安全牛整合多位資深安全顧問的一線諮詢經驗,首次公開發布《網絡安全體系方法論》,旨在給企業或機構提供一個最佳實踐的參考,以幫助企業真正提升對網絡安全工作的認識,並在安全建設和運營中不斷成長。
本架構方法論參考了NIST Cybersecurity Framework,SABSA,ISO27000,Gartner等報告資料,並與等級保護的相關要求相結合。
一、企業網絡安全體系設計總體思路
網絡安全體系架構是面向企業未來網絡安全建設與發展而設計。
企業網絡安全體系設計總體思路:針對企業防護對象框架,通過企業組織體系、管理體系、技術體系的建設,逐步建立企業風險識別能力、安全防禦能力、安全檢測能力、安全響應能力與安全恢復能力,最終實現風險可見化,防禦主動化,運行自動化的安全目標,保障企業業務的安全。
二、網絡安全體系的驅動力
任何企業的網絡安全體系建設,必須與企業的總體戰略保持一致。在制定具體網絡安全體系規劃時,需要考慮如下內容:
1. 業務發展規劃
網絡安全體系設計需要與企業業務的發展保持一致,要充分了解企業未來3-5年的業務規劃,並根據業務特點,分析未來業務的安全需求。
2. 信息技術規劃
網絡安全體系是企業的信息技術體系的一部分,需要根據企業總體的信息技術規劃來設計安全體系
3. 網絡安全風險
網絡安全風險評估是安全體系設計和建設的基礎,企業需要充分了解自身業務和信息系統的安全風險
4. 合規管理要求
企業面臨國家、行業、監管機構的各類安全監管要求,安全體系設計需要考慮企業需要滿足的各類合規要求
5. 安全技術趨勢
安全體系需要充分考慮當前和未來安全技術的發展趨勢,瞭解當前的網絡安全熱點,選擇合適自己企業的安全技術和產品
三、安全體系的目標
隨着互聯網與各產業的充分融合,安全的環境正在發生劇烈的變化,外部的威脅變得更加突出,定向APT攻擊成爲主流,自動化攻擊與黑色產業鏈日臻完善,原來以策略和產品防護爲核心的理念已無法適應新的環境。
安全牛建議新一代企業網絡安全體系建設的目標至少包含如下三點:
1. 風險可見化
Visibility 未知攻,焉知防,看見風險才能防範風險;
2. 防禦主動化
Proactive 最好的防守是進攻,主動防禦,縱深防禦是設計的目標;
3. 運行自動化
Automotive 全天候自動化的安全運營才能保障安全體系的落實;
當然,由於每個組織的業務需求和特點不同,發展成熟度也不同,企業可以根據發展情況制定不同時期的安全目標,逐步實現比較高的安全目標。
四、安全是一種能力
安全不是口號、不是漏洞、不是產品。安全到底是什麼?安全牛認爲,安全傳遞的是一種信任,而這種信任來自於企業自身的安全能力。安全是一種能力,新一代企業安全觀將實現“以人爲本、以數據爲核心、以技術爲支撐”的安全能力。
人是安全能力的載體,安全體系建設要重點考慮人的主觀能動因素,企業的普通員工、專業技術人員以及企業管理層在安全體系中都將是重要的環節,都需要培養其意識與能力。
數據是安全能力的核心,數據驅動的安全將使得安全更好的融入企業的業務與管理,更好的體現安全的價值,基於數據的威脅情報共享機制也將極大的提高業界整體的安全防禦水平。
技術是安全能力支撐的工具,安全技術未來將更加深入細分到更多的業務領域,安全產品和服務將更加多樣性。
企業安全能力框架設計我們參考了NIST Cybersecurity Framework的核心內容,簡稱爲IPDRR模型。
企業安全能力框架
IPDRR能力框架模型包括風險識別(Identify)、安全防禦(Protect)、安全檢測(Detect)、安全響應(Response)和安全恢復(Recovery)五大能力,安全牛重新設計了15個子能力要素(如上圖所示)。
