1、.網(wǎng)絡(luò)安全系統(tǒng)方法學(xué)這一年間，互聯(lián)網(wǎng)安全行業(yè)很興奮。 各種會議、攻防賽、黑客表演、馬不停蹄。 隨著物聯(lián)網(wǎng)熱潮的到來，在這個到處都是保密工作廳的世界里，黑客似乎就是保密工作行業(yè)的支配者。 但是，我們看到的永遠(yuǎn)是自各兒的世界，醫(yī)生看到的都是患者，警察看到的都是罪犯，只要跳出自各兒的角色看世界，世界就會回到你的真實(shí)面貌。 網(wǎng)絡(luò)保密工作決不僅僅是脆弱性，安全必須融合企業(yè)的業(yè)務(wù)運(yùn)營和管理，安全必須進(jìn)行系統(tǒng)的建設(shè)。 網(wǎng)際網(wǎng)絡(luò)安全，負(fù)責(zé)，路很遠(yuǎn)。安全牛綜合多個老資格安全顧問的一線咨詢經(jīng)驗(yàn)，首次公開網(wǎng)絡(luò)安全體系方法論，旨在為企業(yè)和組織提供最佳實(shí)踐參考，提高企業(yè)真正對網(wǎng)絡(luò)安全工作的認(rèn)識，幫助企業(yè)在安全建設(shè)和運(yùn)營

2、中成長。該體系結(jié)構(gòu)方法學(xué)參考了NIST cyber安全框架、SABSA、ISO27000、Gartner等報告資料，并結(jié)合了等級保護(hù)要求。一、企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計總體構(gòu)想網(wǎng)絡(luò)保密工作體系結(jié)構(gòu)專為企業(yè)未來的網(wǎng)絡(luò)保密工作建設(shè)與發(fā)展而設(shè)計。你一喀嚦聲，就會看到一個很大的圖企業(yè)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計的總體構(gòu)想：對企業(yè)保護(hù)對象信息幀網(wǎng)絡(luò)，通過企業(yè)組織系統(tǒng)、管理系統(tǒng)、技術(shù)系統(tǒng)的建設(shè)，逐步建立企業(yè)風(fēng)險識別能力、安全防御能力、安全檢查能力、安全應(yīng)答能力和安全恢復(fù)能力，最終實(shí)現(xiàn)風(fēng)險可視化，防御自主化，運(yùn)行自動化的安全目標(biāo)，保障企業(yè)業(yè)務(wù)安全。二、網(wǎng)絡(luò)安全系統(tǒng)的驅(qū)動力任何企業(yè)的網(wǎng)絡(luò)安全系統(tǒng)建設(shè)，都必須與企業(yè)的總體戰(zhàn)略相一

3、致。 在制定具體的網(wǎng)絡(luò)安全系統(tǒng)計劃時，應(yīng)考慮以下事項：1 .業(yè)務(wù)發(fā)展計劃網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計必須與企業(yè)業(yè)務(wù)的發(fā)展相一致，要一盞茶理解企業(yè)今后35年的業(yè)務(wù)計劃，根據(jù)業(yè)務(wù)特點(diǎn)，分析未來業(yè)務(wù)的保密工作需求。2 .信息技術(shù)計劃網(wǎng)絡(luò)安全系統(tǒng)是企業(yè)信息技術(shù)系統(tǒng)的一部分，需要根據(jù)企業(yè)整體的信息技術(shù)規(guī)劃設(shè)計防偽系統(tǒng)3 .網(wǎng)絡(luò)安全風(fēng)險網(wǎng)絡(luò)安全風(fēng)險評價是防偽系統(tǒng)設(shè)計和建設(shè)的基礎(chǔ)企業(yè)需要一盞茶理解自各兒的業(yè)務(wù)和情報系統(tǒng)的保密工作風(fēng)險4 .依從性管理請求企業(yè)面臨國家、行業(yè)、監(jiān)管機(jī)構(gòu)各種安全監(jiān)督的要求，安全系統(tǒng)設(shè)計需要考慮企業(yè)應(yīng)滿足的各種依從性要求5 .安全技術(shù)趨勢安全系統(tǒng)需要一盞茶考慮當(dāng)前和未來的安全技術(shù)發(fā)展趨勢，了解

