構(gòu)建企業(yè)信息安全評(píng)價(jià)體系_第1頁
構(gòu)建企業(yè)信息安全評(píng)價(jià)體系_第2頁
構(gòu)建企業(yè)信息安全評(píng)價(jià)體系_第3頁
構(gòu)建企業(yè)信息安全評(píng)價(jià)體系_第4頁
構(gòu)建企業(yè)信息安全評(píng)價(jià)體系_第5頁
已閱讀5頁,還剩12頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、構(gòu)建企業(yè)信息安全評(píng)價(jià)體系技術(shù)創(chuàng)新,變革未來安全建設(shè)的困境安全度量的意義什么是好的度量體系度量體系的建設(shè)思路總結(jié)目錄安全建設(shè)的困境來自C*O和業(yè)務(wù)方的“拷問”安全防御有效性如何?現(xiàn)在狀況比去年更好么?和同行做對(duì)比我們?nèi)绾??資金資源投入對(duì)不對(duì)?來自自身的反思和疑問我的安全水位到底如何?我能抵御住多大強(qiáng)度的對(duì)手?我的當(dāng)下投入重點(diǎn)和力度是恰當(dāng)?shù)拿矗堪踩裁磿r(shí)候是個(gè)頭?提問-答案!,避免“安全是一種感覺”的陷阱識(shí)別修復(fù)識(shí)別風(fēng)險(xiǎn)到修復(fù)風(fēng)險(xiǎn)的無盡怪圈安全建設(shè)的困境安全是一門實(shí)踐性的學(xué)科,充斥著大量的不確定和含義模糊 的概念常見過于關(guān)注瑣碎的東西,而非全局現(xiàn)有評(píng)價(jià)體系過于模糊、非量化不能很好的支撐決策安全預(yù)算

2、大部分投入到產(chǎn)品,而不是運(yùn)營或過程建設(shè)安全追求的是能力,而工具產(chǎn)品只是能力的載體人們傾向去做最容易識(shí)別的問題安全度量的意義If you can not measure it, you can not improve itLord Kelvin安全度量的意義安全度量是消除不安全感、不確定和疑慮的框架定性的度量:做正確的事安全的價(jià)值投入焦點(diǎn)集中在能夠增加價(jià)值的行為上一個(gè)軟件加固的例子定量的度量:明白我們?cè)谀睦镞^程改進(jìn)什么是好的安全度量與指標(biāo)關(guān)注者息息相關(guān),促使采取行動(dòng)或決策簡單易懂,避免主觀自動(dòng)采集、方便計(jì)算數(shù)值或者百分比,避免高中低之類的“感性”標(biāo)簽計(jì)量單位,如“漏洞數(shù)”、“小時(shí)”不求全、體現(xiàn)現(xiàn)

3、階段關(guān)注重點(diǎn),同時(shí)牽引整體安全建設(shè)指標(biāo)的分層化不通對(duì)象側(cè)重點(diǎn)不同:CEO vs CISO vs SDL主管指標(biāo)大域分類防御能力水位覆蓋和管控能力可用性、可靠性應(yīng)用和業(yè)務(wù)風(fēng)險(xiǎn)頂級(jí)指標(biāo)定義關(guān)注全局,突出核心能力并支持下鉆:整體安全水位系統(tǒng)性風(fēng)險(xiǎn)資源投入和重心的產(chǎn)出我需要采取哪些行動(dòng)幫助你?舉例:威脅感知率發(fā)現(xiàn)處置時(shí)常高危漏洞數(shù)員工違規(guī)數(shù)細(xì)分領(lǐng)域指標(biāo):以安全資產(chǎn)平臺(tái)為例資產(chǎn)透明化,自動(dòng)化交叉驗(yàn)證, 資產(chǎn)覆蓋率,核心資產(chǎn)覆蓋率External IPPortRSIP/PortAPP框架三方組件代碼庫流量信息訪問基線DB/TablesSQL操作人操作時(shí)間細(xì)分領(lǐng)域指標(biāo):以SDL為例分析視角:員工研發(fā)安全意識(shí)

4、線上產(chǎn)品質(zhì)量風(fēng)險(xiǎn)敞口應(yīng)用名千行代碼 違規(guī)數(shù)(下鉆到 人)千行代碼 漏洞數(shù)線上漏洞 數(shù)中高危漏 洞數(shù)漏洞發(fā)現(xiàn) 渠道漏洞類型帶傷時(shí)長漏洞修復(fù) 率漏洞超期 率漏洞修復(fù) 時(shí)長是否介入 調(diào)查調(diào)查結(jié)論xxx110351主動(dòng)測試XXE1D80%10%120minYXXXxxx25130SRCCORS15min90%0%15minN威脅感知率風(fēng)險(xiǎn)處置能力風(fēng)險(xiǎn)自主發(fā)現(xiàn)率引導(dǎo)其他指標(biāo)update細(xì)分領(lǐng)域指標(biāo):以入侵檢測為例日志源覆蓋基數(shù)覆蓋率送達(dá)率平均時(shí)延完整性核心系統(tǒng)基 數(shù)核心系統(tǒng) 覆蓋率核心系統(tǒng)送 達(dá)率平均時(shí)延最新版比 率HIDS100000095%95%(+1%)5min99%(+1%)100097%(-1%)99%1min50%日志源可見能力矩 陣檢測能力 比率平均發(fā)現(xiàn)時(shí) 間最長發(fā)現(xiàn)時(shí) 間平均響應(yīng)時(shí) 間最長響應(yīng)時(shí)間檢測處置能力度量系統(tǒng)平臺(tái)指標(biāo)度量反向指標(biāo)和交叉驗(yàn)證既要也要還要避免單指標(biāo)項(xiàng)導(dǎo)致的重心偏移漏洞檢出率 vs 主動(dòng)發(fā)現(xiàn)率三方計(jì)數(shù)和多維度比對(duì)紅藍(lán)對(duì)抗驗(yàn)證給業(yè)務(wù)方定KPI員工安全意識(shí)安全常識(shí):安全敏感性研發(fā)安全意識(shí)“愚蠢”編碼設(shè)計(jì)問題的發(fā)生概率運(yùn)維安全意識(shí)違規(guī)操作比率特殊工種安全意識(shí)重點(diǎn)風(fēng)險(xiǎn)識(shí)別和違規(guī)數(shù)熱力圖可以幫助提升運(yùn)營效率跨領(lǐng)域?qū)W習(xí):微觀度量的一個(gè)例子總結(jié)安全度量是消除恐懼、不確定和疑慮的框架針對(duì)不同的受眾,需要采取不同的安全度量角度和維度好的安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論