• 2.0新防御体系下,网络安全成熟度模型以及各级别安全关键实践


    在前一篇《网络安全2.0主动防御体系有哪些新思路?》的文章中,我们提出当前网络安全的内涵与外延已经发生了很大的变化,安全已经扩展到全方位的网络空间领域。

    与此同时,网络安全成熟度及建设目标也随之发生了扩展,在以“安全合规”为导向的体系化阶段的基础上扩展了两个级别,即以“量化控制”为特征的主动性防御阶段和以“持续改进”为特征的安全与业务融合阶段。

    由于篇幅的限制,在前一篇文章中并未对每个成熟度进行展开说明,在这一篇文章中针对2.0时代网络安全成熟度模型以及各级别安全关键实践进行详细阐述。

    在2.0新防御体系下,网络安全总体成熟度将分为五个级别,即Ⅰ初级防护、Ⅱ基础防范、Ⅲ体系化控制、Ⅳ主动性防御、Ⅴ安全业务融合。

    不同的成熟度级别具有不同的基本特征和关键实践,每一级别的详细说明如下:

    Ⅰ初级防护

    初级防护是安全成熟度的最低级别,可以理解为组织机构还未开始重视安全建设,没有成型的安全工作思路,具体的安全防护也非常的薄弱。

    初级防护级别的基本特征为:

    缺乏安全人员
    安全控制无效
    事件被动响应

    初级防护级别网络安全关键实践:

    安全技术实践:防火墙+IDS+单机版防病毒+网管软件
    安全管理实践:IT人员兼职安全岗位+安全服务商技术事件处理

    Ⅱ.基础防范

    基础防范是安全成熟度的第二个级别,可以理解为组织机构已经进行了安全建设,安全技术与安全管理相关工作已经开展,但是安全建设都是按点进行控制,相对比较零散、无序。

    基础防范级别基本特征:

    人员能力不足
    技术按点控制
    安全制度零散
    安全工作无序

    基础防范级别网络安全关键实践:

    安全技术实践:Ⅰ初级防护安全技术实践+企业版防病毒+终端安全+准入控制+日志审计+补丁管理+堡垒机+机房/网络监控+数据备份
    安全管理实践:信息安全组织架构+安全架构岗/项目经理岗+基础性安全管理制度

    Ⅲ.体系化控制

    体系化控制级别是安全成熟度的第三个级别,可以理解为组织已经建立起了相对完善的安全安全体系,信息安全风险控制机制已经建立并有效运行,在安全组织、技术、制度、运行等方面已经全面进行体系化控制,此时安全体系是基本上是大而全的最佳实践堆叠。

    体系化控制级别基本特征:

    成立安全组织
    完善安全架构
    安全控制落地
    安全管理有序
    风险控制有效

    体系化控制级别网络安全关键实践:

    安全技术实践:Ⅱ基础防范安全技术实践+双因素认证+移动终端安全+防毒墙+上网行为管理+流量控制+负载均衡+防DDOS+防垃圾邮件+WAF+数据库/应用日志审计+系统/应用漏洞扫描+系统/应用监控+ITIL系统+数据级灾备
    安全管理实践:信息安全与IT服务综合组织架构+安全架构岗/项目经理岗/安全培训岗/安全评估岗/安全合规岗/安全管理岗+ISMS/ITSM/体系初步融合+定期制度更新/定期安全检查

    Ⅳ.主动性防御

    主动性防御是安全成熟度的第四个级别,可以理解为组织开始以自身网络安全刚性需求为工作导向,为了达到自身刚需目标而充分融合技术与管理手段,并能够对安全体系进行量化的控制与绩效评价,最终实现安全主动性防御的目标。

    主动性防御级别基本特征:

    安全资源可调度
    全景网络流量分析
    高级持续威胁防御
    安全策略分析可视
    信息系统可靠运行
    核心数据安全可控

    主动性防御级别网络安全关键实践:

    安全技术实践:Ⅲ体系化控制安全技术实践+4A系统+SOC+统一运维平台+磁盘加密/DLP/文档加密/文档权限控制/虚拟桌面+代码审计+APP安全+全流量深度分析检测/回溯/审计+主机安全深度分析检测+安全可略可视化+APT防御+云安全资源调度+应用级灾备
    安全管理实践:信息科技风险组织架构/业务连续性组织架构/保密管理组织架构+信息科技一部三中心均设置安全团队/安全内控组/安全管理组/安全技术组+制度管理常态化/内控流程化/风险指标化/培训全员化/检查审计常态化

    Ⅴ.安全业务融合

    安全与业务融合是安全成熟度的最高级别,可以理解为网络安全已经上升到企业风险治理的高度,网络安全与业务风险已经开始逐步融合,网络安全建设与业务风险控制已经很难在划清明显的界线,已经具备基于业务安全进行态势感知与攻防对抗的能力。

    安全与业务融合级别基本特征:

    防御体系智能化
    达到风险治理要求
    安全业务风险融合
    业务性能分析管理
    安全态势感知平台
    具备安全对抗能力

    安全与业务融合网络安全关键实践:

    安全技术实践:Ⅳ主动性防御安全技术实践+业务风险防控+防欺诈+不良信息监控/舆情监控++业务应用性能分析管理+情报威胁+态势感知+攻防演练平台+双/多中心双/多活
    安全管理实践:企业风险与业务安全统一组织架构+重点部门均设置安全团队/业务安全部/安全技术部/安全管理部/知识产权团队/威胁情报态势感知团队/安全漏洞挖掘团队/红蓝对抗团队+业务安全一体化协同运营

  • 相关阅读:
    Sass
    Less文件的建立
    面试问题整理
    高光谱图像分类部分名词解析
    监督学习,无监督学习和半监督学习
    git
    node.js安装及其环境配置
    浏览器从输入网址到渲染出页面的过程
    node的api
    模块与包管理工具
  • 原文地址:https://www.cnblogs.com/weyanxy/p/13423085.html
Copyright © 2020-2023  润新知