网络安全体系方法论这一年来,网络安全行业兴奋异常.各种会议、攻防大赛、黑客秀,马不停蹄。随着物联网大潮的到来,在这个到处都是安全漏洞的世界,似乎黑客才是安全行业的主宰。然而,我们看到的永远都是自己的世界,正如医生看到的都是病人,警察看到的都是罪犯,唯有跳出自己的角色去看待世界,世界才还原给你它真实的面貌。网络安全从来都不只是漏洞,安全必须要融合企业的业务运营和管理,安全必须要进行体系化的建设。网络安全,任重而道远。安全牛整合多位资深安全顾问的一线咨询经验,首次公开发布《网络安全体系方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。本架构方法论参考了 NIST Cybersecurity Framework,SABSA,ISO27000,Gartner 等报告资料,并与等级保护的相关要求相结合。一、企业网络安全体系设计总体思路网络安全体系架构是面对企业未来网络安全建设与进展而设计.点击可看大图企业网络安全体系设计总体思路:针对企业防护对象框架,通过企业组织体系、管理体系、技术体系的建设,逐步建立企业风险识别能力、安全防备能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可见化,防备主动化,运行自动化的安全目标,保障企业业务的安全。二、网络安全体系的驱动力任何企业的网络安全体系建设,必须与企业的总体战略保持一致。在制定具体网络安全体系规划时,需要考虑如下内容:1。 业务进展规划网络安全体系设计需要与企业业务的进展保持一致,要充分了解企业未来 3—5年的业务规划,并根据业务特点,分析未来业务的安全需求.2. 信息技术规划网络安全体系是企业的信息技术体系的一部分,需要根据企业总体的信息技术规划来设计安全体系3。 网络安全风险网络安全风险评估是安全体系设计和建设的基础,企业需要充分了解自身业务和信息系统的安全风险4。 合规管理要求企业面临国家、行业、监管机构的各类安全监管要求,安全体系设计需要考虑企业需要满足的各类合规要求5. 安全技术趋势安全体系需要充分考虑当前和未来安全技术的进展趋势,了解当前的网络安全热点,选择合适自己企业的安全技术和产品三、安全体系的目标随着互联网与各产业的充分融合,安全的环境正在发生剧烈的变化,外部的威胁变得更加突出,定向 APT 攻击成为主流,自动化攻击与黑色产业链日臻完善,原来以策略和产品防护为核心的理念已无法适应新的环境。安全牛建议...
