如何利用量化指标评价网络安全建设成熟度(一)

2015年觉得传统网络安全体系存在不足需要扩展,2016年开始接触并关注下一代安全体系,此后一直围绕着网络安全成熟度希望构建一个新的框架模型,2018年在《这些年我对安全成熟度模型的一点点思考》文章中对网络安全成熟度模型做了一个总结。

到了2019年终于将成熟度模型、特征、评价指标做了补全,我个人理解整体方法上已经算是比较贯通了,而不再只是比较零散的口号。这个网络安全成熟度模型和评价指标体系在我的硬盘里已经安静的睡了一年,今天放出来供各位有兴趣的安全从业人员参考。

在介绍之前先做个说明,我并不是希望做一个宏大又严谨的标准,只是希望能够用非常直接的方式,能够快速的评价一个企业安全建设所处的成熟度,以及哪些大的方面存在着比较明显的不足,解决传统安全调研中周期长、投入大的问题。

由于整体内容篇幅较长,为了方便阅读分为模型与特征、评价方法过程、安全控制指标、安全运营指标四个部分分别发布。

01.

网络安全成熟度模型

网络安全成熟度还是采用初级防护、基础防范、体系化控制、主动性防御、进攻型防御五个阶段,具体参见下图:

初级防护只具备零散的安全防护手段,基础防范相对初级防范来讲防护手段更加丰富,不过依旧是围绕着部署安全产品进行,到了体系化控制阶段基本具备了安全组织、技术手段和管理制度,相对来讲已经形成了各项安全机制,具备安全体系能够自我改进。

前面讲的前三个阶段安全建设重心都是快速铺开追求大而全,从本质上来讲没有什么不同,只是覆盖面多与少的问题,并且各个企业假设的内容并没有什么太大差别,有点安全建设的“普世价值”或“解决温饱”的意思。主动性防御、进攻型防御则不同,在基础的通用安全体系下,建设符合自身的安全核心能力,换句话说前三个阶段是补齐“短板”,而后两个阶段则是加强“长板”。

主动性防御以安全运营能力为核心,融合人员、技术、流程形成常态化的安全运营机制,促使安全体系从“僵化”到“优化”,进而再做到“固化”,提升安全工作效率并改善安全工作绩效。进攻型防御则是在关注安全内部的基础上,向外逐步扩展进行价值输出(业务贡献)或安全对抗(主动反制)。这两个阶段中主动性防御有“独善其身”意思,进攻型防御则有“兼济天下”的味道。

02.

网络安全成熟度特征

五个安全能力级别分别描述公共特征,所谓公共特征可以理解为这一阶段的定性描述,设定公共特征时既要考虑这一阶段的目标(自上),也需要参考这一阶段安全指标(自下)。不同成熟度级别的特征如下图所示:

每个级别的特征都从五个层面进行定性描述,这五个层面按安全建设的表象可以分为三个大的方面,即安全能力水平(上面两个指标)、安全运营状态(中间两个指标)和安全建设效果(最后一个指标)。

安全能力水平包括安全控制和风险管理两个方面,安全控制相对而言属于以结果为导向,属于做正确的事的范畴,比较偏技术产品层面;风险管理相对而言则以过程为导向,属于正确的做事范畴,比较偏流程方法层面。这两个方面像武术中的外家功与内家功,只有更偏重于哪个,但没有优劣之分。

安全运营状态包括日常安全工作和安全事件应急两个方面,日常安全工作相对而言是正常情况下的状态,类似于“按部就班”、“照本宣科”的规定动作;安全事件应急相对而言则是异常情况下的状态,类似于“临时起意”、“自由发挥”的非规定动作。不过这两种状态也没有严格的界限,一般情况下两种状态都是齐头并进的。

安全建设效果比较简单了,从面临监管处罚、应对检查困难的被动局面,到能够很好的满足安全合规要求,做到核心数据可管可控的主动局面,再到安全工作可以输出能力与价值,良好的安全品牌来促进业务健康发展。是整体安全建设的效果的最好判定标准。

(0)

相关推荐