網絡安全體系方法論

網絡安全體系方法論這一年來，網絡安全行業(yè)興奮異常.各種會議、攻防大賽、黑客秀，馬不停蹄。隨著物聯網大潮的到來，在這個到處都是安全漏洞的世界，似乎黑客才是安全行業(yè)的主宰。然而，我們看到的永遠都是自己的世界，正如醫(yī)生看到的都是病人，警察看到的都是罪犯，唯有跳出自己的角色去看待世界，世界才還原給你它真實的面貌。網絡安全從來都不只是漏洞，安全必須要融合企業(yè)的業(yè)務運營和管理，安全必須要進行體系化的建設。網絡安全，任重而道遠。安全牛整合多位資深安全顧問的一線咨詢經驗，首次公開發(fā)布《網絡安全體系感謝閱讀方法論》,旨在給企業(yè)或機構提供一個最佳實踐的參考，以幫助企業(yè)真正提升對謝謝閱讀網絡安全工作的認識，并在安全建設和運營中不斷成長。本架構方法論參考了NISTCybersecurityFramework，SABSA，ISO27000，Gartner等報告資料，并與等級保護的相關要求相結合。謝謝閱讀一、企業(yè)網絡安全體系設計總體思路網絡安全體系架構是面向企業(yè)未來網絡安全建設與發(fā)展而設計。謝謝閱讀點擊可看大圖企業(yè)網絡安全體系設計總體思路：針對企業(yè)防護對象框架，通過企業(yè)組織體系、管理體系、技術體系的建設，逐步建立企業(yè)風險識別能力、安全防御能力、安全檢測能力、安全響應能力與安全恢復能力,最終實現風險可見化，防御主動化,運行自動化的安全目標，保障企業(yè)業(yè)務的安全.謝謝閱讀二、網絡安全體系的驅動力任何企業(yè)的網絡安全體系建設，必須與企業(yè)的總體戰(zhàn)略保持一致。在制定具體網絡安全體系規(guī)劃時，需要考慮如下內容：謝謝閱讀1.業(yè)務發(fā)展規(guī)劃網絡安全體系設計需要與企業(yè)業(yè)務的發(fā)展保持一致，要充分了解企業(yè)未來3-5年的業(yè)務規(guī)劃，并根據業(yè)務特點,分析未來業(yè)務的安全需求。精品文檔放心下載2.信息技術規(guī)劃網絡安全體系是企業(yè)的信息技術體系的一部分，需要根據企業(yè)總體的信息技術規(guī)劃來設計安全體系感謝閱讀網絡安全風險網絡安全風險評估是安全體系設計和建設的基礎，企業(yè)需要充分了解自身業(yè)務和信息系統的安全風險感謝閱讀4。合規(guī)管理要求企業(yè)面臨國家、行業(yè)、監(jiān)管機構的各類安全監(jiān)管要求，安全體系設計需要考慮企業(yè)需要滿足的各類合規(guī)要求精品文檔放心下載5。安全技術趨勢安全體系需要充分考慮當前和未來安全技術的發(fā)展趨勢，了解當前的網絡安全熱點，選擇合適自己企業(yè)的安全技術和產品精品文檔放心下載三、安全體系的目標隨著互聯網與各產業(yè)的充分融合，安全的環(huán)境正在發(fā)生劇烈的變化，外部的威脅變得更加突出,定向APT攻擊成為主流，自動化攻擊與黑色產業(yè)鏈日臻完善，原來以策略和產品防護為核心的理念已無法適應新的環(huán)境。精品文檔放心下載安全牛建議新一代企業(yè)網絡安全體系建設的目標至少包含如下三點：感謝閱讀風險可見化Visibility未知攻，焉知防,看見風險才能防范風險；謝謝閱讀2。防御主動化Proactive最好的防守是進攻,主動防御，縱深防御是設計的目標；謝謝閱讀3。運行自動化Automotive全天候自動化的安全運營才能保障安全體系的落實;精品文檔放心下載當然，由于每個組織的業(yè)務需求和特點不同，發(fā)展成熟度也不同,企業(yè)可以根據發(fā)展情況制定不同時期的安全目標，逐步實現比較高的安全目標。謝謝閱讀四、安全是一種能力安全不是口號、不是漏洞、不是產品。安全到底是什么？安全牛認為，安全傳遞的是一種信任，而這種信任來自于企業(yè)自身的安全能力。安全是一種能力,新一代企業(yè)安全觀將實現“以人為本、以數據為核心、以技術為支撐"的安全能力。精品文檔放心下載人是安全能力的載體，安全體系建設要重點考慮人的主觀能動因素,企業(yè)的普通員工、專業(yè)技術人員以及企業(yè)管理層在安全體系中都將是重要的環(huán)節(jié)，都需要培養(yǎng)其意識與能力。感謝閱讀數據是安全能力的核心,數據驅動的安全將使得安全更好的融入企業(yè)的業(yè)務與管理，更好的體現安全的價值，基于數據的威脅情報共享機制也將極大的提高業(yè)界整體的安全防御水平。