【IT168 评论】任何一家企业的网络安全检查清单都应当确保现有网络安全策略能够切实应对运营环境之中的一切变化，通过对以下五个关键性议题加以考量，企业应该能够确保自身已经拥有良好安全保护机制并为可能出现的网络攻击活动做好准备，航空及国防企业BAE Systems公司解释称。

   1.理解网络风险

　　“新型技术无疑将带来新的业务机遇，但其同时也会造成新型风险，”BAE Systems公司首席产品官Neal Watkins表示。

　　“随着企业对其它企业及技术方案进行兼并与整合，我们需要意识到可能由此带来的新型风险，”他在一段视频资料中向企业管理者们发出提醒。

　　其中包括探寻由第三方、承包商乃至供应链体系变更所引发的各类潜在风险。

　　任何一家企业的网络安全检查清单都应当确保现有网络安全策略能够切实应对运营环境之中的一切变化。

　　“最重要的是建立起一套实时且动态的网络安全策略，从而保证我们自身能够以不断演进这一特性作为基础进行审查与更新，最终对全部新型安全风险加以捕捉，”Watkins解释称。

　　2.拥有正确的安全控制能力

　　一旦已经确定了安全漏洞的存在，BAE Systems公司表示企业需要时刻做好准备，并在相关漏洞为高危类型时制定重大决策。

　　“我们需要有勇气做出正确的业务风险决策，从而确保企业事务不仅能够正常运作，同时亦能够使关键性资产受到严格保护，”Watkins指出。

　　“我们需要有勇气做出艰难的决定，包括对哪些系统与服务进行保护、采取怎样的保护级别并判断其会对留住客户产生怎样的影响，”他解释道。

　　3.在业务与风险之间找到平衡点

　　作为最低限度的前提性要求，企业管理者必须了解哪些资产最具价值，而哪些领域存在着最为严重的安全漏洞。

　　“企业需要做出正确的决断，从而在安全风险与商业需求之间找到理想的平衡点，同时立足于长期选择有利于业务及客户的发展道路，”Watkins表示。

　　管理者们应当决定哪些网络风险需要率先得到解决，而自身又需要投入多少资源实现既定管理目标。

　　“我们需要有勇气做出艰难的决定，包括对哪些系统与服务进行保护以及采取怎样的保护级别，”Watkins解释道。

　　4.利用安全设计思路建立企业防御文化

　　安全机制需要被整合到企业文化当中，BAE Systems方面建议称。而根据Watkins的观点，安全设计工作要求每一位企业成员确保自身以安全方式工作——无论其在组织内扮演怎样的职能角色。

　　“这要求每一位成员都能够确保自身以安全方式完成日常工作，包括具体流程与执行方式，无论他们的具体职能表现为应用程序代码编写、服务交付抑或是响应客户要求及处理客户数据，”他指出。

　　根据BAE Systems方面的建议，安全分析、威胁情报与态势感知等机制能够切实帮助企业发现安全漏洞的存在。

　　5. 筹备事故响应

　　最后，这家安全企业指出，没有哪种安全保护方案能够万无一失，因此成功的攻击活动终将出现。

　　有鉴于此，我们需要制定一项计划以响应并修复由安全攻击引发的后续问题，而这也将决定实际后果是仅限于小规模影响还是一场无法遏制的大灾难。

　　“大家需要拥有一套全面的、经过演练且严格测试的响应规划，其必须贯彻到一切系统与流程当中且为客户及企业员工所熟知，”Watkins指出。

　　“在攻击事件或者危机发生时，实际结果将取决于人们的即时反应，因此大家需要确保自身拥有一套经过精心设计、演练且严格测试的响应规划——这一点至关重要，”他解释称。

　　根据BAE Systems方面的意见，人们对网络攻击或者事故的响应方式将对企业运营及实际生产力损失产生重要影响，甚至决定客户对我们的信心。