1、這一年來，網(wǎng)絡(luò)安全行業(yè)興奮異常。各種會議、攻防大賽、黑客秀，馬不停蹄。隨著物聯(lián)網(wǎng)大潮的到來，在這個到處都是安全漏洞的世界，似乎黑客才是安全行業(yè)的主宰。然而，我們看到的永遠都是自己的世界，正如醫(yī)生看到的都是病人，警察看到的都是罪犯，唯有跳出自己的角色去看待世界，世界才還原給你它真實的面貌。網(wǎng)絡(luò)安全從來都不只是漏洞，安全必須要融合企業(yè)的業(yè)務(wù)運營和管理，安全必須要進行體系化的建設(shè)。網(wǎng)絡(luò)安全，任重而道遠。安全牛整合多位資深安全顧問的一線咨詢經(jīng)驗，首次公開發(fā)布網(wǎng)絡(luò)安全體系方法論，旨在給企業(yè)或機構(gòu)提供一個最佳實踐的參考，以幫助企業(yè)真正提升對網(wǎng)絡(luò)安全工作的認識，并在安全建設(shè)和運營中不斷成長。本架構(gòu)方法論參考

2、了NIST Cybersecurity Framework，SABSA，ISO27000，Gartner等報告資料，并與等級保護的相關(guān)要求相結(jié)合。一、企業(yè)網(wǎng)絡(luò)安全體系設(shè)計總體思路網(wǎng)絡(luò)安全體系架構(gòu)是面向企業(yè)未來網(wǎng)絡(luò)安全建設(shè)與發(fā)展而設(shè)計。點擊可看大圖企業(yè)網(wǎng)絡(luò)安全體系設(shè)計總體思路：針對企業(yè)防護對象框架，通過企業(yè)組織體系、管理體系、技術(shù)體系的建設(shè)，逐步建立企業(yè)風(fēng)險識別能力、安全防御能力、安全檢測能力、安全響應(yīng)能力與安全恢復(fù)能力，最終實現(xiàn)風(fēng)險可見化，防御主動化，運行自動化的安全目標，保障企業(yè)業(yè)務(wù)的安全。二、網(wǎng)絡(luò)安全體系的驅(qū)動力任何企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)，必須與企業(yè)的總體戰(zhàn)略保持一致。在制定具體網(wǎng)絡(luò)安全體

3、系規(guī)劃時，需要考慮如下內(nèi)容：1. 業(yè)務(wù)發(fā)展規(guī)劃網(wǎng)絡(luò)安全體系設(shè)計需要與企業(yè)業(yè)務(wù)的發(fā)展保持一致，要充分了解企業(yè)未來3-5年的業(yè)務(wù)規(guī)劃，并根據(jù)業(yè)務(wù)特點，分析未來業(yè)務(wù)的安全需求。2. 信息技術(shù)規(guī)劃網(wǎng)絡(luò)安全體系是企業(yè)的信息技術(shù)體系的一部分，需要根據(jù)企業(yè)總體的信息技術(shù)規(guī)劃來設(shè)計安全體系3. 網(wǎng)絡(luò)安全風(fēng)險網(wǎng)絡(luò)安全風(fēng)險評估是安全體系設(shè)計和建設(shè)的基礎(chǔ)，企業(yè)需要充分了解自身業(yè)務(wù)和信息系統(tǒng)的安全風(fēng)險4. 合規(guī)管理要求企業(yè)面臨國家、行業(yè)、監(jiān)管機構(gòu)的各類安全監(jiān)管要求，安全體系設(shè)計需要考慮企業(yè)需要滿足的各類合規(guī)要求5. 安全技術(shù)趨勢安全體系需要充分考慮當(dāng)前和未來安全技術(shù)的發(fā)展趨勢，了解當(dāng)前的網(wǎng)絡(luò)安全熱點，選擇合適自己企業(yè)