風險識別能力具體包括安全治理、架構規劃、資產管理、風險管理四個子域;
安全防禦能力具體包括人員安全、訪問控制、縱深防護、安全運維四個子域;
安全檢測能力具體包括安全監控、數據分析、安全檢查三個子域;
安全響應能力具體包括應急預案、事件響應兩個子域;
安全恢復能力具體包括恢復計劃、災難恢復兩個子域。
IPDRR能力框架實現了“事前、事中、事後”的全過程覆蓋,從原來以防護能力爲核心的模型,轉向以檢測能力爲核心的模型,支撐識別、預防、發現、響應等,變被動爲主動,直至自適應(Adaptive)的安全能力。
五、企業安全體系架構模型
企業安全體系的架構設計可以參考如下矩陣模型。
1. 建立企業安全保護對象框架
每個企業的業務和架構是不同的,企業需要識別自身的安全保護對象框架,包括不限於:基礎設施(機房、網絡、主機、數據庫、終端等)、雲平臺、移動平臺、大數據平臺、應用系統、敏感數據、企業業務(金融、電商、智能製造、可穿戴設備……)等。
2. 建立企業安全能力框架
每個企業的成熟度是不同的,企業需要根據自身業務發展的成熟度,在不同階段重點選擇建設不同的安全能力,可以從IPDRR模型中的15個子能力中選取。
3. 建立安全能力目錄矩陣
橫向的安全能力結合縱向的安全保護對象,將組合成每個節點的安全能力目錄。安全目錄包括不限於:安全產品、安全技術、安全工具、安全服務、安全方法論等。安全目錄的選擇將根據企業自身的安全預算、技術架構、安全技術趨勢等來確定;安全目錄對應的工作內容必須通過組織、流程和技術來支撐才能實現。
4. 建立安全支撐體系
最終所有安全能力的落實都依賴於三大體系的建設,包括組織體系、管理體系和技術體系。每個安全能力目錄都應對應上相關的組織職責、管理流程和技術支撐。
4.1 安全組織體系
明確企業安全組織體系及其運作模式,建立企業安全的決策、管理、執行、監督組織架構,同時明確關鍵角色/職責,是網絡安全能力建設的基礎與保障。
4.2 安全管理體系
在組織體系的基礎上,建立完善的管理體系,明確組織網絡安全工作的策略、方法和體系,是網絡安全工作開展的規範。
4.3 安全技術體系
明確了企業網絡安全建設過程中所需的技術手段,是網絡安全工作開展的有力支撐。
具體技術措施的選擇是一個相對複雜的工作,企業需要了解當前的技術趨勢和技術發展成熟度、業界主流的廠商和產品、並考慮自身的預算和投入產出、企業的管理成熟度和人文環境等,一般需要以安全專題規劃和建設的方式來開展。
六、網絡安全技術成熟度模型
網絡安全技術日新月異,處於快速的變化與發展中,安全牛參考技術成熟度標準和Gartner已定義的技術成熟度模型,給出了一個技術成熟度模型供大家參考。
企業應依據安全領域最新技術發展趨勢和廠商產品報告,選擇適合自身成熟度的安全技術和產品。安全牛將根據研究成果不定期發佈各類安全技術成熟度報告供企業參考。
七、網絡安全專題規劃
依據上述的安全體系架構模型和技術成熟度模型,企業在落實某個領域具體工作時,可以按照專題規劃的方式來落實安全體系。專題內容可以按照體系架構中縱向的每類防護對象來開展。
安全專題規劃應當研究業界主流技術和廠商的產品特點,根據企業自身的IT和網絡安全架構,選擇合適的技術和產品,並根據各類安全合規要求和安全體系要求,通過體系規範化、職責明細化、管理流程化、測量指標化的手段來確保安全專題規劃的落地。
安全牛將根據專題研究的成果,不定期發佈安全專題研究報告。包括但不限於:基礎設施安全、雲安全、應用安全、數據安全、移動安全、工控安全、電子商務安全、互聯網金融安全等。