職責、第三方交付管理、系統計劃與驗收、防范惡意、備份、網絡安全管理、介質管理、交換、監控等）

6、訪問控制（要求、用戶、網絡、系統、應用等）

7、系統獲取、開發、維護

8、安全事件管理（報告、管理與改進）

9、業務連續性管理

10、合規性管理（政策法規、標準、審計）

如何編制安全策略（單獨組織、整合力量）：

設計和編制安全策略，是網絡安全工作的一項重要任務，是關系到網絡安全整體工作成果的最關鍵環節。鑒於安全策略涉及方方面面的內容，相關工作即專業又全面，所以設計和編制安全策略是一項艱巨的任務，作者建議采用如下的原則：

1、必須單獨組織，成立專門的工作組，賦予最高執行權力

2、整合所有參與單位或部門，形成長效的聯動機制

3、必須尋找和依賴專業機構/專業人士的協助

幾點安全策略落實的小建議：

1、將策略張貼到內網或其他等同的地方

2、編寫自評價問卷

3、編寫遵守安全策略同意書

4、通過考試確定是否理解策略

5、任命安全協調員

6、培訓信息安全協調員

7、籌備和舉辦基本安全培訓班

8、針對應用制定安全策略

9、建立信息安全管理委員會

相關思考：

認識到網絡安全策略的重要意義，以及當下我們在這方面關註嚴重不足的現狀，所有的網絡安全工作參與者都需要進行反思和學習，盡快補齊這個短腿，作者給出的建議如下：

1、學習，提高認識：請參閱美國信息安全專傢查爾斯·克雷森·伍德(Charles Cresson Wood)編撰的《Information Security Policies Made Easy》。上述有些內容就來源於此書

2、完善，提升能力：把資源投入進行調整，在以前技術、功能、產品的基礎上，各個環節進行安全策略的設計和落實。無論你是用戶、供貨商、集成商

最後要說：

和國外在“安全策略”方面上差距，我們正確認識即可，原因是多方面的，不必深究

要知道，網絡安全工作需要體系化開展，唯什麼論都是片面的

網絡安全必然走向智能化，這是最大的不可逆的趨勢

無策略不安全，無策略不算法、無算法不智能

請大傢重視安全策略方面的工作，在產品、方案、系統、體系等基礎之上，通過安全策略的設計和落實，幫助用戶更好的實現安全目標（對上：更好地踐行責任和履行義務，對外：更好地保護自己的合法權益，對內：更好地保障內部治理的有效落實）和安全價值，才能取得更好的發展機會

安全策略相關工作還有價值，也不太容易做好，建議多依靠專業機構/人士

最後，感謝送我書的朋友！

【註：以上僅是作者膚淺認識，僅供參考】

來源：與智慧做朋友

作者：李志勇

聲明：文章中部分圖例來源於網絡，版權並不屬於作者