大型互联网企业如果开展网络安全建设，是安全管理重要还是安全技术重要？_网络安全管理技术和管理哪个更重要呢?-优快云博客

本文链接：https://blog.youkuaiyun.com/SpringJavaMyBatis/article/details/142870692

文章目录

前言
==如何入门学习网络安全==
资料领取

前言

对于互联网企业来说，必须开展网络安全建设时，很多管理者通常会遇到这样的问题：1）是先做安全管理，还是先做安全技术 2）安全管理和安全技术到底哪个更重要？

昨天在微信群里，就此类问题，网友们展开了深入的讨论。

大家的观点各不相同：有人认为管理重要，有人认为技术重要，有人认为管理和技术都重要。

下面将大家的讨论，归纳总结如下文。

01 安全管理>安全技术

认为安全管理>安全技术的同学，他们的观点是：

对于企业来说，合规是第一要务，自上而下（比如法律法规）驱动比自下而上推进要容易，所以安全管理重要。
拿安全与消防做类比，参考消防合格问题，技术是在此大框架的落地过程；就好像开店，消防不合格，你得买灭火器一样；技术=买这个灭火器的过程和处理方式。
信息安全是虚拟的。咱们放到物理角度（开一家店要过消防安全检查。虽然可能消防不合规，但是给你发证了。要不然你连业都开不了。）咱们放在安全角度约等于几个安全的认证（比如等保）
通过我当前的经历来看（有流程但是没遵从度状态），是管理更重要，但是不能脱离技术，目前开发写出的代码简直惨不忍睹，但是用技术即使检测也没用，因为问题还是会源源不断的产生
光有技术解决不了源源不断的问题，光有管理则是一个伪命题，因为没有技术就没法衡量管理

02 安全管理&安全技术都重要

*认为安全管理&安全技术都重要的同学，他们的观点是：*

中大型厂商出于自身业务发展衡量，没有法规也会自己发展业务。这就是信息安全的螺旋式发展，产业的发展不以人的意志为转移，也不会因为没有法律就不搞了
我之前觉得技术重要中间也有一段时间觉得技术和管理同样重要，现在看了很多马总的短视频后觉得管理重要，只要方向对了到达目的地就是时间问题了，事实上很多时候一个企业运行起来面对的挑战管理也可能更多一些。马总是看到了事情的本质，然后想尽一切办法去解决问题，而很多人都是水多了放面，面多了放水无限循环。主打一个成年人不做选择全都要
安全（不管物理还是网络）的驱动力根本还是风险。处理预防风险方式：管理规则（预防性文件、合规性文件）技术指标+落地防护（技术手段（传统设备、自动化、人）
安全管理是基础，它为安全技术的应用提供了必要的支持。没有良好的安全管理体系，即使拥有最先进的安全技术，也可能因为人的疏忽或错误操作而失效。相反，如果只有严格的管理制度而缺乏有效的技术支持，也无法达到最佳的安全防护效果。所以安全管理和安全技术没有说哪个更重要，两者应该是相辅相成的。

03 其他观点

也有部分群友，发表了不同的观点：

首先界定一下什么是管理，什么是技术吧。管理是指组织架构、制度、策略制定、贯彻宣传、培训指导等，技术是指实战实操，用工具、用平台、用方法落地推进
看企业类型，看企业安全所处的阶段是个好的思路；三分技术，七分管理；其实如果产品研发的自动化和运维自动化做到70分的话，管理和技术的三七分就可以倒过来
对于安全诉求的优先级，政策>事件>内部问题，这个也可能存在行业不同排序不同

04 安全管理&安全技术到底谁重要？

对于这个问题的判断，我们首先看工作内容。

大型互联网企业在网络安全建设方面，面临着问题或工作常常更为复杂。我们把网络安全领域的工作罗列一下：

1. 数据保护与隐私政策

个人信息保护：遵循《个人信息保护法》等相关法律法规，确保用户个人信息的安全和隐私。
数据加密：对敏感数据进行加密处理，防止数据在传输过程中被截获或篡改。
隐私政策：制定并公开透明的隐私政策，明确告知用户数据的收集、使用、存储和共享的目的和范围。

2. 网络安全技术

防火墙与入侵检测系统：部署先进的防火墙和入侵检测系统，防止未授权访问和网络攻击。
安全审计与监控：实施持续的安全审计和监控，及时发现和响应安全威胁。
安全更新与补丁管理：定期更新系统和应用程序，修补已知的安全漏洞。

3. 应急响应与灾难恢复

应急预案：制定详细的网络安全事件应急预案，确保在发生安全事件时能够迅速有效地响应。
数据备份：定期备份关键数据，以防数据丢失或损坏。
灾难恢复：建立灾难恢复机制，确保业务连续性和数据完整性。

4. 合规性与法律遵从

法律法规遵守：严格遵守国家和地方的网络安全法律法规，如《数据安全法》、《网络安全法》等。
合规审查：定期进行合规性审查，确保企业操作符合行业标准和法律要求。
数据跨境传输管理：对于涉及跨境数据传输的业务，遵循相关国际和国内规定，确保数据安全。

5. 员工培训与安全意识

安全培训：定期对员工进行网络安全培训，提高他们的安全意识和应对能力。
安全文化建设：营造积极的安全文化，鼓励员工积极参与网络安全防护工作。
内部安全政策：制定严格的内部安全政策，防止内部数据泄露和滥用。

6. 第三方合作与供应链安全

合作伙伴审查：对合作伙伴进行严格的安全审查，确保其符合安全标准。
供应链管理：建立供应链安全管理体系，确保供应链中的数据安全和合规性。
第三方服务安全协议：与第三方服务提供商签订安全协议，明确双方在数据安全方面的责任和义务。

7. 用户教育与社区建设

用户安全教育：通过各种渠道教育用户如何保护自己的账户和数据安全。
安全问题反馈机制：建立有效的用户反馈机制，鼓励用户报告安全问题和漏洞。
社区参与：鼓励用户参与到网络安全建设中来，共同维护网络环境的安全。

8. 监管合作与行业标准

监管合作：与国家相关部门密切合作，及时了解最新的监管要求和政策动态。
行业标准制定：参与行业安全标准的制定和修订，推动行业整体安全水平的提升。
信息共享：在保护隐私的前提下，与其他企业和组织共享安全威胁信息，共同防范网络攻击。

从这些内容可以看出，大型互联网企业在网络安全建设上需要综合考虑以上各个方面，构建全面的安全防护体系。

这就需要我们，在不同的建设阶段，根据工作内容，看待是技术重要还是管理重要。一般来说，管理和技术两个方面，都重要。

如果是企业安全建设初期，急需解决上述内容的2和3，通过技术检测和遏制外部入侵，防范事件发生，这个阶段，安全技术比较重要。

如果工作的重点是解决数据安全和监管问题，则安全管理比较重要。

所以，当我们从工作内容出发，围绕需要解决的问题和达成的目标去构建安全能力时，管理重要还是技术重要就不言而喻，一目了然了。

如何入门学习网络安全

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）