如何让网络安全能力可“量化”
【引】安全无小事,没有经历过鸡飞狗跳,都认为是岁月静好。如何让网络安全能力可“量化”被知道呢?
近年来随着网络安全上升为国家战略并成为国家安全观的重要组成部分,以及国内外网络安全形势日益严峻,重大网络安全事件时有发生。国家、政府机关、大型企业对网络安全的重视程度也越来越高。
网络信息技术已经从辅助性的配合角色,转变为融合运营技术的关键基础性支撑角色。相应的,网络安全工作也就必须从解决措施“有没有”问题的阶段向注重效果“好不好”的持续提升模式转变。而如何全面、客观地评价网络安全成效、投入及网络安全水平是否保持一致等问题,成为各个单位网络安全主管不得不所面临的“灵魂拷问”。
而在千禧年之际,软件开发组织也曾面临同样的“灵魂拷问”?由美国卡内基梅隆大学软件工程研究所(CMU SEI)研究出的一种用于评价软件开发组织能力并帮助改善软件开发质量的方法——SW-CMM,其英文全称为Capability Maturity Model for Software,简称CMM。它是对于软件组织在定义、实施、度量、控制和改善其软件过程的实践中各个发展阶段的描述。CMM的核心是把软件开发视为一个过程,并根据这一原则对软件开发和维护进行过程监控和研究,以使其更加科学化、标准化、使企业能够更好地实现商业目标。
参照CMM模型,并结合中国网络安全发展的特色以及业内知名安全框架、标准和模型,如IATF体系、自适应安全架构、网络安全滑动标尺模型、美国电力行业安全能力成熟度模型等,将网络安全能力拆分多个过程域、活动实践,逐一进行统一标准的能力划分、描述,形成网络安全行业的专属成熟度模型。
首先,企业网络安全主管可以借鉴成熟度模型,开展企业网络安全能力全面评估,通过对标模型中标准化指标体系,充分了解自身的安全能力。然后依据模型对应的不同层级指标体系,对网络安全能力进行规划,制定出网络安全能力体系建设的长期建设路径。其次,企业网络安全主管可梳理出当前能力位置,以及后续建设规划路径,面对领导的“灵魂拷问”,主管可以通过对比每年网络安全投入前后的能力对比,绘制出网络安全能力差分图,采用这种可视化和量化的方式轻松解决领导在网络安全投入产出方面的困惑。
网络安全能力成熟度模型-原理与实践,就是基于这方面的考虑,梳理形成一个适应国内网络安全建设发展的成熟度模型,作为国内第一部体系性介绍网络安全能力成熟度模型,该书详细地将网络安全能力领域划分了5个维度:
l网络安全战略
l网络安全管理
l网络安全组织
l网络安全技术
l网络安全运营
并在这5个维度的基础上,划分出20个过程域,并细化出56关键目标,以及183个关键活动指标(参见下图),覆盖了网络安全领域方方面面,即考虑网络安全纵深防御体系,也考虑到应用安全开发、数据安全即供应链安全等因素。
同时,依据CMM模型,对上述的5个维度、20个过程域、56关键目标的实践活动划分了5个等级(如下图)——初识阶段、合规驱动阶段、风险驱动阶段、数据驱动阶段和对抗驱动阶段,以表明该组织在网络安全能力方面的水平。
l合规驱动阶段
主要是满足国家、行业监管机构合规要求,开展网络安全建设,属于被动防御,从对抗能力看,也仅仅防护基本的攻击行为、例如扫描探测。
l风险驱动阶段
企业开展具有主动的网络安全风险管理意识,开始主动识别内外部的风险,自驱式完善企业的安全防护体系。在对抗能力角度看,可以实现传统的WEB攻击的防护,例如SQL注入、XSS漏洞利用等。
l数据驱动阶段
在这个阶段,企业可以通过建设各种网络安全指标,对网络安全活动可以进行量化,并利用量化结果不断驱动优化各种网络安全活动,从而提升网络安全应对能力。从对抗角度看,本阶段可以针对一些APT攻击、零日漏洞攻击进行防范。
l对抗驱动阶段
核心是“以攻促防”的理念,企业自身开展筹建红蓝军,开展常态化的对抗,利用攻击队促进防御体系的优化。
本书的实践章节提供了一些真实的案例——企业在不同成熟度阶段网络安全建设的重点内容,希望对作为网络安全主管的读者提供一份参考与借鉴。同时,也希望通过本书为从事于网络安全产品开发、解决方案的读者提供一些整体解决方案思路,可以更好地服务于TO B的客户。
【关联阅读】
腾讯云开发者
