在前一篇《网络安全2.0主动防御体系有哪些新思路?》的文章中,我们提出当前网络安全的内涵与外延已经发生了很大的变化,安全已经扩展到全方位的网络空间领域。
与此同时,网络安全成熟度及建设目标也随之发生了扩展,在以“安全合规”为导向的体系化阶段的基础上扩展了两个级别,即以“量化控制”为特征的主动性防御阶段和以“持续改进”为特征的安全与业务融合阶段。
由于篇幅的限制,在前一篇文章中并未对每个成熟度进行展开说明,在这一篇文章中针对2.0时代网络安全成熟度模型以及各级别安全关键实践进行详细阐述。
在2.0新防御体系下,网络安全总体成熟度将分为五个级别,即Ⅰ初级防护、Ⅱ基础防范、Ⅲ体系化控制、Ⅳ主动性防御、Ⅴ安全业务融合。
不同的成熟度级别具有不同的基本特征和关键实践,每一级别的详细说明如下:
Ⅰ初级防护
初级防护是安全成熟度的最低级别,可以理解为组织机构还未开始重视安全建设,没有成型的安全工作思路,具体的安全防护也非常的薄弱。
初级防护级别的基本特征为:
缺乏安全人员
安全控制无效
事件被动响应
初级防护级别网络安全关键实践:
安全技术实践:防火墙+IDS+单机版防病毒+网管软件
安全管理实践:IT人员兼职安全岗位+安全服务商技术事件处理
Ⅱ.基础防范
基础防范是安全成熟度的第二个级别,可以理解为组织机构已经进行了安全建设,安全技术与安全管理相关工作已经开展,但是安全建设都是按点进行控制,相对比较零散、无序。
基础防范级别基本特征:
人员能力不足
技术按点控制
安全制度零散
安全工作无序
基础防范级别网络安全关键实践:
安全技术实践:Ⅰ初级防护安全技术实践+企业版防病毒+终端安全+准入控制+日志审计+补丁管理+堡垒机+机房/网络监控+数据备份
安全管理实践:信息安全组织架构+安全架构岗/项目经理岗+基础性安全管理制度
Ⅲ.体系化控制
体系化控制级别是安全成熟度的第三个级别,可以理解为组织已经建立起了相对完善的安全安全体系,信息安全风险控制机制已经建立并有效运行,在安全组织、技术、制度、运行等方面已经全面进行体系化控制,此时安全体系是基本上是大而全的最佳实践堆叠。
体系化控制级别基本特征:
成立安全组织
完善安全架构
安全控制落地
安全管理有序
风险控制有效
体系化控制级别网络安全关键实践:
安全技术实践:Ⅱ基础防范安全技术实践+双因素认证+移动终端安全+防毒墙+上网行为管理+流量控制+负载均衡+防DDOS+防垃圾邮件+WAF+数据库/应用日志审计+系统/应用漏洞扫描+系统/应用监控+ITIL系统+数据级灾备
安全管理实践:信息安全与IT服务综合组织架构+安全架构岗/项目经理岗/安全培训岗/安全评估岗/安全合规岗/安全管理岗+ISMS/ITSM/体系初步融合+定期制度更新/定期安全检查
Ⅳ.主动性防御
主动性防御是安全成熟度的第四个级别,可以理解为组织开始以自身网络安全刚性需求为工作导向,为了达到自身刚需目标而充分融合技术与管理手段,并能够对安全体系进行量化的控制与绩效评价,最终实现安全主动性防御的目标。
主动性防御级别基本特征:
安全资源可调度
全景网络流量分析
高级持续威胁防御
安全策略分析可视
信息系统可靠运行
核心数据安全可控
主动性防御级别网络安全关键实践:
安全技术实践:Ⅲ体系化控制安全技术实践+4A系统+SOC+统一运维平台+磁盘加密/DLP/文档加密/文档权限控制/虚拟桌面+代码审计+APP安全+全流量深度分析检测/回溯/审计+主机安全深度分析检测+安全可略可视化+APT防御+云安全资源调度+应用级灾备
安全管理实践:信息科技风险组织架构/业务连续性组织架构/保密管理组织架构+信息科技一部三中心均设置安全团队/安全内控组/安全管理组/安全技术组+制度管理常态化/内控流程化/风险指标化/培训全员化/检查审计常态化
Ⅴ.安全业务融合
安全与业务融合是安全成熟度的最高级别,可以理解为网络安全已经上升到企业风险治理的高度,网络安全与业务风险已经开始逐步融合,网络安全建设与业务风险控制已经很难在划清明显的界线,已经具备基于业务安全进行态势感知与攻防对抗的能力。
安全与业务融合级别基本特征:
防御体系智能化
达到风险治理要求
安全业务风险融合
业务性能分析管理
安全态势感知平台
具备安全对抗能力
安全与业务融合网络安全关键实践:
安全技术实践:Ⅳ主动性防御安全技术实践+业务风险防控+防欺诈+不良信息监控/舆情监控++业务应用性能分析管理+情报威胁+态势感知+攻防演练平台+双/多中心双/多活
安全管理实践:企业风险与业务安全统一组织架构+重点部门均设置安全团队/业务安全部/安全技术部/安全管理部/知识产权团队/威胁情报态势感知团队/安全漏洞挖掘团队/红蓝对抗团队+业务安全一体化协同运营