网络安全成熟度模型/评估

=Start=

缘由:

总结、提高需要

正文:

参考解答:
网络安全成熟度评估

&

网络安全合规成熟度示意图
参考链接:

网络安全法即将生效,企业如何识别差距并采取行动?#nice
https://www2.deloitte.com/cn/zh/pages/risk/articles/cybersecurity-law-self-assessing-maturity-model.html

企业信息安全的两个成熟度模型
http://www.ctocio.com/ccnews/18447.html
https://krebsonsecurity.com/
http://www.esg-global.com/
http://blue-lava.net/

首届中国数据安全峰会上阿里和华为都讲了啥 #nice
http://www.aqniu.com/industry/26134.html

2.0新防御体系下,网络安全成熟度模型以及各级别安全关键实践
https://zhuanlan.zhihu.com/p/28325198
https://www.zhihu.com/people/LeoPerfect/posts

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/3563.html

《网络安全成熟度模型/评估》上有16条评论

  1. 平安集团企业信息安全实践
    https://mp.weixin.qq.com/s/ODrosVqnfG0NckiPSyvDaQ

    企业信息安全一般关注点
      业务连续性
      业务安全
      数据安全
      网络安全

    企业信息安全风险关注点
      交易欺诈风险
      黑客攻击风险
      员工操作风险
      数据泄密风险
      法律合规风险

    企业信息安全一般技术框架
      终端
      应用
      系统
      网络
      数据
      物理

  2. 【视频】TechWorld2017热点回顾 | 大型互联网企业安全实践
    http://blog.nsfocus.net/company-security-techworld2017/

    安全建设方法:
    第一,进不来。这是目前市场上讲的最多的部分,通过各种纵深防御体系,安全产品、威胁情报、态势感知等手段尽可能的将威胁阻挡在外。
    第二,看不到。假设入侵者进来了,即使渗透了一些服务器,也不知道我的数据在哪。可能我的数据都是加密的,甚至内网流量都是加密的。攻击者也分不清资产分布,我的代码也不是明文,找密钥也得找半天。
    第三,拿不走。假设更坏的情况,攻击者能看到我的一些重要资产,但当他想拿的时候,我这时候就会采取一些措施让他尽可能拿不走。
    第四,解不开。假设攻击者拿走了数据,我的加密很强或者有一部分加密的密钥链的顶层密钥没有办法通过入侵手段拿到。即使攻击者拖了我的全站数据库,还是解密不了。

    反入侵方法:
    纵深防御
    降维
    入侵容忍

  3. 再谈SIEM和安全管理平台项目的失败因素(1)
    http://yepeng.blog.51cto.com/3101105/1983449

    SIEM/安全管理平台建设是一个复杂的工程性问题,而不是Yes OR No的技术性问题。

    SIEM部署失败的六大通病:
    计划不周、范围不清、期望过高、噪声过大、情境不够、资源不足。
    对应原文是:
    Failure to Plan Before Buying
    Failure to Define Scope
    Overly Optimistic Scoping
    Monitoring Noise
    Lack of Sufficient Context
    Insufficient Resources。

  4. 【企业安全】企业安全项目-测试环境内网化
    https://mp.weixin.qq.com/s/lkfA7-Ii3KJtodWdcZUfog

    经过长时间的风险发掘与分析,企业面临的安全风险已逐渐清晰并有了比较全面的视野。从投入与产出比的角度出发,结合当前正在承受的危害和实施难易程度考虑,可以将前期所规划的安全项目排入实施计划周期并进行推动。按照优先级从左往右可以分为P0~P3,依次落地:
    P0:正在遭受损失
    P1:影响较大且容易做
    P2:影响较大且难以做
    P3:影响不大且比较难做

    外部白帽子提交漏洞
    内部漏洞分析与风险调研
    组织安全接口人召开会议
    邮件搜集资产(效果不好)
    正确资产梳理
    QQ群沟通(效果欠佳)
    优化推动思路
    分布式进行内网化
    持续优化测试环境管控

  5. ArcSight简介-ArcSight技术系列之一
    https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247483846&idx=1&sn=22671cab5c81369c4d9135b2a604a421

    ArcSight是SIEM的老牌传统产品,成立于2000年5月,2010年10月被HP以约16亿美元收购,纳入其企业安全软件群中,2016年9月HPE以88亿美元将其软件业务出售给了Micro Focus,其中就包含ArcSight。

    怎么做好ArcSight平台的规划和架构设计,按以下九个步骤进行基本就没有太大问题了,每个步骤基本都推荐了我们实战中的一些最佳做法,供大家参考:
    1、明确需求
    2、架构环境
    3、硬件规格
    4、日志管理策略
    5、应用的资产和架构信息
    6、外部信息集成策略
    7、开发方法及方式
    8、工作流规划
    9、成果度量

