以安全成熟度模型为基础,构建可度量的安全评估体系

《2017网络安全度量年度报告》指出,在网络安全技术上投资的公司中有约30%没有办法测量安全投资的价值或者效果。而Guardian公司的安全成熟度模型成为了解决该问题的核心工具之一。

通过应用安全成熟度模型,公司可以对其安全投资的效果做出科学合理的评估。安全成熟度模型如图1所示。

以安全成熟度模型为基础,构建可度量的安全评估体系

图1 安全成熟度模型

1、补丁管理和防病毒。

a)不完善的产品存在漏洞,这些漏洞往往被黑客利用;通过有效的补丁管理可以科学快速的弥补系统和软件缺陷。
b)主流的商业防病毒软件以云和大数据为基础,具有较好的病毒库实时更新能力,能为客户资产安全提供第一时间的防护。

2、防火墙和网络分段。

a)防火墙是抵御入侵的第一道防线,通过在网络上的多个关键节点部署多级防火墙,能够有效的阻断网络攻击。通常使用的开源防火墙包括Linux Iptables和FreeBSD IPFW等。商业防火墙则包括华为、Cisco、Juniper等知名厂商的一系列不同等级和规格的产品。

b)网络分段是网络分级隔离的关键措施。为不同防护等级和业务属性的应用规划不同的网络地址段,能够提高网络隔离的有效性,从而减少应用间的互相影响。

3、身份和访问管理。身份和访问管理混乱加剧了安全风险。

4、资产和配置管理。遗忘的资产往往成为黑客的目标,也不容易识别出入侵行为。

5、信息分类和保护。信息分类在收集、处理和应用过程中非常重要。不同保密级别要求的信息应以不同的加密(散列)方式存储,并以相对应的鉴权机制予以访问控制。

6、监控、告警和事件响应。缺少有效的监控、告警和事件响应机制是导致入侵危害持续放大的罪魁祸首。例如,在2018年某大型知名国际酒店集团发生的信息泄露事件中,经调查发现,“自2014年起,即存在第三方对喜达屋网络未经授权的访问。最近发现未经授权的第三方已复制并加密了某些信息,并采取措施试图将该等信息移出。”开源入侵检测系统包括OSSEC、Snort等。商业入侵检测系统包括青藤云等。

7、风险管理和治理。定期风险分析和安全培训是降低安全风险的必要步骤。要让安全意识深入人心,避免一些初级问题导致整个安全体系失效。

和图1相比,您的公司现在能达到哪一级了?欢迎留言。

参考文献:

《2017网络安全度量年度报告》,https://thycotic.com/resources/cybersecurity-metrics-report-2017/

新钛云服安全专家提供一站式安全解决方案,包括安全培训、渗透测试、安全体系建设咨询等服务。

想了解更多关于运维安全的干货,请关注公众号哦!

偷偷告诉各位道友,近日会有大福利放送,还不快关注我们!

以安全成熟度模型为基础,构建可度量的安全评估体系