4、的安全技術(shù)和產(chǎn)品三、安全體系的目標隨著互聯(lián)網(wǎng)與各產(chǎn)業(yè)的充分融合，安全的環(huán)境正在發(fā)生劇烈的變化，外部的威脅變得更加突出，定向APT攻擊成為主流，自動化攻擊與黑色產(chǎn)業(yè)鏈日臻完善，原來以策略和產(chǎn)品防護為核心的理念已無法適應(yīng)新的環(huán)境。安全牛建議新一代企業(yè)網(wǎng)絡(luò)安全體系建設(shè)的目標至少包含如下三點：1. 風(fēng)險可見化Visibility 未知攻，焉知防，看見風(fēng)險才能防范風(fēng)險；2. 防御主動化Proactive 最好的防守是進攻，主動防御，縱深防御是設(shè)計的目標；3. 運行自動化Automotive 全天候自動化的安全運營才能保障安全體系的落實；當(dāng)然，由于每個組織的業(yè)務(wù)需求和特點不同，發(fā)展成熟度也不同，企業(yè)可以根

5、據(jù)發(fā)展情況制定不同時期的安全目標，逐步實現(xiàn)比較高的安全目標。四、安全是一種能力安全不是口號、不是漏洞、不是產(chǎn)品。安全到底是什么？安全牛認為，安全傳遞的是一種信任，而這種信任來自于企業(yè)自身的安全能力。安全是一種能力，新一代企業(yè)安全觀將實現(xiàn)“以人為本、以數(shù)據(jù)為核心、以技術(shù)為支撐”的安全能力。人是安全能力的載體，安全體系建設(shè)要重點考慮人的主觀能動因素，企業(yè)的普通員工、專業(yè)技術(shù)人員以及企業(yè)管理層在安全體系中都將是重要的環(huán)節(jié)，都需要培養(yǎng)其意識與能力。數(shù)據(jù)是安全能力的核心，數(shù)據(jù)驅(qū)動的安全將使得安全更好的融入企業(yè)的業(yè)務(wù)與管理，更好的體現(xiàn)安全的價值，基于數(shù)據(jù)的威脅情報共享機制也將極大的提高業(yè)界整體的安全防御水

6、平。技術(shù)是安全能力支撐的工具，安全技術(shù)未來將更加深入細分到更多的業(yè)務(wù)領(lǐng)域，安全產(chǎn)品和服務(wù)將更加多樣性。企業(yè)安全能力框架設(shè)計我們參考了NIST Cybersecurity Framework的核心內(nèi)容，簡稱為IPDRR模型。企業(yè)安全能力框架IPDRR能力框架模型包括風(fēng)險識別（Identify）、安全防御（Protect）、安全檢測（Detect）、安全響應(yīng)（Response）和安全恢復(fù)（Recovery）五大能力，安全牛重新設(shè)計了15個子能力要素（如上圖所示）。風(fēng)險識別能力具體包括安全治理、架構(gòu)規(guī)劃、資產(chǎn)管理、風(fēng)險管理四個子域；安全防御能力具體包括人員安全、訪問控制、縱深防護、安全運維四個子域；

7、安全檢測能力具體包括安全監(jiān)控、數(shù)據(jù)分析、安全檢查三個子域；安全響應(yīng)能力具體包括應(yīng)急預(yù)案、事件響應(yīng)兩個子域；安全恢復(fù)能力具體包括恢復(fù)計劃、災(zāi)難恢復(fù)兩個子域。IPDRR能力框架實現(xiàn)了“事前、事中、事后”的全過程覆蓋，從原來以防護能力為核心的模型，轉(zhuǎn)向以檢測能力為核心的模型，支撐識別、預(yù)防、發(fā)現(xiàn)、響應(yīng)等，變被動為主動，直至自適應(yīng)（Adaptive）的安全能力。五、企業(yè)安全體系架構(gòu)模型企業(yè)安全體系的架構(gòu)設(shè)計可以參考如下矩陣模型。1. 建立企業(yè)安全保護對象框架每個企業(yè)的業(yè)務(wù)和架構(gòu)是不同的，企業(yè)需要識別自身的安全保護對象框架，包括不限于：基礎(chǔ)設(shè)施（機房、網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、終端等）、云平臺、移動平臺、大數(shù)

