構建企業(yè)信息安全評價體系

1、構建企業(yè)信息安全評價體系技術創(chuàng)新，變革未來安全建設的困境安全度量的意義什么是好的度量體系度量體系的建設思路總結目錄安全建設的困境來自C*O和業(yè)務方的“拷問”安全防御有效性如何？現(xiàn)在狀況比去年更好么？和同行做對比我們如何？資金資源投入對不對？來自自身的反思和疑問我的安全水位到底如何？我能抵御住多大強度的對手？我的當下投入重點和力度是恰當的么？安全什么時候是個頭？提問-答案！，避免“安全是一種感覺”的陷阱識別修復識別風險到修復風險的無盡怪圈安全建設的困境安全是一門實踐性的學科，充斥著大量的不確定和含義模糊 的概念常見過于關注瑣碎的東西，而非全局現(xiàn)有評價體系過于模糊、非量化不能很好的支撐決策安全預算

2、大部分投入到產品，而不是運營或過程建設安全追求的是能力，而工具產品只是能力的載體人們傾向去做最容易識別的問題安全度量的意義If you can not measure it, you can not improve itLord Kelvin安全度量的意義安全度量是消除不安全感、不確定和疑慮的框架定性的度量：做正確的事安全的價值投入焦點集中在能夠增加價值的行為上一個軟件加固的例子定量的度量：明白我們在哪里過程改進什么是好的安全度量與指標關注者息息相關，促使采取行動或決策簡單易懂，避免主觀自動采集、方便計算數值或者百分比，避免高中低之類的“感性”標簽計量單位，如“漏洞數”、“小時”不求全、體現(xiàn)現(xiàn)

3、階段關注重點，同時牽引整體安全建設指標的分層化不通對象側重點不同：CEO vs CISO vs SDL主管指標大域分類防御能力水位覆蓋和管控能力可用性、可靠性應用和業(yè)務風險頂級指標定義關注全局，突出核心能力并支持下鉆：整體安全水位系統(tǒng)性風險資源投入和重心的產出我需要采取哪些行動幫助你？舉例：威脅感知率發(fā)現(xiàn)處置時常高危漏洞數員工違規(guī)數細分領域指標：以安全資產平臺為例資產透明化，自動化交叉驗證, 資產覆蓋率，核心資產覆蓋率External IPPortRSIP/PortAPP框架三方組件代碼庫流量信息訪問基線DB/TablesSQL操作人操作時間細分領域指標：以SDL為例分析視角：員工研發(fā)安全意識

4、線上產品質量風險敞口應用名千行代碼 違規(guī)數（下鉆到 人）千行代碼 漏洞數線上漏洞 數中高危漏 洞數漏洞發(fā)現(xiàn) 渠道漏洞類型帶傷時長漏洞修復 率漏洞超期 率漏洞修復 時長是否介入 調查調查結論xxx110351主動測試XXE1D80%10%120minYXXXxxx25130SRCCORS15min90%0%15minN威脅感知率風險處置能力風險自主發(fā)現(xiàn)率引導其他指標update細分領域指標：以入侵檢測為例日志源覆蓋基數覆蓋率送達率平均時延完整性核心系統(tǒng)基 數核心系統(tǒng) 覆蓋率核心系統(tǒng)送 達率平均時延最新版比 率HIDS100000095%95%(+1%)5min99%(+1%)100097%(-1%)99%1min50%日志源可見能力矩 陣檢測能力 比率平均發(fā)現(xiàn)時 間最長發(fā)現(xiàn)時 間平均響應時 間最長響應時間檢測處置能力度量系統(tǒng)平臺指標度量反向指標和交叉驗證既要也要還要避免單指標項導致的重心偏移漏洞檢出率 vs 主動發(fā)現(xiàn)率三方計數和多維度比對紅藍對抗驗證給業(yè)務方定KPI員工安全意識安全常識：安全敏感性研發(fā)安全意識“愚蠢”編碼設計問題的發(fā)生概率運維安全意識違規(guī)操作比率特殊工種安全意識重點風險識別和違規(guī)數熱力圖可以幫助提升運營效率跨領域學習：微觀度量的一個例子總結安全度量是消除恐懼、不確定和疑慮的框架針對不同的受眾，需要采取不同的安全度量角度和維度好的安