网球比分格式怎么看

基于主动防御能力,安全成熟度模型的一点点思考

围观次数:3,707 views

在多年安全咨询的职业与项目经历中,一直钟爱并经常使用的一个工具,就是安全成熟度模型。安全成熟度模型既能够清晰地展示安全全貌,又能为安全工作提供明确的努力方向与建设目标。因此,安全成熟度模型不仅是很棒的咨询工具,更是为企业安全建设指引方向的灯塔。

1、传统安全成熟度模型及其存在问题

从安全的组成?#27492;擔?#20256;统安全架构由技术体系、组织体系、制度体系、运行体系组合而成,其中技术体系由五横(物理、终端、网络、系?#22330;?#24212;用)、五纵(身份认证、访问控制、内容安全、监控审计、备份?#25351;矗?#20132;叉组成,而组织、制度、运行?#37096;?#20197;合为一个大的管理体系。

从安全成熟度?#27492;擔?#19968;般是技术先行,管理再跟上,进而扩展到IT风?#23637;?#29702;、业务风?#23637;?#29702;体系,?#20174;?#23433;全技术体系、安全管理体系、IT风险综合管控、IT风险与业务风险综合的四个阶段组成成熟度模型。传统安全成熟度非本文重点,不在此进行详细描述,重点说下其中存在的问题。

首先,技术体系、管理体系虽然存在着一定的关系,但绝对不是技术体系全部建设完成,才开始进行安全管理体?#21040;?#35774;;其次,安全管理体?#21040;?#35774;完成后,直接进入了IT风险、业务风?#23637;?#29702;的范畴,将安全局限在风?#23637;?#29702;的范畴了;第三,安全的范畴与IT、业务是由交叉重叠的地方,但不是安全被IT、业务包含的关系,这里很显然是把安全理解成了狭义的IT安全了。

2、改造后的安全成熟度模型以及一些思考

在2016年前后,新的安全技术与理念不断出现,下一代安全的解决方案也层出不穷,越来越感觉到传统安全框架局限性越来越大,便开始琢磨怎么去改造构建一个新的安全成熟度模型。最早的一个版本是为了给一个大型房地产企业安全规划?#20174;茫?#35265;下图-1:

此模型将安全扩展成五个阶段,在阶段命名上参考了CMMI的成熟度,这多少还带有管理体系的味道,反而各阶段括号里的描述比较贴切一点。这里的充分定义阶段相当于建立了基础的安全体系(组织、技术、制度、运行),能够满足监管要求、最佳实践标准的要求,可以理解为到此阶段安全建设都是趋于合规、雷同的。再往上的两个阶段,就要突破合规与最佳实践的限制,深度考虑自己的建设需求,形成一个一个的安全专题,每个安全专题的实?#20013;?#35201;融合技术与管理措施。

此后,在局部进行了细微调整,去掉了CMMI成熟度风格的阶段定义,并将第五级不太好解释清楚的“自?#35270;?#23433;全?#22791;?#20026;了“业务与安全融合”。具体见下图-2:

除了上述的调整,每个阶段的公共特征描述也进行?#35828;?#25972;,并且依据公共特征对每个阶段具体的安全技术、安全管理实践进行了定义,在此不进行详细说明。

当然,这个版本仔细推敲也存在着问题,业务安全属于安全应用范畴,并不是安全程度的描述,在主动性防御阶段可以考虑业务安全,甚至在体系化控制?#37096;?#20197;考虑业务安全,前后阶段维度描述不一致。另外一个问题是,第四、第五阶段这些内容,属于安全建设内容专题,各个安全专题建设的前后顺序,更多的需要考虑实?#24066;?#27714;,而非在模型阶段就硬性规定出来。

3、做减法进一步调整后的安全成熟度模型

基于前面两个安全成熟度模型,参考了《网络安全滑动安全标尺模型》内容,结合企业安全运营的实?#26159;?#20917;,又进一步进行?#35828;?#25972;。最终成熟度模型如下图:

 

在安全成熟度阶段方面,将第五阶段调整为“进攻性防御?#20445;?#35299;决了前面遇到的问题,同时也与“主动性防御”可以相呼应。其它调整细节及一些思考总结如下:

第三阶段“体系化控制”中,以安全体?#21040;?#35774;为核?#27169;?#25551;述去掉了“安全合规”的字样。因为安全要合的规也在不断更新,新的法律法规中也有越来越多的高级别的要求。

  • 第一、第二阶段的安全建设,是以安全漏?#30784;?#24369;点为核心进行;第三个阶段的安全建设是以安全体系(内控)为核心建设。这三个阶段的特点是管好自己那点事,对敌人(威胁)来讲是被动防御。
  • 第三个阶段所说的“以SOC建设为核心?#20445;?#23454;际上是强调安全的智能中枢,是在做好自己的基础上,敢与敌人(威胁)进行一番?#29421;浚?#33021;够与敌人(威胁)来过过招,能够分清是敌是友,是善意还是恶意,就是所谓的敢于?#20004;#?#20027;动性防御)。
  • 能够真正做到主动性防御,也并不是一件很容易的?#34385;椋?#20027;动性防御特点与核心要点也不在此进行详细展开,有机会单独作为一篇文章阐述。
  • 第五个阶段的“进攻性防御?#20445;?#26356;多的是强调进攻而非防御,防御只是表明自卫反击的态度。当然,这个阶段对于绝大多数企业来讲,短期内达不到也没必要达到这个程度。

特别说明:本文中安全成熟度模型图-1、图-2,参考了太极信安公众号“踏实实验室”部分内容,在此表示由衷的感谢。

关注作者公众号,查看更多相关文章!

发表评论

电子?#22987;?#22320;址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助

网球比分格式怎么看
大乐坐标连走势 36选7开奖结果 美国股票指数比中国股票指数高 幸运28下载app 360老时时彩安全购彩 山东群英会预测推荐 通比牛牛出牛牛规律 山西11选5开奖结果 ag真人视讯心态 体彩现场摇奖