安全建设的任务

引言

之前介绍了安全的本质和安全建设的原则，了解了安全的本质是对数据的机密性、完整性、可用性的防护能力；安全建设的原则主要是：关注结果，关注整体，最小化原则，发挥优势，保持乐观。那安全建设应该做什么呢？这就是本文的主要内容，安全建设的任务。这些任务是在安全本质和安全建设原则的基础上提炼而来。安全的内容涵盖很多方面，企业的规模和性质也各不相同，本文提到的任务尽量忽略各个企业的特点，找到一些对所有企业都普遍适用的任务。这些任务包括：设定目标、决策、人的培养、资产管理、收集检测和响应。

一、设定目标

毋容置疑，在安全建设中最重要的一个任务应该是设定目标。这里的目标，主要是指企业对安全的合理诉求和期望。在企业发展的过程中，可以根据发展阶段对目标进行调整，设定不同的目标。每个公司的业务不一样，资源不一样，对安全的诉求也是不一样的。

对大多数国内的国企，政府等企事业单位，最基本的需求是要符合《网络安全法》的要求，满足等级保护制度中相应级别的要求，所以他们的最基本目标是满足网络安全法，过等保；金融、证券等牌照行业，需要接受严格的政府监管，除了最基本的网络安全法之外，还要受到直接主管部门的制度要求，所以他们的要求除了过等保外，还要符合业内的政策要求；同时，由于企业的发展严重依赖业务的持续稳健，所以需要以建设保障业务安全运行为目标。对于满足法律法规行业要求的这些目标统称为合规目标，这些几乎是过去20多年驱动网络安全市场增长最重要的因素，对安全市场的贡献大约在70%以上。

随着HW行动的开展，以及勒索病毒等安全事件的发生等，很多单位从原来的仅仅为了合规要求，随便买些合规设备，过渡到认真考察对比谁家的产品防护效果更好，从而决定采购，这些改变的目的就是为了在HW中取得更好名次以及实际使用中取得较好的效果。

对于很多互联网行业，由于对业务很重视，所以安全建设的主要目标是为了保证业务运行，但他们的系统中保存了很多重要的民生资源，所以也需要过等保，但他们的安全建设主要目标并不是为了过等保。

还有很多中小企业IT建设永远是满足业务需求为先，要先让业务能跑起来，等到业务功能满足得差不多了，IT预算空出来一部分，才会考虑安全建设的问题。这种特性有点像奢侈品，只有当其基础需求充分满足后，才会考虑更昂贵的投入，提前奢侈消费的还是属于少数人。其实他们的安全目标没有考虑太仔细，或者考虑了，但是由于经费问题只做最少量投入。

不管怎么说，设定目标是安全建设的第一步的任务，只有安全目标设定后，才有可能围绕安全目标进行建设，建设的过程可以参考安全建设的原则。

二、决策

在设定好安全目标后，就需要做决策。任何公司的资源都是有限的，投入到安全建设上的资源就更少了，根据IDC数据，美国网安投入大约占整个IT投入的4.78%，中国只有1.84%。在资源有限的情况下，做什么不做什么就是非常重要的选择了。

做决策有多种方法可以选择，下面介绍几种最常用的决策方法，但哪个适合自己还需要根据情况来定。