網絡安全是壹個系統工程,不是采取單壹措施就能解決的。它需要壹個網絡安全保障體系和綜合措施。通常企事業單位需要先對網絡系統進行風險評估,確定各類潛在風險和等級,並針對各類風險確定相應的策略和方案。經過有效的安全控制,降低風險發生的可能性,並對剩余風險進行監控和分析,在事故發生時進行應急響應和災難恢復,最終實現業務的持續運營。
事實上,壹些原創的傳統網絡安全技術通常可以使企事業單位在檢測攻擊、發現漏洞、防禦病毒、訪問控制等方面取得令人滿意的效果。但是,它們無法從根本上解決網絡信息系統的整體防禦問題。面對新的網絡環境和新的威脅,各國迫切需要建立壹個整體的網絡安全平臺——網絡安全保障體系。
例如,國內某金融機構網絡安全系統的整體框架如圖。網絡安全體系框架的外圍是風險管理、法律、法規和標準的整合。
註:摘自賈鐵軍教授主編的《網絡安全實用技術》,清華大學出版社。