網(wǎng)絡(luò)安全體系方法論(共10頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上網(wǎng)絡(luò)安全體系方法論這一年來(lái)，網(wǎng)絡(luò)安全行業(yè)興奮異常。各種會(huì)議、攻防大賽、黑客秀，馬不停蹄。隨著物聯(lián)網(wǎng)大潮的到來(lái)，在這個(gè)到處都是安全漏洞的世界，似乎黑客才是安全行業(yè)的主宰。然而，我們看到的永遠(yuǎn)都是自己的世界，正如醫(yī)生看到的都是病人，警察看到的都是罪犯，唯有跳出自己的角色去看待世界，世界才還原給你它真實(shí)的面貌。網(wǎng)絡(luò)安全從來(lái)都不只是漏洞，安全必須要融合企業(yè)的業(yè)務(wù)運(yùn)營(yíng)和管理，安全必須要進(jìn)行體系化的建設(shè)。網(wǎng)絡(luò)安全，任重而道遠(yuǎn)。安全牛整合多位資深安全顧問(wèn)的一線咨詢經(jīng)驗(yàn)，首次公開(kāi)發(fā)布網(wǎng)絡(luò)安全體系方法論，旨在給企業(yè)或機(jī)構(gòu)提供一個(gè)最佳實(shí)踐的參考，以幫助企業(yè)真正提升對(duì)網(wǎng)絡(luò)安全工作的認(rèn)識(shí)，并

2、在安全建設(shè)和運(yùn)營(yíng)中不斷成長(zhǎng)。本架構(gòu)方法論參考了NIST Cybersecurity Framework，SABSA，ISO27000，Gartner等報(bào)告資料，并與等級(jí)保護(hù)的相關(guān)要求相結(jié)合。一、企業(yè)網(wǎng)絡(luò)安全體系設(shè)計(jì)總體思路網(wǎng)絡(luò)安全體系架構(gòu)是面向企業(yè)未來(lái)網(wǎng)絡(luò)安全建設(shè)與發(fā)展而設(shè)計(jì)。點(diǎn)擊可看大圖企業(yè)網(wǎng)絡(luò)安全體系設(shè)計(jì)總體思路：針對(duì)企業(yè)防護(hù)對(duì)象框架，通過(guò)企業(yè)組織體系、管理體系、技術(shù)體系的建設(shè)，逐步建立企業(yè)風(fēng)險(xiǎn)識(shí)別能力、安全防御能力、安全檢測(cè)能力、安全響應(yīng)能力與安全恢復(fù)能力，最終實(shí)現(xiàn)風(fēng)險(xiǎn)可見(jiàn)化，防御主動(dòng)化，運(yùn)行自動(dòng)化的安全目標(biāo)，保障企業(yè)業(yè)務(wù)的安全。二、網(wǎng)絡(luò)安全體系的驅(qū)動(dòng)力任何企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)，必須與

3、企業(yè)的總體戰(zhàn)略保持一致。在制定具體網(wǎng)絡(luò)安全體系規(guī)劃時(shí)，需要考慮如下內(nèi)容：1. 業(yè)務(wù)發(fā)展規(guī)劃網(wǎng)絡(luò)安全體系設(shè)計(jì)需要與企業(yè)業(yè)務(wù)的發(fā)展保持一致，要充分了解企業(yè)未來(lái)3-5年的業(yè)務(wù)規(guī)劃，并根據(jù)業(yè)務(wù)特點(diǎn)，分析未來(lái)業(yè)務(wù)的安全需求。2. 信息技術(shù)規(guī)劃網(wǎng)絡(luò)安全體系是企業(yè)的信息技術(shù)體系的一部分，需要根據(jù)企業(yè)總體的信息技術(shù)規(guī)劃來(lái)設(shè)計(jì)安全體系3. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是安全體系設(shè)計(jì)和建設(shè)的基礎(chǔ)，企業(yè)需要充分了解自身業(yè)務(wù)和信息系統(tǒng)的安全風(fēng)險(xiǎn)4. 合規(guī)管理要求企業(yè)面臨國(guó)家、行業(yè)、監(jiān)管機(jī)構(gòu)的各類安全監(jiān)管要求，安全體系設(shè)計(jì)需要考慮企業(yè)需要滿足的各類合規(guī)要求5. 安全技術(shù)趨勢(shì)安全體系需要充分考慮當(dāng)前和未來(lái)安全技術(shù)的發(fā)展趨

