网络安全体系方法论
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全体系方法论
这一年来,网络安全行业兴奋异常。各种会议、攻防大赛、黑客秀,马不停蹄。随着物联网大潮的到来,在这个到处都是安全漏洞的世界,似乎黑客才是安全行业的主宰。然而,我们看到的永远都是自己的世界,正如医生看到的都是病人,警察看到的都是罪犯,唯有跳出自己的角色去看待世界,世界才还原给你它真实的面貌。网络安全从来都不只是漏洞,安全必须要融合企业的业务运营和管理,安全必须要进行体系化的建设。网络安全,任重而道远。
安全牛整合多位资深安全顾问的一线咨询经验,首次公开发布《网络安全体系方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。
本架构方法论参考了NIST Cybersecurity Framework,SABSA,ISO27000,Gartner 等报告资料,并与等级保护的相关要求相结合。
一、企业网络安全体系设计总体思路
网络安全体系架构是面向企业未来网络安全建设与发展而设计。
点击可看大图
企业网络安全体系设计总体思路:针对企业防护对象框架,通过企业组织体系、管理体系、技术体系的建设,逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可见化,防御主动化,运行自动化的安全目标,保障企业业务的安全。
二、网络安全体系的驱动力
任何企业的网络安全体系建设,必须与企业的总体战略保持一致。在制定具体网络安全体系规划时,需要考虑如下内容:
1. 业务发展规划
网络安全体系设计需要与企业业务的发展保持一致,要充分了解企业未来3-5
年的业务规划,并根据业务特点,分析未来业务的安全需求。
2. 信息技术规划
网络安全体系是企业的信息技术体系的一部分,需要根据企业总体的信息技术规划来设计安全体系
3. 网络安全风险
网络安全风险评估是安全体系设计和建设的基础,企业需要充分了解自身业务和信息系统的安全风险
4. 合规管理要求
企业面临国家、行业、监管机构的各类安全监管要求,安全体系设计需要考虑企业需要满足的各类合规要求
5. 安全技术趋势
安全体系需要充分考虑当前和未来安全技术的发展趋势,了解当前的网络安全热点,选择合适自己企业的安全技术和产品
三、安全体系的目标
随着互联网与各产业的充分融合,安全的环境正在发生剧烈的变化,外部的威胁变得更加突出,定向APT攻击成为主流,自动化攻击与黑色产业链日臻完善,原来以策略和产品防护为核心的理念已无法适应新的环境。
安全牛建议新一代企业网络安全体系建设的目标至少包含如下三点:
1. 风险可见化
Visibility 未知攻,焉知防,看见风险才能防范风险;
2. 防御主动化
Proactive最好的防守是进攻,主动防御,纵深防御是设计的目标;
3. 运行自动化
Automotive全天候自动化的安全运营才能保障安全体系的落实;
当然,由于每个组织的业务需求和特点不同,发展成熟度也不同,企业可以根据发展情况制定不同时期的安全目标,逐步实现比较高的安全目标。
四、安全是一种能力
安全不是口号、不是漏洞、不是产品。安全到底是什么?安全牛认为,安全传递的是一种信任,而这种信任来自于企业自身的安全能力。安全是一种能力,新一代企业安全观将实现“以人为本、以数据为核心、以技术为支撑”的安全能力。
人是安全能力的载体,安全体系建设要重点考虑人的主观能动因素,企业的普通员工、专业技术人员以及企业管理层在安全体系中都将是重要的环节,都需要培养其意识与能力。
数据是安全能力的核心,数据驱动的安全将使得安全更好的融入企业的业务与管理,更好的体现安全的价值,基于数据的威胁情报共享机制也将极大的提高业界整体的安全防御水平。
技术是安全能力支撑的工具,安全技术未来将更加深入细分到更多的业务领域,安全产品和服务将更加多样性。
企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容,简称为IPDRR模型。
企业安全能力框架
IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,安全牛重新设计了15个子能力要素(如上图所示)。
风险识别能力具体包括安全治理、架构规划、资产管理、风险管理四个子域;安全防御能力具体包括人员安全、访问控制、纵深防护、安全运维四个子域;安全检测能力具体包括安全监控、数据分析、安全检查三个子域;
安全响应能力具体包括应急预案、事件响应两个子域;
安全恢复能力具体包括恢复计划、灾难恢复两个子域。
IPDRR能力框架实现了“事前、事中、事后”的全过程覆盖,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,支撑识别、预防、发现、响应等,变被动为主动,直至自适应(Adaptive)的安全能力。
五、企业安全体系架构模型
企业安全体系的架构设计可以参考如下矩阵模型。
1. 建立企业安全保护对象框架
每个企业的业务和架构是不同的,企业需要识别自身的安全保护对象框架,包括不限于:基础设施(机房、网络、主机、数据库、终端等)、云平台、移动平台、大数据平台、应用系统、敏感数据、企业业务(金融、电商、智能制造、可穿戴设备……)等。
2. 建立企业安全能力框架
每个企业的成熟度是不同的,企业需要根据自身业务发展的成熟度,在不同阶段重点选择建设不同的安全能力,可以从IPDRR模型中的15个子能力中选取。
3. 建立安全能力目录矩阵
横向的安全能力结合纵向的安全保护对象,将组合成每个节点的安全能力目录。安全目录包括不限于:安全产品、安全技术、安全工具、安全服务、安全方法论等。安全目录的选择将根据企业自身的安全预算、技术架构、安全技术趋势等来确定;安全目录对应的工作内容必须通过组织、流程和技术来支撑才能实现。
4. 建立安全支撑体系
最终所有安全能力的落实都依赖于三大体系的建设,包括组织体系、管理体系和技术体系。每个安全能力目录都应对应上相关的组织职责、管理流程和技术支撑。
4.1 安全组织体系
明确企业安全组织体系及其运作模式,建立企业安全的决策、管理、执行、监督组织架构,同时明确关键角色/职责,是网络安全能力建设的基础与保障。
4.2 安全管理体系