网络安全体系方法论.doc

网络平安体系方法论 这一年来，网络平安行业兴奋异常。各种会议、攻防大赛、黑客秀，马不停蹄。随着物 联网大潮的到来，在这个到处都是平安漏洞的世界，似乎黑客才是平安行业的主宰。然 而，我们看到的永远都是自己的世界，正如医生看到的都是病人，警观察到的都是罪犯 ，唯有跳出自己的角色去对待世界，世界才复原给你它真实的面貌。网络平安从来都不 只是漏洞，平安必须要融合企业的业务运营和管理，平安必须要进展体系化的建立。网 络平安，任重而道远。 平安牛整合多位资深平安参谋的一线咨询经历，首次公开发布"网络平安体系方法论"， 旨在给企业或机构提供一个最正确实践的参考，以帮助企业真正提升对网络平安工作的 认识，并在平安建立和运营中不断成长。 本架构方法论参考了NIST Cybersecurity Framework，SABSA，ISO27000，Gartner等报告资料，并与等级保护的相关要求相结合。 一、企业网络平安体系设计总体思路 网络平安体系架构是面向企业未来网络平安建立与开展而设计。 点击可看大图 企业网络平安体系设计总体思路：针对企业防护对象框架，通过企业组织体系、管理体 系、技术体系的建立，逐步建立企业风险识别能力、平安防御能力、平安检测能力、平 安响应能力与平安恢复能力，最终实现风险可见化，防御主动化，运行自动化的平安目 标，保障企业业务的平安。 二、网络平安体系的驱动力 任何企业的网络平安体系建立，必须与企业的总体战略保持一致。在制定具体网络平安 体系规划时，需要考虑如下容： 1. 业务开展规划 网络平安体系设计需要与企业业务的开展保持一致，要充分了解企业未来3- 5年的业务规划，并根据业务特点，分析未来业务的平安需求。 2. 信息技术规划 网络平安体系是企业的信息技术体系的一局部，需要根据企业总体的信息技术规划来设 计平安体系 3. 网络平安风险 网络平安风险评估是平安体系设计和建立的根底，企业需要充分了解自身业务和信息系 统的平安风险 4. 合规管理要求 企业面临、行业、监管机构的各类平安监管要求，平安体系设计需要考虑企业需要满足 的各类合规要求 5. 平安技术趋势 平安体系需要充分考虑当前和未来平安技术的开展趋势，了解当前的网络平安热点，选 择适宜自己企业的平安技术和产品 三、平安体系的目标 随着互联网与各产业的充分融合，平安的环境正在发生剧烈的变化，外部的威胁变得更 加突出，定向APT攻击成为主流，自动化攻击与黑色产业链日臻完善，原来以策略和产品 防护为核心的理念已无法适应新的环境。 平安牛建议新一代企业网络平安体系建立的目标至少包含如下三点： 1. 风险可见化 Visibility 未知攻，焉知防，看见风险才能防风险； 2. 防御主动化 Proactive最好的防守是进攻，主动防御，纵深防御是设计的目标； 3. 运行自动化 Automotive全天候自动化的平安运营才能保障平安体系的落实； 当然，由于每个组织的业务需求和特点不同，开展成熟度也不同，企业可以根据开展情 况制定不同时期的平安目标，逐步实现比较高的平安目标。 四、平安是一种能力 平安不是口号、不是漏洞、不是产品。平安到底是什么.平安牛认为，平安传递的是一种 信任，而这种信任来自于企业自身的平安能力。平安是一种能力，新一代企业平安观将 实现"以人为本、以数据为核心、以技术为支撑〞的平安能力。 人是平安能力的载体，平安体系建立要重点考虑人的主观能动因素，企业的普通员工、 专业技术人员以及企业管理层在平安体系中都将是重要的环节，都需要培养其意识与能 力。 数据是平安能力的核心，数据驱动的平安将使得平安更好的融入企业的业务与管理，更 好的表达平安的价值，基于数据的威胁情报共享机制也将极大的提高业界整体的平安防 御水平。 技术是平安能力支撑的工具，平安技术未来将更加深入细分到更多的业务领域，平安产 品和效劳将更加多样性。 企业平安能力框架设计我们参考了NIST Cybersecurity Framework的核心容，简称为IPDRR模型。 企业平安能力框架 IPDRR能力框架模型包括风险识别〔Identify〕、平安防御〔Protect〕、平安检测〔De tect〕、平安响应〔Response〕和平安恢复〔Recovery〕五大能力，平安牛重新设计了 15个子能力要素〔如上图所示〕。 风险识别能力具体包括平安治理、架构规划、资产管理、风险管理四个子域； 平安防御能力具体包括人员平安、访问控制、纵深防护、平安运维四个子域； 平安检测能力具体包括平安监控、数据分析、平安检查三个子域； 平安响应能力具体包括应急预案、事件响应两个子域； 平安恢复能力具体包括恢复方案、灾难恢复两个子域。 IPDRR能力框架实现了"事前、事中、事后〞的全过程覆盖，从原来以防护能力为核心的 模型，转向 《网络安全体系方法论》 网络安全体系方法论是网络平安领域的重要理论框架，旨在帮助企业构建全面、有效的安全防护机制。近年来，网络安全事件频发，黑客活动日益猖獗，尤其是在物联网时代，安全问题显得尤为紧迫。因此，网络安全不再仅是技术层面的问题，而是与企业业务、管理及发展战略密切相关。 该方法论提出，企业网络平安体系的设计应具备前瞻性和全局性，通过构建企业组织体系、管理体系和技术体系，提升风险识别、防御、检测、响应和恢复五方面的能力。企业需依据自身业务规划、信息技术规划、风险评估、合规要求及技术趋势来定制安全体系。例如，了解未来3-5年业务发展，以确保安全体系与之同步；同时，关注合规要求，以符合法规标准；并跟踪安全技术发展趋势，选择适合的安全技术和产品。 安全体系的目标需与时俱进，从传统的静态防护转变为风险可见化、防御主动化和运行自动化。风险可见化强调识别和理解潜在威胁，以便及时防范；防御主动化提倡积极防御，通过纵深防御策略提升安全性；运行自动化则意味着24/7的自动化安全运营，确保安全体系的有效实施。 安全被视为一种能力，而不仅仅是口号或产品。它涉及人的因素、数据的核心地位和技术的支撑作用。企业需强化员工安全意识和技能，以人作为安全能力的载体；以数据驱动安全，使安全更紧密地融入业务流程，提高价值体现；同时，利用先进技术工具，深化安全应用，提供多样化的安全产品和服务。 为此，企业安全能力框架参照NIST Cybersecurity Framework，提出了IPDRR模型，涵盖风险识别、保护、检测、响应和恢复五个阶段。每个阶段又细分为多个子能力，如风险管理、访问控制、安全监控等，以实现从预防到恢复的全程覆盖，从单纯依赖防护能力转向全面安全管理。 网络安全体系方法论为企业提供了构建安全防护体系的指导原则，强调了业务与安全的融合、安全目标的动态调整以及安全能力的全面发展，为企业在网络空间的安全航行提供了坚实的基础。