精品文檔放心下載技術是安全能力支撐的工具，安全技術未來將更加深入細分到更多的業(yè)務領域，安全產品和服務將更加多樣性。感謝閱讀企業(yè)安全能力框架設計我們參考了NISTCybersecurityFramework的核心內容，簡稱為IPDRR模型。謝謝閱讀企業(yè)安全能力框架IPDRR能力框架模型包括風險識別（Identify）、安全防御（Protect)、安全檢測(Detect）、安全響應(Response）和安全恢復（Recovery）五大能力,安全牛重新設計了15個子能力要素（如上圖所示）。精品文檔放心下載風險識別能力具體包括安全治理、架構規(guī)劃、資產管理、風險管理四個子域；感謝閱讀安全防御能力具體包括人員安全、訪問控制、縱深防護、安全運維四個子域；精品文檔放心下載安全檢測能力具體包括安全監(jiān)控、數據分析、安全檢查三個子域；精品文檔放心下載安全響應能力具體包括應急預案、事件響應兩個子域；安全恢復能力具體包括恢復計劃、災難恢復兩個子域。IPDRR能力框架實現了“事前、事中、事后”的全過程覆蓋，從原來以防護能力為核心的模型,轉向以檢測能力為核心的模型，支撐識別、預防、發(fā)現、響應等,變被動為主動，直至自適應（Adaptive）的安全能力。感謝閱讀五、企業(yè)安全體系架構模型企業(yè)安全體系的架構設計可以參考如下矩陣模型。1。建立企業(yè)安全保護對象框架每個企業(yè)的業(yè)務和架構是不同的,企業(yè)需要識別自身的安全保護對象框架,包括不限于：基礎設施(機房、網絡、主機、數據庫、終端等)、云平臺、移動平臺、大數據平臺、應用系統、敏感數據、企業(yè)業(yè)務（金融、電商、智能制造、可穿戴設備……)等。感謝閱讀2.建立企業(yè)安全能力框架每個企業(yè)的成熟度是不同的，企業(yè)需要根據自身業(yè)務發(fā)展的成熟度，在不同階段重點選擇建設不同的安全能力，可以從IPDRR模型中的15個子能力中選取.感謝閱讀3.建立安全能力目錄矩陣橫向的安全能力結合縱向的安全保護對象，將組合成每個節(jié)點的安全能力目錄。安全目錄包括不限于：安全產品、安全技術、安全工具、安全服務、安全方法論等。安全目錄的選擇將根據企業(yè)自身的安全預算、技術架構、安全技術趨勢等來確定；安全目錄對應的工作內容必須通過組織、流程和技術來支撐才能實現。精品文檔放心下載4.建立安全支撐體系最終所有安全能力的落實都依賴于三大體系的建設，包括組織體系、管理體系和技術體系。每個安全能力目錄都應對應上相關的組織職責、管理流程和技術支撐。精品文檔放心下載4。1安全組織體系明確企業(yè)安全組織體系及其運作模式,建立企業(yè)安全的決策、管理、執(zhí)行、監(jiān)督組織架構,同時明確關鍵角色/職責，是網絡安全能力建設的基礎與保障。謝謝閱讀4.2安全管理體系在組織體系的基礎上,建立完善的管理體系，明確組織網絡安全工作的策略、方法和體系，是網絡安全工作開展的規(guī)范。精品文檔放心下載4。3安全技術體系明確了企業(yè)網絡安全建設過程中所需的技術手段，是網絡安全工作開展的有力支撐.感謝閱讀具體技術措施的選擇是一個相對復雜的工作，企業(yè)需要了解當前的技術趨勢和技術發(fā)展成熟度、業(yè)界主流的廠商和產品、并考慮自身的預算和投入產出、企業(yè)的管理成熟度和人文環(huán)境等，一般需要以安全專題規(guī)劃和建設的方式來開展.感謝閱讀六、網絡安全技術成熟度模型網絡安全技術日新月異，處于快速的變化與發(fā)展中，安全牛參考技術成熟度標準和Gartner已定義的技術成熟度模型，給出了一個技術成熟度模型供大家參考.感謝閱讀企業(yè)應依據安全領域最新技術發(fā)展趨勢和廠商產品報告，選擇適合自身成熟度的精品文檔放心下載安全技術和產品。安全牛將根據研究成果不定期發(fā)布各類安全技術成熟度報感謝閱讀告供企業(yè)參考。七、網絡安全專題規(guī)劃依據上述的安全體系架構模型和技術成熟度模型,企業(yè)在落實某個領域具體工作時，可以按照專題規(guī)劃的方式來落實安全體系。專題內容可以按照體系架構中縱向的每類防護對象來開展.感謝閱讀安全專題規(guī)劃應當研究業(yè)界主流技術和廠商的產品特點,根據企業(yè)自身的IT和網絡安全