如何利用量化指标评价网络安全建设成熟度(三):安全控制评价指标

安全控制水平评价指标共60个,按安全控制类别分,其中物理安全评价指标15个、终端安全评价指标10个、网络安全评价指标15个、系统安全评价指标10个、数据安全评价指标10个;按安全成熟度级别分,每一级评价指标均为12个。

一、物理安全

物理安全共有评价指标15个,每一安全成熟度级别分别有评价指标3个,在指标评分权重方面,I初级防护级别每个指标4分、II基础防范级别每个指标8分、III体系化控制级别每个指标12分、IV主动性防御级别每个指标12分、V进攻性防御级别每个指标4分。

  • 机房部署电子门禁系统,对人员进出机房进行权限控制

  • 机房部署视频监控系统,对人员进出机房行为进行监控

  • 视频监控摄像头能够无死角覆盖内部重点区域与重要设备

  • 机房部署温湿度控制设施,能够保证机房温湿度恒温恒湿

  • 部署机房环境监控系统,能够对环境实时监控并自动报警

  • 配备机房全天值守人员,并定期对进行环境安全进行巡检

  • 机房配备UPS应对短期供电,能够覆盖重要系统相关设备

  • 机房配备双路供电,重要设备配备双电源,并配备电压电涌保护

  • 机房配备发电机及备用燃料,应对机房长时间停电的影响

  • 机房部署了消防灭火系统,并在关键位置配备单独灭火器

  • 机房设置了单独的ECC区域,用于技术人员进行维护操作

  • 建立同城灾备中心,核心业务建立应用级同城灾备系统

  • 建立异地灾备中心,核心业务建立应用级异地灾备系统

  • 建立了异地办公中心,配置了技术人员支持灾备中心运营

  • 建议多活业务中心,同城异地可以同时或交替运行业务系统

二、终端安全

终端安全共有评价指标10个,每一安全成熟度级别分别有评价指标2个,在指标评分权重方面,I初级防护级别每个指标6分、II基础防范级别每个指标12分、III体系化控制级别每个指标18分、IV主动性防御级别每个指标18分、V进攻性防御级别每个指标6分。

  • 部署了企业防病毒系统,对终端病毒进行实时监控与定期查杀

  • 部署终端补丁管理系统,对终端系统补丁更新升级统一管理

  • 部署终端管理系统,对终端资产、终端软件能够进行统一管理

  • 部署终端管理系统,对终端补丁、策略配置、权限等统一管理

  • 部署终端管理系统,对终端网络访问、外联、外设等统一管理

  • 部署终端管理系统,对终端上网、即时通信、文件操作行为审计

  • 部署终端数据防泄密(DLP)系统,对信息泄露进行监控阻断

  • 部署移动安全管理系统,对移动终端应用与数据进行安全管控

  • 部署终端检测与响应(EDR)系统,自动化威胁检测和响应

  • 部署虚拟桌面(云桌面)或沙盒系统,保护核心敏感数据安全
三、网络安全

网络安全共有评价指标15个,每一安全成熟度级别分别有评价指标3个,在指标评分权重方面,I初级防护级别每个指标4分、II基础防范级别每个指标8分、III体系化控制级别每个指标12分、IV主动性防御级别每个指标12分、V进攻性防御级别每个指标4分。

  • 部署防火墙设备,并能够按照业务需求设置防火墙策略

  • 部署入侵检测/防护系统(IDS/IPS),并能够对检测结果进行分析

  • 部署上网行为管理系统,对网络访问应用、内容与流量进行管控

  • 部署网络准入控制系统,对设备进行接入管理、安全检查与监控

  • 部署无线访问控制系统,进行无线认证、访问权限等进行控制

  • 部署防垃圾邮件系统,阻止垃圾邮件、恶意邮件等内容

  • 部署集中日志审计系统,对设备日志进行统一存储与审计

  • 部署防DOS攻击设备,对DOS攻击流量进行检测、防护与清洗

  • 部署防病毒网关设备,在网络边界进行病毒、木马检测与拦截

  • 部署统一日志分析系统(SIEM),对日志数据进行统一分析

  • 部署全流量分析系统,对网络异常流量与安全威胁进行检测

  • 部署网络防泄密(DLP)系统,对信息泄露进行监控阻断

  • 部署安全蜜罐系统,对安全攻击行为与威胁进行检测与捕捉

  • 部署高级威胁检测(沙箱)系统,对高级安全威胁进行检测防护

  • 部署网络性能分析系统,对业务性能与问题行进分析与优化
四、系统安全

系统安全共有评价指标10个,每一安全成熟度级别分别有评价指标2个,在指标评分权重方面,I初级防护级别每个指标6分、II基础防范级别每个指标12分、III体系化控制级别每个指标18分、IV主动性防御级别每个指标18分、V进攻性防御级别每个指标6分。

  • 部署堡垒主机系统,对特权账号权限进行管理与行为审计

  • 部署Web应用防火墙,对应用攻击与威胁进行检测与防护

  • 部署网页防篡改系统,对Web网页完整性进行检测与防护

  • 部署数据库日志审计系统,对数据库操作进行监控与审计

  • 部署统一身份认证(IAM)系统,实现用户统一身份认证

  • 部署集中日志审计系统,对系统应用日志统一存储与审计

  • 部署主机安全防护系统(HIDS),对主机安全进行防护

  • 部署数据库防火墙或数据库访问代理,实时进行安全防护

  • 部署在线业务安全分析系统,对威胁与异常进行实时监测

  • 部署移动业务(APP)威胁分析系统,对移动业务进行监测
五、数据安全

数据安全共有评价指标10个,每一安全成熟度级别分别有评价指标2个,在指标评分权重方面,I初级防护级别每个指标6分、II基础防范级别每个指标12分、III体系化控制级别每个指标18分、IV主动性防御级别每个指标18分、V进攻性防御级别每个指标6分。

  • 重要系统与应用建立本地热备或集群,应对系统应用故障

  • 重要系统与应用建立同城数据级灾备中心,应对灾难事件

  • 重要系统与应用建立异地数据级灾备中心,应对灾难事件

  • 核心系统与应用建立同城应用级灾备中心,应对灾难事件

  • 核心系统与应用建立异地应用级灾备中心,应对灾难事件

  • 存储敏感数据的介质报废时,对介质进行消磁与物理损毁

  • 存储核心敏感数据的磁盘采取加密措施,保护数据被动泄密

  • 传输核心敏感数据的网络链路采取加密措施(加密机、VPN等)

  • 涉及核心敏感数据的文档资料进行加密保护,防止数据主动泄密

  • 涉及核心敏感数据的数据库字段进行加密存储,防止数据泄密
(0)

相关推荐