標籤:

2.0新防禦體系下,網路安全成熟度模型以及各級別安全關鍵實踐

05-10

2.0新防禦體系下,網路安全成熟度模型以及各級別安全關鍵實踐

文 | 李鵬飛

在前一篇《傳統安全體系升級到網路安全2.0新防禦體系需要哪些思路上的轉變?》的文章中,我們提出當前網路安全的內涵與外延已經發生了很大的變化,安全已經擴展到全方位的網路空間領域。

與此同時,網路安全成熟度及建設目標也隨之發生了擴展,在以「安全合規」為導向的體系化階段的基礎上擴展了兩個級別,即以「量化控制」為特徵的主動性防禦階段和以「持續改進」為特徵的安全與業務融合階段。

由於篇幅的限制,在前一篇文章中並未對每個成熟度進行展開說明,在這一篇文章中針對2.0時代網路安全成熟度模型以及各級別安全關鍵實踐進行詳細闡述。

在2.0新防禦體系下,網路安全總體成熟度將分為五個級別,即Ⅰ初級防護、Ⅱ基礎防範、Ⅲ體系化控制、Ⅳ主動性防禦、Ⅴ安全業務融合。

不同的成熟度級別具有不同的基本特徵和關鍵實踐,每一級別的詳細說明如下:

Ⅰ初級防護

初級防護是安全成熟度的最低級別,可以理解為組織機構還未開始重視安全建設,沒有成型的安全工作思路,具體的安全防護也非常的薄弱。

初級防護級別的基本特徵為:

缺乏安全人員

安全控制無效

事件被動響應

初級防護級別網路安全關鍵實踐:

安全技術實踐:防火牆+IDS+單機版防病毒+網管軟體

安全管理實踐:IT人員兼職安全崗位+安全服務商技術事件處理

Ⅱ.基礎防範

基礎防範是安全成熟度的第二個級別,可以理解為組織機構已經進行了安全建設,安全技術與安全管理相關工作已經開展,但是安全建設都是按點進行控制,相對比較零散、無序。

基礎防範級別基本特徵:

人員能力不足

技術按點控制

安全制度零散

安全工作無序

基礎防範級別網路安全關鍵實踐:

安全技術實踐:Ⅰ初級防護安全技術實踐+企業版防病毒+終端安全+准入控制+日誌審計+補丁管理+堡壘機+機房/網路監控+數據備份

安全管理實踐:信息安全組織架構+安全架構崗/項目經理崗+基礎性安全管理制度

Ⅲ.體系化控制

體系化控制級別是安全成熟度的第三個級別,可以理解為組織已經建立起了相對完善的安全安全體系,信息安全風險控制機制已經建立並有效運行,在安全組織、技術、制度、運行等方面已經全面進行體系化控制,此時安全體系是基本上是大而全的最佳實踐堆疊。

體系化控制級別基本特徵:

成立安全組織

完善安全架構

安全控制落地

安全管理有序

風險控制有效

體系化控制級別網路安全關鍵實踐:

安全技術實踐:Ⅱ基礎防範安全技術實踐+雙因素認證+移動終端安全+防毒牆+上網行為管理+流量控制+負載均衡+防DDOS+防垃圾郵件+WAF+資料庫/應用日誌審計+系統/應用漏洞掃描+系統/應用監控+ITIL系統+數據級災備

安全管理實踐:信息安全與IT服務綜合組織架構+安全架構崗/項目經理崗/安全培訓崗/安全評估崗/安全合規崗/安全管理崗+ISMS/ITSM/體系初步融合+定期制度更新/定期安全檢查

Ⅳ.主動性防禦

主動性防禦是安全成熟度的第四個級別,可以理解為組織開始以自身網路安全剛性需求為工作導向,為了達到自身剛需目標而充分融合技術與管理手段,並能夠對安全體系進行量化的控制與績效評價,最終實現安全主動性防禦的目標。

主動性防禦級別基本特徵:

安全資源可調度

全景網路流量分析

高級持續威脅防禦

安全策略分析可視

信息系統可靠運行

核心數據安全可控

主動性防禦級別網路安全關鍵實踐:

安全技術實踐:Ⅲ體系化控制安全技術實踐+4A系統+SOC+統一運維平台+磁碟加密/DLP/文檔加密/文檔許可權控制/虛擬桌面+代碼審計+APP安全+全流量深度分析檢測/回溯/審計+主機安全深度分析檢測+安全可略可視化+APT防禦+雲安全資源調度+應用級災備

安全管理實踐:信息科技風險組織架構/業務連續性組織架構/保密管理組織架構+信息科技一部三中心均設置安全團隊/安全內控組/安全管理組/安全技術組+制度管理常態化/內控流程化/風險指標化/培訓全員化/檢查審計常態化

Ⅴ.安全業務融合

安全與業務融合是安全成熟度的最高級別,可以理解為網路安全已經上升到企業風險治理的高度,網路安全與業務風險已經開始逐步融合,網路安全建設與業務風險控制已經很難在劃清明顯的界線,已經具備基於業務安全進行態勢感知與攻防對抗的能力。

安全與業務融合級別基本特徵:

防禦體系智能化

達到風險治理要求

安全業務風險融合

業務性能分析管理

安全態勢感知平台

具備安全對抗能力

安全與業務融合網路安全關鍵實踐:

安全技術實踐:Ⅳ主動性防禦安全技術實踐+業務風險防控+防欺詐+不良信息監控/輿情監控++業務應用性能分析管理+情報威脅+態勢感知+攻防演練平台+雙/多中心雙/多活

安全管理實踐:企業風險與業務安全統一組織架構+重點部門均設置安全團隊/業務安全部/安全技術部/安全管理部/知識產權團隊/威脅情報態勢感知團隊/安全漏洞挖掘團隊/紅藍對抗團隊+業務安全一體化協同運營

特別說明

以上所述安全能力成熟度模型系「踏實實驗室」研究成果,在轉載與引用時請列明出處或標註「引自踏實實驗室」字樣。

以上所述各成熟度級別中的「關鍵實踐」系依據作者的實踐經驗得出,並非是信息安全建設建設必須標準,請各位讀者合理進行酌情參考。

同時,對各級別的基本特徵和關鍵實踐有更好的建議,歡迎廣大讀者在文章評論區留言討論!

如果覺得內容不錯,歡迎關注微信公共號(微信號ID:WeYanXPJ)獲得後續更新;如需閱讀以前文章,請在公共號後台查看歷史消息。


推薦閱讀:

陽陽科普:「暗網」深藏於「深網」中的毒瘤
解析「大安全」時代:網路安全超越網路本身
信息系統安全等級保護的定級準則和等級劃分
你還在用瀏覽器記住密碼嗎?
博彩借錢風暴(朋友QQ被盜):我是如何反擊詐騙犯!

TAG:網路安全 | 信息安全 | 數據安全 |