网络安全体系方法论（完整版).pdfVIP

. 网络安全体系方法论 这一年来，网络安全行业兴奋异常。各种会议、攻防大赛、黑客秀，马不停蹄。 随着物联网大潮的到来， 在这个到处都是安全漏洞的世界， 似乎黑客才是安全行 业的主宰。然而，我们看到的永远都是自己的世界，正如医生看到的都是病人， 警察看到的都是罪犯， 唯有跳出自己的角色去看待世界， 世界才还原给你它真实 的面貌。网络安全从来都不只是漏洞，安全必须要融合企业的业务运营和管理， 安全必须要进行体系化的建设。网络安全，任重而道远。 安全牛整合多位资深安全顾问的一线咨询经验，首次公开发布 《网络安全体系 方法论》 ，旨在给企业或机构提供一个最佳实践的参考，以帮助企业真正提升 对网络安全工作的认识，并在安全建设和运营中不断成长。 本架构方法论参考了 NIST Cybersecurity Framework ，SABSA，ISO27000，Gartner 等报告资料，并与等级保护的相关要求相结合。 一、企业网络安全体系设计总体思路 网络安全体系架构是面向企业未来网络安全建设与发展而设计。 页脚 . 点击可看大图 企业网络安全体系设计总体思路：针对企业防护对象框架，通过企业组织体系、 管理体系、技术体系的建设，逐步建立企业风险识别能力、安全防御能力、安全 检测能力、安全响应能力与安全恢复能力，最终实现风险可见化，防御主动化， 运行自动化的安全目标，保障企业业务的安全。 二、网络安全体系的驱动力 任何企业的网络安全体系建设， 必须与企业的总体战略保持一致。 在制定具体网 络安全体系规划时，需要考虑如下容： 页脚 . 1. 业务发展规划 网络安全体系设计需要与企业业务的发展保持一致，要充分了解企业未来 3-5 年的业务规划，并根据业务特点，分析未来业务的安全需求。 2. 信息技术规划 网络安全体系是企业的信息技术体系的一部分， 需要根据企业总体的信息技术规 划来设计安全体系 3. 网络安全风险 网络安全风险评估是安全体系设计和建设的基础， 企业需要充分了解自身业务和 信息系统的安全风险 4. 合规管理要求 页脚 . 企业面临、 行业、监管机构的各类安全监管要求， 安全体系设计需要考虑企业需 要满足的各类合规要求 5. 安全技术趋势 安全体系需要充分考虑当前和未来安全技术的发展趋势， 了解当前的网络安全热 点，选择合适自己企业的安全技术和产品 三、安全体系的目标 随着互联网与各产业的充分融合， 安全的环境正在发生剧烈的变化， 外部的威胁 变得更加突出，定向 APT 攻击成为主流，自动化攻击与黑色产业链日臻完善， 原来以策略和产品防护为核心的理念已无法适应新的环境。 安全牛建议新一代企业网络安全体系建设的目标至少包含如下三点： 页脚 . 1. 风险可见化 Visibility 未知攻，焉知防，看见风险才能防风险； 2. 防御主动化 Proactive 最好的防守是进攻，主动防御，纵深防御是设计的目标； 3. 运行自动化 Automotive 全天候自动化的安全运营才能保障安全体系的落实； 当然，由于每个组织的业务需求和特点不同，