网络安全设计的原则有哪些_浅谈企业组织的网络安全建设规划_零开始网络安全指南

网络安全设计的原则有哪些_浅谈企业组织的网络安全建设规划_零开始网络安全指南

前言

古人云：凡事预则立，不预则废。这句话同样适用于网络安全工作，尤其在网络安全规划层面。良好的网络安全建设规划意识、思路，对于各类企业组织而言，在安全建设提升路线和安全效果保障等方面，一定是事半功倍的。

网络安全建设规划定义

网络安全建设规划，一般指企业或组织，基于内部、外部各类驱动因素，针对网络安全（信息安全）工作制定的中长期规划，一般以3年、5年为期，以此作为一段时期内安全工作和相关活动的框架性指导。可以以国家、行业制定的“十四五规划”作为理解该项工作的参照物。

在逻辑关系上来讲，网络安全建设规划，属于企业组织业务发展战略之中的信息科技或IT发展战略的一部分。网络安全建设规划中，又包含规划目标、顶层设计、安全框架、分项任务等重点组成部分。

意义与重要性

进行网络安全建设规划，是成熟的行业、组织一贯的工作，只是在新的网络安全大背景下，被赋予了更多的意义，也具有了独特无法替代的重要性的特征。

首先是安全监管方面，各类国家级、行业级的监管法律法规与标准要求的密集出台，促使组织必须提高安全合规工作的重视程度，甚至进行彻头彻尾的网络安全全面改进与升级。国家网络安全监管部门、行业主管机构常态化安全检查与监督措施，迫使组织必须注重网络安全建设的有效性与日常安全工作的结果导向，这使得安全能力和建设水平需要稳步持续提升。

其次在业务需求层面，IT架构与业务应用服务模式的不断升级变化，数字化智能化的业务发展趋势日益明显，随之而来的新型网络安全与信息安全风险的出现。一贯的被动响应式的安全建设方式方法，已无法适应业务安全的需求，也容易导致重大网络安全事故、甚至是影响企业组织生死存亡的安全事件的发生。网络安全建设的前瞻性考虑与设计已成为必选项。

最后在投入产出方面，安全大环境利好的情况下，安全预算保障力度不断加大，也促使企业组织从投入产出的角度审视安全部门工作与安全建设效果。好钢用在刀刃上，预算花在最合适的地方成为了安全部门负责人最为关注的事情，而网络安全建设规划主导了预算的分配，可以从尽可能科学、客观的视角对安全投资提供依据。

关键点与原则

网络安全建设规划具有复杂性强，关联性强等特点，作为一项系统性工程，须遵循一定的基本原则，借此提供基础性的规划正确性保障。

适度性原则，最好是相对的，安全建设规划的目标、覆盖度、阶段性规划等等，一定要符合企业组织业务水平、IT现状、行业特征、资金投入水平等因素，过低的标准将使规划工作失去意义，过高的标准一旦无法达到预期，同样会带来灾难性的后果。

全面性原则，理论上来讲，中长期安全建设规划，应当覆盖了整个企业所有相关的安全活动与内容，包括安全管理、合规、技术、运行、人员、流程等，同时注重各要素之间的关联性，切不可在整体建设规划中过于重视或忽视某些方面，企业网络安全本身就是有机的整体。

逻辑依据性原则，类似于物理与数学公式的推导过程，安全建设规划任何一个大的框架、小的方向的建设，均需要充足的合规性依据作为支撑或充分的实践证明，对于较为新颖的安全技术理念，也要通过严谨的落地实践推演才可引入。只要如此才能获取内部各部门的支持与配合，才能服众。

兼顾性原则，现如今的网络安全建设，多以合规、实际安全需求双轮驱动为主，只是行业属性的差异导致所占的比重不同而已。中长期的安全建设规划，须同时兼顾两者目前与未来的诉求，更应当研究合规性响应与实际需要之间极强的关联性，一件事满足两方面的需求是理想的状态。建设规划过程的要点

在网络安全建设规划形成的过程中，涉及的面异常广泛，笔者只做框架性的描述。

在方式方法上，有条件的企业组织，建议选择合适第三方合适的安全咨询服务商作为该项工作的执行者，在筛选供应商方面，建议选择综合性的安全服务类厂商，单纯的合规评估类、风险评估类、产品工具类安全厂商都无法避免自身思维与能力的局限性，也容易导致输出的规划在理论、实践方面缺乏明显的短板。

规划因素导入方面，基于自身的实际安全工作，选取重要的合规类标准规范作为基线要求，同时以广阔的视角选取安全实践、安全理念、理论模型等，作为导入的先进性依据来源。重要的，也要对自身业务、技术、安全等现状与各部门进行科学的调研评估，作为查漏补缺与优化的重点。

规划质量要求。安全建设规划本身就是理论设计与落地实践并重的，允许存在落地过程中有限度的差异性与动态变化，但方向性的失误是需要避免的，建设规划要能够为后续安全建设活动与项目提供立项指导，以此作为共识性的质量要求。

总结

网络安全行业迎来了行业的春天，企业组织应当从更高的业务、科技、安全、发展的视角与胆量规划整体建设的方向，做到从大处着眼，保证安全体系和防护水平的稳步升级。同时，关注网络安全合规与安全治理的本质、日常，从小处入手，以网络安全规划确保安全工作落到实处。

漏洞悬赏计划：涂鸦智能安全响应中心（）欢迎白帽子来探索。

招聘内推计划：涵盖安全开发、安全测试、代码审计、安全合规等所有方面的岗位，简历投递sec@tuya.com，请注明来源。

~

网络安全学习，我们一起交流

~