合理的网络策略是什么样的？

RFA的George Ralph（如图）–网络安全从未像现在这样重要。网络攻击变得越来越雄心勃勃和公开。最近的两大恶意软件攻击，Petya和WannaCry都使用网络钓鱼攻击通过网络传播恶意软件，特别是Petya，采用了复杂的，多管齐下的方法，使用户的计算机无法使用，但也为黑客提供了完全访问权限。从计算机窃取的用户名和密码。

由文化，媒体和体育部发布，由益普索森（Ipsos Mori）进行的《 2017年网络安全违规调查》表明，企业应对这些持续频繁攻击的准备情况令人恐惧。在接受调查的1500多家企业中，有74％表示网络安全是高级管理人员的重中之重，而67％的人在过去一年中以某种形式或形式花了钱在网络安全上，而只有33％的企业制定了正式政策，涵盖网络安全风险。此外，只有11％的企业制定了网络安全事件管理计划。

我认为，企业需要采取系统性的方法来应对网络安全问题，涵盖三个主要方面。这些是政策和程序，技术以及教育和培训。首先，公司需要制定文件化的政策和程序，以保护业务数据，系统和网络并满足法规遵从性要求。网络事件响应计划确定了关键的系统，流程和人员，并记录了公司将如何准备事件，检测到一个事件（最重要的是包含一个事件），从事件中恢复以及公司将如何进行事件后分析。 。

业务连续性计划概述了关键业务流程和IT系统以及恢复过程和时间表。最后，网络安全框架详细说明了公司将接受的用户培训，他们将采取的物理安全措施，内部审计将如何进行，如何识别和分类风险以及如何降低供应链的风险。

下一步，保护好每一层数据的正确技术，硬件，软件和系统也要比看起来复杂得多。强大的网络安全策略应该是多层的，并且应包括电子邮件，移动设备和其他终结点，网络流量和网络。公司还应考虑数据治理，数据应加密，物理环境应安全，访问应严格管理，并且公司应在整个技术产业中进行定期的渗透测试和漏洞扫描。

该框架的最后一个组成部分是对员工进行网络安全教育，并提供有效的培训，以帮助他们识别恶意行为并采取相应的措施以避免或减轻风险。

一种方法是定期且无警告地对用户进行模拟电子邮件，语音和SMS网络钓鱼攻击，个性化登录页面，附件和欺骗域的测试，以突出风险和员工弱点。当员工成为这些攻击的受害者时，他们会得到即时反馈，并会及时发现红旗。

随着攻击威胁变得越来越普遍，仅使用其中一个组件而不使用其他组件是不够的。正是为什么需要一种彻底而系统的方法。