网络安全体系方法论解读.docx

网络安全体系方法论这一年来，网络安全行业兴奋异常。各种会议、攻防大赛、黑客秀，马不停蹄。随着物联网大潮的到来，在这个到处都是安全漏洞的世界，似乎黑客才是安全行业的主宰。然而，我们看到的永远都是自己的世界，正如医生看到的都是病人，警察看到的都是罪犯，唯有跳出自己的角色去看待世界，世界才还原给你它真实的面貌。网络安全从来都不只是漏洞，安全必须要融合企业的业务运营和管理，安全必须要进行体系化的建设。网络安全，任重而道远。安全牛整合多位资深安全顾问的一线咨询经验，首次公开发布《网络安全体系方法论》，旨在给企业或机构提供一个最佳实践的参考，以帮助企业真正提升对网络安全工作的认识，并在安全建设和运营中不断成长。本架构方法论参考了NIST Cybersecurity Framework，SABSA，ISO27000，Gartner等报告资料，并与等级保护的相关要求相结合。一、企业网络安全体系设计总体思路网络安全体系架构是面向企业未来网络安全建设与发展而设计。点击可看大图企业网络安全体系设计总体思路：针对企业防护对象框架，通过企业组织体系、管理体系、技术体系的建设，逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力，最终实现风险可见化，防御主动化，运行自动化的安全目标，保障企业业务的安全。二、网络安全体系的驱动力任何企业的网络安全体系建设，必须与企业的总体战略保持一致。在制定具体网络安全体系规划时，需要考虑如下内容：1. 业务发展规划网络安全体系设计需要与企业业务的发展保持一致，要充分了解企业未来3-5年的业务规划，并根据业务特点，分析未来业务的安全需求。2. 信息技术规划网络安全体系是企业的信息技术体系的一部分，需要根据企业总体的信息技术规划来设计安全体系3. 网络安全风险网络安全风险评估是安全体系设计和建设的基础，企业需要充分了解自身业务和信息系统的安全风险4. 合规管理要求企业面临国家、行业、监管机构的各类安全监管要求，安全体系设计需要考虑企业需要满足的各类合规要求5. 安全技术趋势安全体系需要充分考虑当前和未来安全技术的发展趋势，了解当前的网络安全热点，选择合适自己企业的安全技术和产品三、安全体系的目标随着互联网与各产业的充分融合，安全的环境正在发生剧烈的变化，外部的威胁变得更加突出，定向APT攻击成为主流，自动化攻击与黑色产业链日臻完善，原来以策略和产品防护为核心的理念已无法适应新的环境。安全牛建议新一代企业网络安全体系建设的目标至少包含如下三点：1. 风险可见化Visibility 未知攻，焉知防，看见风险才能防范风险；2. 防御主动化Proactive 最好的防守是进攻，主动防御，纵深防御是设计的目标；3. 运行自动化Automotive 全天候自动化的安全运营才能保障安全体系的落实；当然，由于每个组织的业务需求和特点不同，发展成熟度也不同，企业可以根据发展情况制定不同时期的安全目标，逐步实现比较高的安全目标。四、安全是一种能力安全不是口号、不是漏洞、不是产品。安全到底是什么？安全牛认为，安全传递的是一种信任，而这种信任来自于企业自身的安全能力。安全是一种能力，新一代企业安全观将实现“以人为本、以数据为核心、以技术为支撑”的安全能力。人是安全能力的载体，安全体系建设要重点考虑人的主观能动因素，企业的普通员工、专业技术人员以及企业管理层在安全体系中都将是重要的环节，都需要培养其意识与能力。数据是安全能力的核心，数据驱动的安全将使得安全更好的融入企业的业务与管理，更好的体现安全的价值，基于数据的威胁情报共享机制也将极大的提高业界整体的安全防御水平。技术是安全能力支撑的工具，安全技术未来将更加深入细分到更多的业务领域，安全产品和服务将更加多样性。企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容，简称为IPDRR模型。企业安全能力框架IPDRR能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，安全牛重新设计了15个子能力要素（如上图所示）。风险识别能力具体包括安全治理、架构规划、资产管理、风险管理四个子域；安全防御能力具体包括人员安全、访问控制、纵深防护、安全运维四个子域；安全检测能力具体包括安全监控、数据分析、安全检查三个子域；安全响应能力具体包括应急预案、事件响应两个子域；安全恢复能力具体包括恢复计划、灾难恢复两个子域。IPDRR能力框架实现了“事前、事中、事后”的全过程覆盖，从原来以防护能力为核心的模型，转向以检测能力为核心的模型，支撑识别、预防、发现、响应等，变被动为主动，直至自适应（Adaptive）的安全能力。五、企业安全体系架构模