如何利用量化指标评价网络安全建设成熟度(四):安全运营评价指标

相关文章:

安全运营能力评价指标共45个,按安全控制类别分,其中资产管理评价指标6个、风险识别评价指标12个、日常运行评价指标12个、应急响应评价指标6个、合规审计评价指标9个;按安全成熟度级别分,I初级防护级别没有指标、II基础防范级别指标6个、III体系化控制级别指标13个、IV主动性防御级别指标13个、V进攻性防御级别指标13个。

 资产管理

资产管理共有评价指标6个,I初级防护级别没有指标,II基础防范级别没有指标,III体系化控制级别2个指标、每个指标10分,IV主动性防御级别2个指标、每个指标10分,V进攻性防御级别2个指标、每个指标10分。

  • 能够建立并维护资产清单,包括资产名称、级别、责任人等属性【III级-10分】
  • 能够定义数据密级及不同级别数据范围,按不同级别建立管理策略【III级-10分】
  • 能够对全网资产进行自动探测,识别资产类型、版本号等关键信息【IV级-10分】
  • 能够对网际空间资产进行自动探测,识别暴露在互联网的资产信息【IV级-10分】
  • 能够对互联网舆情与不良信息进行监控,保护企业形象声誉资产【V级-10分】
  • 能够对钓鱼网站进行监测与处理,保护企业域名与互联网品牌资产【V级-10分】

 风险识别

风险识别共有评价指标12个,I初级防护级别没有指标,II基础防范级别3个指标、每个指标5分,III体系化控制级别3个指标、每个指标10分,IV主动性防御级别3个指标、每个指标10分,V进攻性防御级别3个指标、每个指标5分。

  • 能够从固定渠道定期获取系统漏洞与补丁信息评估系统面临风险【II级-5分】

  • 能够定期对设备与系统进行漏洞扫描,并依据风险等级进行加固【II级-5分】

  • 能够定期对设备与系统进行安全配置核查,并依据结果进行加固【II级-5分】

  • 能够定期对应用系统进行安全扫描,并依据风险等级进行整改【III级-10分】

  • 能够定期对应用系统进行渗透测试,并依据风险等级进行整改【III级-10分】

  • 能够建立安全配置基线规范标准,指导设备与系统安全配置【III级-10分】

  • 能够对系统漏洞、配置问题与其它相关脆弱性进行自动识别【IV级-10分】

  • 能够对代码进行安全扫描与审计,确保及时发现代码存在BUG【IV级-10分】

  • 能够利用威胁/漏洞情报数据,及时对安全漏洞进行监测告警【IV级-10分】

  • 建立安全分析与研究团队,能够进行安全漏洞挖掘与分析【V级-5分】

  • 建立安全攻防对抗团队,能够定期进行红蓝对抗实战演练【V级-5分】

  • 能够利用自动化渗透测试平台,持续的发现各种安全漏洞【V级-5分】

 日常运行

日常运行共有评价指标12个,I初级防护级别没有指标,II基础防范级别3个指标、每个指标5分,III体系化控制级别3个指标、每个指标10分,IV主动性防御级别3个指标、每个指标10分,V进攻性防御级别3个指标、每个指标10分。

  • 能够对策略的开通、变更操作进行留痕,以备策略回顾与审计【II级-5分】

  • 能够定义策略开通与变更管理流程,日常维护操作能够进行审核【II级-5分】

  • 能够利用工具对策略进行优化与调整,及时删除冗余、无效策略【II级-5分】

  • 能够对策略进行可视化展现,能够实时进行异常访问策略分析【III级-10分】

  • 能够对网络与硬件运行状态进行实时监控,及时发现运行故障【III级-10分】

  • 能够对系统与应用运行状态进行实时监控,及时发现运行故障【III级-10分】

  • 建立自动化集中监控平台,对网络、设备、系统、应用集中监控【IV级-10分】

  • 能够利用关联分析、算法分析等手段,及时发现应用运行异常【IV级-10分】

  • 能够对特权账号操作进行日志记录,并对日志进行适当安全保护【IV级-10分】

  • 能够对特权账号进行统一身份认证,对特权用户权限进行控制【V级-10分】

  • 能够对特权用户所有操作行为进行记录或录屏,并主动进行审计【V级-10分】

  • 能够进行用户行为分析,对特权用户违规、异常行为进行检测【V级-10分】

 应急响应

日常运行共有评价指标6个,I初级防护级别没有指标,II基础防范级别没有指标,III体系化控制级别2个指标、每个指标10分,IV主动性防御级别2个指标、每个指标10分,V进攻性防御级别2个指标、每个指标7.5分。

  • 能够建立各种典型场景应急预案,并对预案进行定期演练与更新【III级-10分】

  • 能够建立灾难恢复计划(DRP),并对计划进行定期演练与更新【III级-10分】

  • 能够对安全事件进行实时监控预警,并进行自动通知(如短信)【IV级-10分】

  • 能够通过安全运营平台(SOC)对安全事件统一进行分析溯源【IV级-10分】

  • 能够对典型事件处理进行自动化响应,通过设备联动下发策略【V级-7.5分】

  • 能够对安全攻击与威胁进行深度分析与追踪,并进行主动取证【IV级-7.5分】

 合规审计

日常运行共有评价指标9个,I初级防护级别没有指标,II基础防范级别没有指标,III体系化控制级别3个指标、每个指标10分,IV主动性防御级别3个指标、每个指标10分,V进攻性防御级别3个指标、每个指标10分。

  • 建立了安全管理制度体系,能够满足等级保护相关标准合规要求【III级-10分】

  • 重点安全管理制度能够嵌入业务流程,具有很好的落地执行效果【III级-10分】

  • 关键安全流程能够通过管理工具(如IITSM平台)进行固化运行【III级-10分】

  • 能够按照计划定期进行安全审计,并依据审计的结果进行整改【IV级-10分】

  • 能够通过平台汇总安全管控数据,对安全违规行为进行实时告警【IV级-10分】

  • 能够对设备、系统、应用等实体进行实时分析,对异常提前预警【IV级-10分】

  • 能够按计划定期评审安全控制效果,根据评审结果进行优化改进【V级-10分】

  • 能够建立关键风险指标(KRI),通过量化指标进行安全度量评价【V级-10分】

  • 能够通过平台实时监控量化安全指标,进行安全风险监测与预测【V级-10分】
(0)

相关推荐