2.0新防禦體系下,網路安全成熟度模型以及各級別安全關鍵實踐
2.0新防禦體系下,網路安全成熟度模型以及各級別安全關鍵實踐
文 | 李鵬飛
在前一篇《傳統安全體系升級到網路安全2.0新防禦體系需要哪些思路上的轉變?》的文章中,我們提出當前網路安全的內涵與外延已經發生了很大的變化,安全已經擴展到全方位的網路空間領域。
與此同時,網路安全成熟度及建設目標也隨之發生了擴展,在以「安全合規」為導向的體系化階段的基礎上擴展了兩個級別,即以「量化控制」為特徵的主動性防禦階段和以「持續改進」為特徵的安全與業務融合階段。
由於篇幅的限制,在前一篇文章中並未對每個成熟度進行展開說明,在這一篇文章中針對2.0時代網路安全成熟度模型以及各級別安全關鍵實踐進行詳細闡述。
在2.0新防禦體系下,網路安全總體成熟度將分為五個級別,即Ⅰ初級防護、Ⅱ基礎防範、Ⅲ體系化控制、Ⅳ主動性防禦、Ⅴ安全業務融合。
不同的成熟度級別具有不同的基本特徵和關鍵實踐,每一級別的詳細說明如下:
Ⅰ初級防護
初級防護是安全成熟度的最低級別,可以理解為組織機構還未開始重視安全建設,沒有成型的安全工作思路,具體的安全防護也非常的薄弱。
初級防護級別的基本特徵為:
缺乏安全人員
安全控制無效事件被動響應
初級防護級別網路安全關鍵實踐:
安全技術實踐:防火牆+IDS+單機版防病毒+網管軟體
安全管理實踐:IT人員兼職安全崗位+安全服務商技術事件處理
Ⅱ.基礎防範
基礎防範是安全成熟度的第二個級別,可以理解為組織機構已經進行了安全建設,安全技術與安全管理相關工作已經開展,但是安全建設都是按點進行控制,相對比較零散、無序。
基礎防範級別基本特徵:
人員能力不足
技術按點控制安全制度零散安全工作無序
基礎防範級別網路安全關鍵實踐:
安全技術實踐:Ⅰ初級防護安全技術實踐+企業版防病毒+終端安全+准入控制+日誌審計+補丁管理+堡壘機+機房/網路監控+數據備份
安全管理實踐:信息安全組織架構+安全架構崗/項目經理崗+基礎性安全管理制度
Ⅲ.體系化控制
體系化控制級別是安全成熟度的第三個級別,可以理解為組織已經建立起了相對完善的安全安全體系,信息安全風險控制機制已經建立並有效運行,在安全組織、技術、制度、運行等方面已經全面進行體系化控制,此時安全體系是基本上是大而全的最佳實踐堆疊。
體系化控制級別基本特徵:
成立安全組織
完善安全架構安全控制落地安全管理有序風險控制有效
體系化控制級別網路安全關鍵實踐:
安全技術實踐:Ⅱ基礎防範安全技術實踐+雙因素認證+移動終端安全+防毒牆+上網行為管理+流量控制+負載均衡+防DDOS+防垃圾郵件+WAF+資料庫/應用日誌審計+系統/應用漏洞掃描+系統/應用監控+ITIL系統+數據級災備
安全管理實踐:信息安全與IT服務綜合組織架構+安全架構崗/項目經理崗/安全培訓崗/安全評估崗/安全合規崗/安全管理崗+ISMS/ITSM/體系初步融合+定期制度更新/定期安全檢查
Ⅳ.主動性防禦
主動性防禦是安全成熟度的第四個級別,可以理解為組織開始以自身網路安全剛性需求為工作導向,為了達到自身剛需目標而充分融合技術與管理手段,並能夠對安全體系進行量化的控制與績效評價,最終實現安全主動性防禦的目標。
主動性防禦級別基本特徵:
安全資源可調度
全景網路流量分析
高級持續威脅防禦安全策略分析可視信息系統可靠運行核心數據安全可控
主動性防禦級別網路安全關鍵實踐:
安全技術實踐:Ⅲ體系化控制安全技術實踐+4A系統+SOC+統一運維平台+磁碟加密/DLP/文檔加密/文檔許可權控制/虛擬桌面+代碼審計+APP安全+全流量深度分析檢測/回溯/審計+主機安全深度分析檢測+安全可略可視化+APT防禦+雲安全資源調度+應用級災備
安全管理實踐:信息科技風險組織架構/業務連續性組織架構/保密管理組織架構+信息科技一部三中心均設置安全團隊/安全內控組/安全管理組/安全技術組+制度管理常態化/內控流程化/風險指標化/培訓全員化/檢查審計常態化
Ⅴ.安全業務融合
安全與業務融合是安全成熟度的最高級別,可以理解為網路安全已經上升到企業風險治理的高度,網路安全與業務風險已經開始逐步融合,網路安全建設與業務風險控制已經很難在劃清明顯的界線,已經具備基於業務安全進行態勢感知與攻防對抗的能力。
安全與業務融合級別基本特徵:
防禦體系智能化
達到風險治理要求
安全業務風險融合業務性能分析管理安全態勢感知平台具備安全對抗能力
安全與業務融合網路安全關鍵實踐:
安全技術實踐:Ⅳ主動性防禦安全技術實踐+業務風險防控+防欺詐+不良信息監控/輿情監控++業務應用性能分析管理+情報威脅+態勢感知+攻防演練平台+雙/多中心雙/多活
安全管理實踐:企業風險與業務安全統一組織架構+重點部門均設置安全團隊/業務安全部/安全技術部/安全管理部/知識產權團隊/威脅情報態勢感知團隊/安全漏洞挖掘團隊/紅藍對抗團隊+業務安全一體化協同運營
特別說明
以上所述安全能力成熟度模型系「踏實實驗室」研究成果,在轉載與引用時請列明出處或標註「引自踏實實驗室」字樣。
以上所述各成熟度級別中的「關鍵實踐」系依據作者的實踐經驗得出,並非是信息安全建設建設必須標準,請各位讀者合理進行酌情參考。
同時,對各級別的基本特徵和關鍵實踐有更好的建議,歡迎廣大讀者在文章評論區留言討論!
如果覺得內容不錯,歡迎關注微信公共號(微信號ID:WeYanXPJ)獲得後續更新;如需閱讀以前文章,請在公共號後台查看歷史消息。
推薦閱讀:
※陽陽科普:「暗網」深藏於「深網」中的毒瘤
※解析「大安全」時代:網路安全超越網路本身
※信息系統安全等級保護的定級準則和等級劃分
※你還在用瀏覽器記住密碼嗎?
※博彩借錢風暴(朋友QQ被盜):我是如何反擊詐騙犯!