4、勢(shì)，了解當(dāng)前的網(wǎng)絡(luò)安全熱點(diǎn)，選擇合適自己企業(yè)的安全技術(shù)和產(chǎn)品三、安全體系的目標(biāo)隨著互聯(lián)網(wǎng)與各產(chǎn)業(yè)的充分融合，安全的環(huán)境正在發(fā)生劇烈的變化，外部的威脅變得更加突出，定向APT攻擊成為主流，自動(dòng)化攻擊與黑色產(chǎn)業(yè)鏈日臻完善，原來(lái)以策略和產(chǎn)品防護(hù)為核心的理念已無(wú)法適應(yīng)新的環(huán)境。安全牛建議新一代企業(yè)網(wǎng)絡(luò)安全體系建設(shè)的目標(biāo)至少包含如下三點(diǎn)：1. 風(fēng)險(xiǎn)可見(jiàn)化Visibility 未知攻，焉知防，看見(jiàn)風(fēng)險(xiǎn)才能防范風(fēng)險(xiǎn)；2. 防御主動(dòng)化Proactive 最好的防守是進(jìn)攻，主動(dòng)防御，縱深防御是設(shè)計(jì)的目標(biāo)；3. 運(yùn)行自動(dòng)化Automotive 全天候自動(dòng)化的安全運(yùn)營(yíng)才能保障安全體系的落實(shí)；當(dāng)然，由于每個(gè)組織的業(yè)務(wù)

5、需求和特點(diǎn)不同，發(fā)展成熟度也不同，企業(yè)可以根據(jù)發(fā)展情況制定不同時(shí)期的安全目標(biāo)，逐步實(shí)現(xiàn)比較高的安全目標(biāo)。四、安全是一種能力安全不是口號(hào)、不是漏洞、不是產(chǎn)品。安全到底是什么？安全牛認(rèn)為，安全傳遞的是一種信任，而這種信任來(lái)自于企業(yè)自身的安全能力。安全是一種能力，新一代企業(yè)安全觀將實(shí)現(xiàn)“以人為本、以數(shù)據(jù)為核心、以技術(shù)為支撐”的安全能力。人是安全能力的載體，安全體系建設(shè)要重點(diǎn)考慮人的主觀能動(dòng)因素，企業(yè)的普通員工、專業(yè)技術(shù)人員以及企業(yè)管理層在安全體系中都將是重要的環(huán)節(jié)，都需要培養(yǎng)其意識(shí)與能力。數(shù)據(jù)是安全能力的核心，數(shù)據(jù)驅(qū)動(dòng)的安全將使得安全更好的融入企業(yè)的業(yè)務(wù)與管理，更好的體現(xiàn)安全的價(jià)值，基于數(shù)據(jù)的威脅情

6、報(bào)共享機(jī)制也將極大的提高業(yè)界整體的安全防御水平。技術(shù)是安全能力支撐的工具，安全技術(shù)未來(lái)將更加深入細(xì)分到更多的業(yè)務(wù)領(lǐng)域，安全產(chǎn)品和服務(wù)將更加多樣性。企業(yè)安全能力框架設(shè)計(jì)我們參考了NIST Cybersecurity Framework的核心內(nèi)容，簡(jiǎn)稱為IPDRR模型。企業(yè)安全能力框架IPDRR能力框架模型包括風(fēng)險(xiǎn)識(shí)別（Identify）、安全防御（Protect）、安全檢測(cè)（Detect）、安全響應(yīng)（Response）和安全恢復(fù)（Recovery）五大能力，安全牛重新設(shè)計(jì)了15個(gè)子能力要素（如上圖所示）。風(fēng)險(xiǎn)識(shí)別能力具體包括安全治理、架構(gòu)規(guī)劃、資產(chǎn)管理、風(fēng)險(xiǎn)管理四個(gè)子域；安全防御能力具體包括人員

7、安全、訪問(wèn)控制、縱深防護(hù)、安全運(yùn)維四個(gè)子域；安全檢測(cè)能力具體包括安全監(jiān)控、數(shù)據(jù)分析、安全檢查三個(gè)子域；安全響應(yīng)能力具體包括應(yīng)急預(yù)案、事件響應(yīng)兩個(gè)子域；安全恢復(fù)能力具體包括恢復(fù)計(jì)劃、災(zāi)難恢復(fù)兩個(gè)子域。IPDRR能力框架實(shí)現(xiàn)了“事前、事中、事后”的全過(guò)程覆蓋，從原來(lái)以防護(hù)能力為核心的模型，轉(zhuǎn)向以檢測(cè)能力為核心的模型，支撐識(shí)別、預(yù)防、發(fā)現(xiàn)、響應(yīng)等，變被動(dòng)為主動(dòng)，直至自適應(yīng)（Adaptive）的安全能力。五、企業(yè)安全體系架構(gòu)模型企業(yè)安全體系的架構(gòu)設(shè)計(jì)可以參考如下矩陣模型。1. 建立企業(yè)安全保護(hù)對(duì)象框架每個(gè)企業(yè)的業(yè)務(wù)和架構(gòu)是不同的，企業(yè)需要識(shí)別自身的安全保護(hù)對(duì)象框架，包括不限于：基礎(chǔ)設(shè)施（機(jī)房、網(wǎng)絡(luò)、主