8、據(jù)平臺、應(yīng)用系統(tǒng)、敏感數(shù)據(jù)、企業(yè)業(yè)務(wù)（金融、電商、智能制造、可穿戴設(shè)備）等。2. 建立企業(yè)安全能力框架每個企業(yè)的成熟度是不同的，企業(yè)需要根據(jù)自身業(yè)務(wù)發(fā)展的成熟度，在不同階段重點選擇建設(shè)不同的安全能力，可以從IPDRR模型中的15個子能力中選取。3. 建立安全能力目錄矩陣橫向的安全能力結(jié)合縱向的安全保護對象，將組合成每個節(jié)點的安全能力目錄。安全目錄包括不限于：安全產(chǎn)品、安全技術(shù)、安全工具、安全服務(wù)、安全方法論等。安全目錄的選擇將根據(jù)企業(yè)自身的安全預(yù)算、技術(shù)架構(gòu)、安全技術(shù)趨勢等來確定；安全目錄對應(yīng)的工作內(nèi)容必須通過組織、流程和技術(shù)來支撐才能實現(xiàn)。4. 建立安全支撐體系最終所有安全能力的落實都依賴于

9、三大體系的建設(shè)，包括組織體系、管理體系和技術(shù)體系。每個安全能力目錄都應(yīng)對應(yīng)上相關(guān)的組織職責(zé)、管理流程和技術(shù)支撐。4.1 安全組織體系明確企業(yè)安全組織體系及其運作模式，建立企業(yè)安全的決策、管理、執(zhí)行、監(jiān)督組織架構(gòu)，同時明確關(guān)鍵角色/職責(zé)，是網(wǎng)絡(luò)安全能力建設(shè)的基礎(chǔ)與保障。4.2 安全管理體系在組織體系的基礎(chǔ)上，建立完善的管理體系，明確組織網(wǎng)絡(luò)安全工作的策略、方法和體系，是網(wǎng)絡(luò)安全工作開展的規(guī)范。4.3 安全技術(shù)體系明確了企業(yè)網(wǎng)絡(luò)安全建設(shè)過程中所需的技術(shù)手段，是網(wǎng)絡(luò)安全工作開展的有力支撐。具體技術(shù)措施的選擇是一個相對復(fù)雜的工作，企業(yè)需要了解當(dāng)前的技術(shù)趨勢和技術(shù)發(fā)展成熟度、業(yè)界主流的廠商和產(chǎn)品、并考慮

10、自身的預(yù)算和投入產(chǎn)出、企業(yè)的管理成熟度和人文環(huán)境等，一般需要以安全專題規(guī)劃和建設(shè)的方式來開展。六、網(wǎng)絡(luò)安全技術(shù)成熟度模型網(wǎng)絡(luò)安全技術(shù)日新月異，處于快速的變化與發(fā)展中，安全牛參考技術(shù)成熟度標準和Gartner已定義的技術(shù)成熟度模型，給出了一個技術(shù)成熟度模型供大家參考。企業(yè)應(yīng)依據(jù)安全領(lǐng)域最新技術(shù)發(fā)展趨勢和廠商產(chǎn)品報告，選擇適合自身成熟度的安全技術(shù)和產(chǎn)品。安全牛將根據(jù)研究成果不定期發(fā)布各類安全技術(shù)成熟度報告供企業(yè)參考。七、網(wǎng)絡(luò)安全專題規(guī)劃依據(jù)上述的安全體系架構(gòu)模型和技術(shù)成熟度模型，企業(yè)在落實某個領(lǐng)域具體工作時，可以按照專題規(guī)劃的方式來落實安全體系。專題內(nèi)容可以按照體系架構(gòu)中縱向的每類防護對象來開展。安全專題規(guī)劃應(yīng)當(dāng)研究業(yè)界主流技術(shù)和廠商的產(chǎn)品特點，根據(jù)企業(yè)自身的IT和網(wǎng)