4、當(dāng)前的網(wǎng)絡(luò)安全無線熱點(diǎn)，選擇適合自各兒企業(yè)的安全技術(shù)和產(chǎn)品三、安全系統(tǒng)的目標(biāo)隨著網(wǎng)際網(wǎng)絡(luò)和各產(chǎn)業(yè)的一盞茶融合，安全環(huán)境正在急劇變化，外部威脅更加明顯，高級持續(xù)性威脅成為主流，自動攻擊和黑色產(chǎn)業(yè)鏈越來越完善，以戰(zhàn)略和產(chǎn)品保護(hù)為中心的理念不能適應(yīng)新的環(huán)境。安全牛建議下一代企業(yè)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的目標(biāo)至少包括以下三點(diǎn)1 .風(fēng)險可視化Visibility是未知的攻擊，楊知道防御，只有看到風(fēng)險才能防范風(fēng)險2 .主動防御主動的最高防御是進(jìn)攻，是自主防御，縱深防御是設(shè)計的目標(biāo)3 .操作自動化自動化時間365天的安全運(yùn)營可以保障安全系統(tǒng)的執(zhí)行當(dāng)然，由于各組織的業(yè)務(wù)需求和特點(diǎn)不同，發(fā)展成熟度也不同。 企業(yè)可以根據(jù)

5、發(fā)展情況制定不同時期的安全目標(biāo)，實(shí)現(xiàn)較高的安全目標(biāo)。四、安全是能力安全不是口號，不是漏洞，也不是產(chǎn)品。 什么是安全？ 安全牛認(rèn)為，安全傳達(dá)是信賴，這種信賴來源于企業(yè)自身的安全能力。 安全是一種能力，下一代企業(yè)的安全觀實(shí)現(xiàn)“以人為中心、以數(shù)據(jù)為中心、支撐技術(shù)”的安全能力。人是安全能力的載體，安全系統(tǒng)的建設(shè)必須重點(diǎn)考慮人的主觀能動性因素，企業(yè)普通員工、專業(yè)技術(shù)人員和企業(yè)經(jīng)營隊伍是安全系統(tǒng)中的重要環(huán)節(jié)，需要培養(yǎng)意識和能力。數(shù)據(jù)是安全能力的核心，數(shù)據(jù)驅(qū)動的安全融入了企業(yè)的業(yè)務(wù)和管理，表現(xiàn)出更安全的價值，基于數(shù)據(jù)的威脅信息共享反應(yīng)歷程也大大提高了整個行業(yè)的安全防御水平。技術(shù)是安全能力的支撐工具，安全技術(shù)

6、將來會深入細(xì)分為更多的業(yè)務(wù)領(lǐng)域，安全產(chǎn)品和服務(wù)會更加多樣化。企業(yè)號保密工作信息幀工作的設(shè)計參考了NIST cyber安全框架的核心內(nèi)容，稱為IPDRR模型。企業(yè)的保密工作信息幀工作IPDRR能力信息幀工作模型包括風(fēng)險識別、安全防護(hù)、安全檢測、安全響應(yīng)、安全恢復(fù)5種能力，安全牛再設(shè)計了1.5的能力要素。風(fēng)險識別能力具體包括安全管理、體系結(jié)構(gòu)計劃、財富管理、風(fēng)險管理4個子域名安全防御能力具體包括人員安全、接入控制、縱深保護(hù)、安全運(yùn)輸4個子域名安全檢查能力具體包括安全監(jiān)視、數(shù)據(jù)分析、安全檢查3個子域名安全應(yīng)答能力具體包括緊急事態(tài)、事件應(yīng)答兩個子域名安全恢復(fù)功能包括恢復(fù)計劃和災(zāi)難恢復(fù)兩個子域名。IPD

7、RR能力信息幀工作實(shí)現(xiàn)了“事前、事件中、事后”全過程的壟斷，從以往的以防護(hù)能力為中心的模型向以檢查能力為中心的模型轉(zhuǎn)移，支持識別、預(yù)防、發(fā)現(xiàn)、應(yīng)答等，被動主動，達(dá)到自適應(yīng)的安全能力。五、企業(yè)安全體系結(jié)構(gòu)模式企業(yè)安全系統(tǒng)的架構(gòu)設(shè)計可以參考以下沉積基質(zhì)模型。1 .企業(yè)安全保護(hù)對象信息幀工作的建構(gòu)每個企業(yè)的業(yè)務(wù)和構(gòu)造不同，企業(yè)識別基礎(chǔ)設(shè)施(機(jī)械室、網(wǎng)絡(luò)、男公關(guān)、數(shù)據(jù)庫、終端等)、云平臺、移動平臺、大數(shù)據(jù)平臺、應(yīng)用程序系統(tǒng)、機(jī)密數(shù)據(jù)、企業(yè)業(yè)務(wù)(金融、電氣公司、斯瑪特制造、可穿戴設(shè)備等)等2 .建立企業(yè)安全能力信息幀工作各企業(yè)的成熟度不同。 企業(yè)基于自各兒業(yè)務(wù)發(fā)展成熟度，著重于在不同階段建設(shè)不同的安全能