8、機(jī)、數(shù)據(jù)庫(kù)、終端等）、云平臺(tái)、移動(dòng)平臺(tái)、大數(shù)據(jù)平臺(tái)、應(yīng)用系統(tǒng)、敏感數(shù)據(jù)、企業(yè)業(yè)務(wù)（金融、電商、智能制造、可穿戴設(shè)備）等。2. 建立企業(yè)安全能力框架每個(gè)企業(yè)的成熟度是不同的，企業(yè)需要根據(jù)自身業(yè)務(wù)發(fā)展的成熟度，在不同階段重點(diǎn)選擇建設(shè)不同的安全能力，可以從IPDRR模型中的15個(gè)子能力中選取。3. 建立安全能力目錄矩陣橫向的安全能力結(jié)合縱向的安全保護(hù)對(duì)象，將組合成每個(gè)節(jié)點(diǎn)的安全能力目錄。安全目錄包括不限于：安全產(chǎn)品、安全技術(shù)、安全工具、安全服務(wù)、安全方法論等。安全目錄的選擇將根據(jù)企業(yè)自身的安全預(yù)算、技術(shù)架構(gòu)、安全技術(shù)趨勢(shì)等來(lái)確定；安全目錄對(duì)應(yīng)的工作內(nèi)容必須通過(guò)組織、流程和技術(shù)來(lái)支撐才能實(shí)現(xiàn)。4. 建

9、立安全支撐體系最終所有安全能力的落實(shí)都依賴于三大體系的建設(shè)，包括組織體系、管理體系和技術(shù)體系。每個(gè)安全能力目錄都應(yīng)對(duì)應(yīng)上相關(guān)的組織職責(zé)、管理流程和技術(shù)支撐。4.1 安全組織體系明確企業(yè)安全組織體系及其運(yùn)作模式，建立企業(yè)安全的決策、管理、執(zhí)行、監(jiān)督組織架構(gòu)，同時(shí)明確關(guān)鍵角色/職責(zé)，是網(wǎng)絡(luò)安全能力建設(shè)的基礎(chǔ)與保障。4.2 安全管理體系在組織體系的基礎(chǔ)上，建立完善的管理體系，明確組織網(wǎng)絡(luò)安全工作的策略、方法和體系，是網(wǎng)絡(luò)安全工作開(kāi)展的規(guī)范。4.3 安全技術(shù)體系明確了企業(yè)網(wǎng)絡(luò)安全建設(shè)過(guò)程中所需的技術(shù)手段，是網(wǎng)絡(luò)安全工作開(kāi)展的有力支撐。具體技術(shù)措施的選擇是一個(gè)相對(duì)復(fù)雜的工作，企業(yè)需要了解當(dāng)前的技術(shù)趨勢(shì)和

10、技術(shù)發(fā)展成熟度、業(yè)界主流的廠商和產(chǎn)品、并考慮自身的預(yù)算和投入產(chǎn)出、企業(yè)的管理成熟度和人文環(huán)境等，一般需要以安全專題規(guī)劃和建設(shè)的方式來(lái)開(kāi)展。六、網(wǎng)絡(luò)安全技術(shù)成熟度模型網(wǎng)絡(luò)安全技術(shù)日新月異，處于快速的變化與發(fā)展中，安全牛參考技術(shù)成熟度標(biāo)準(zhǔn)和Gartner已定義的技術(shù)成熟度模型，給出了一個(gè)技術(shù)成熟度模型供大家參考。企業(yè)應(yīng)依據(jù)安全領(lǐng)域最新技術(shù)發(fā)展趨勢(shì)和廠商產(chǎn)品報(bào)告，選擇適合自身成熟度的安全技術(shù)和產(chǎn)品。安全牛將根據(jù)研究成果不定期發(fā)布各類安全技術(shù)成熟度報(bào)告供企業(yè)參考。七、網(wǎng)絡(luò)安全專題規(guī)劃依據(jù)上述的安全體系架構(gòu)模型和技術(shù)成熟度模型，企業(yè)在落實(shí)某個(gè)領(lǐng)域具體工作時(shí)，可以按照專題規(guī)劃的方式來(lái)落實(shí)安全體系。專題內(nèi)容可以按照體系架構(gòu)中縱向的每類防護(hù)對(duì)象來(lái)開(kāi)展。安全專題規(guī)劃應(yīng)當(dāng)研究業(yè)界主流技術(shù)和廠商的產(chǎn)品特點(diǎn)，根據(jù)企業(yè)自身的IT和網(wǎng)絡(luò)安全架構(gòu)，