如何构建网络安全策略
一、概述
组织面临着对其信息系统和数据的诸多威胁。

了解网络安全的所有基本要素是攻克这些威胁的第一步。

网络安全是确保信息的完整性、保密性和可用性(ICA)的实践。

它代表了防御和从诸如硬盘驱动器故障或断电等事故中恢复的能力，以及抵御敌人攻击的能力。

后者包括从脚本kiddies到黑客和能够执行高级持久威胁(advanced persistent threats, apt)的犯罪组织，他们对企业构成严重威胁。

业务连续性和灾难恢复计划对于网络安全的重要性不亚于应用程序和网络安全。

整个企业都应该把安全放在首位，并由高级管理层授权。

我们现在所处的信息世界的脆弱性，也需要强有力的网络安全控制。

管理层应该确保所有系统都按照一定的安全标准构建，并对员工进行适当的培训。

例如，所有代码都有bug，其中一些bug是安全缺陷。

毕竟，开发人员只是人。

二、安全培训
在任何网络安全计划中，人总是最薄弱的环节。

培训开发人员如何安全编码，培训运营人员如何优先考虑强大的安全态势，培训终端用户如何识别钓鱼邮件和社会工程攻击——网络安全始于意识。

所有公司都会遭遇某种形式的网络攻击，即使有强有力的控制措施。

攻击者总是会利用最薄弱的环节，许多攻击很容易通过执行基本的安全任务。