8、力，可從IPDRR模型中的1.5能力進(jìn)行選擇。3 .建立安全能力分類計程儀沉積基質(zhì)橫向安全能力和縱向安全保護(hù)對象相結(jié)合，列入各節(jié)點(diǎn)的安全能力列表。 安全卡塔計程儀包括安全產(chǎn)品、安全技術(shù)、安全工具、安全服務(wù)、安全方法學(xué)等。 對于安全目錄的選擇，根據(jù)企業(yè)自身的保密工作概預(yù)算、技術(shù)信息幀工作、保密工作技術(shù)趨勢等而決定的與安全目錄相對應(yīng)的工作內(nèi)容，只有在組織、進(jìn)程、技術(shù)的支持下才能實(shí)現(xiàn)。4 .安全支持系統(tǒng)的建構(gòu)最終，一切安全能力的落實(shí)依賴于包括組織體系、管理體系、技術(shù)體系在內(nèi)的三個體系的建設(shè)。 每個安全能力目錄計程儀必須對應(yīng)于相關(guān)組織的責(zé)任、管理流程和技術(shù)保障。4.1安全組織體系明確企業(yè)安全組織體系及

9、其運(yùn)行模式，建立企業(yè)安全決策、管理、執(zhí)行、監(jiān)督組織體系，同時明確其重要作用和責(zé)任，是網(wǎng)絡(luò)安全能力建設(shè)的基礎(chǔ)和保障。4.2安全管理系統(tǒng)建立完善的管理體系，明確組織網(wǎng)絡(luò)安全工作的戰(zhàn)略、方法和體系，是網(wǎng)絡(luò)安全工作開展的規(guī)范。4.3安全技術(shù)體系明確企業(yè)網(wǎng)絡(luò)安全建設(shè)所需的技術(shù)手段，是開展網(wǎng)絡(luò)安全工作的有力支持。具體技術(shù)措施的選擇是一項比較復(fù)雜的工作，企業(yè)需要了解當(dāng)前的技術(shù)趨勢和技術(shù)發(fā)展成熟度、行業(yè)主要制造商和產(chǎn)品，考慮自各兒的概預(yù)算和投入生產(chǎn)、企業(yè)的管理成熟度和人文環(huán)境等，一般需要以安全主題規(guī)劃和建設(shè)的方法開展。六、網(wǎng)絡(luò)保密工作技術(shù)成熟度模型網(wǎng)絡(luò)保密工作技術(shù)日新月異，在飛速變化和發(fā)展中，保密工作牛參考了技術(shù)成熟度標(biāo)準(zhǔn)和Gartner定義的技術(shù)成熟度模型，提供了技術(shù)成熟度模型。企業(yè)應(yīng)當(dāng)根據(jù)安全領(lǐng)域的最新技術(shù)發(fā)展趨勢和制造商的產(chǎn)品報告，選擇適合自各兒成熟度的安全技術(shù)和產(chǎn)品。 安全牛根據(jù)研究成果不定期發(fā)布各種安全技術(shù)成熟度報告供企業(yè)參考。七、網(wǎng)絡(luò)保密工作專業(yè)計劃根據(jù)上述安全系統(tǒng)的架構(gòu)模型和技術(shù)成熟度模型，企業(yè)在執(zhí)行某一領(lǐng)域的具體工作時，可采用專項規(guī)劃方式執(zhí)行安全系統(tǒng)。 專題內(nèi)容可以按體系結(jié)構(gòu)的縱向保護(hù)對象進(jìn)行展開。安全專題計劃要研究行業(yè)主要技術(shù)和制造商產(chǎn)品的特點(diǎn)，根據(jù)企業(yè)自身的IT和網(wǎng)絡(luò)安全結(jié)構(gòu)，選