    实施规划和架构设计-ArcSight实战系列之二
    https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247484002&idx=1&sn=962231e3b73e3e9c7f3d2472ab57949a

  6. 金融企业信息安全团队建设(务虚篇)
    https://mp.weixin.qq.com/s/1s0lQJXqIHc83Tithcj1sw

    一、金融企业信息安全团队建设的痛点
    (一)价值感和存在感缺乏
    (二)投入少,绩效衡量难
    (三)风险压力大:道高一尺魔高一丈
    (四)信息安全覆盖领域广泛,但综合性人才、专业人才均稀缺
    (五)安全人员职业规划前景不明,职业发展的“天花板”较低

    二、金融企业信息安全团队面临的宏观环境
    (一)信息安全团队要有独立的使命、愿景和价值观,但必须服从企业整体的使命、愿景和价值观
    (二)信息安全团队建设必须遵从金融企业战略需要
    (三)信息安全团队建设必须与企业风险偏好相适应
    (四)信息安全团队建设必须着眼未来,立足长远

    三、信息安全团队文化建设
    (一)格局为先
    (二)认同价值
    (三)专业自信
    (四)处处用心
    (五)养成习惯
    (六)培养洁癖

    四、信息安全团队意识建设
    (一)客户意识
    (二)责任意识
    (三)风险意识
    (四)创新意识
    (五)学习意识
    (六)沟通意识

  7. 网络安全商业模式分析
    https://www.sec-un.org/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%95%86%E4%B8%9A%E6%A8%A1%E5%BC%8F%E5%88%86%E6%9E%90/

    看懂一家公司最重要的就是理解他们的商业模式。看了这么多国内网络安全企业,始终感觉大家在商业模式上缺少一些思考和创新。可能是这个生意大家都这么做,那我也这么做,这样的风险更小或是不愿意走出舒适区来革自己的命。上面的商业模式分析比较浅层,其实商业模式中包含的关键要素有很多,只要改变其中的任何一个环节,商业模式就会产生变化或升级。云大移物智的快速发展,不但让网络安全技术的应用场景变得更加丰富,放大网络安全市场,同时也在悄然的孕育着新的商业模式。网络安全保险、管理安全服务和威胁情报等概念在商业模式上就显著有别于行业内传统的商业模式,至于能不能成功还要看落地与执行。最后,希望企业能够在网络安全行业高速发展的今天找到适合自己商业模式,好好享受产业发展所带来的红利。

  8. 网络安全日常工作梳理
    https://mp.weixin.qq.com/s/KcU5_jcC8cufFoQyU30EXw

    安全治理:这个名字想了好久,其实主要是宏观策略制定、流程、运营、培训等偏管理层面的工作。名字只是个代号,意思就是这样。

    安全检测:这个比较好理解,从ids日志分析到态势感知,从漏扫到渗透都属于安全检测里领域。由于安全检测越来越多的依赖于数据分析的结果,所以这里将数据分析也加入进来,严格的说数据分析应该是手段,不算工作内容。另外,媒体对内容安全的重视程度很高,而一般防篡改产品又不能满足需求,所以内容安全虽然在图中占比很小,但十分重要,也投入了很多资源。

    安全防御:这个更好理解,搞安全不就是为了能防止被别人搞吗?但是这里多说一句,目前我们的策略是重检测轻防御,但这里说的“轻防御”不是轻视,而是“轻量级”,防御手段一定要快捷而有效。因为在国内大部分公司还是以业务为重,安全也是为业务服务的,防御策略搞得太重容易误拦,搞得太轻用处不大。只要有强大的检测手段快速发现各类问题,再启用相应的防御和应急预案还是很容易的。

    安全响应:这个主要是为了给前三个方向来个保险,以面对这种情况:某种安全事件在制定策略的时候没想到,或者各类安全监测工作没发现,又或者防护手段出了问题,总之出了安全问题(这也是难免的)。这就需要一系列的安全相应工作,从应急响应到溯源、反制,甚至一些公关手段都可以归纳到这个范畴。

  9. 云盾态势感知
    https://help.aliyun.com/knowledge_detail/42306.html

    态势感知收集企业20种原始日志和网络空间黑客实体威胁情报,利用机器学习还原已发生的攻击,并预测未发生的攻击。(HIDS+NIDS+威胁情报)

    帮客户解决的问题:
    (集中)业务上云后,安全事件的集中化管理
    (实时)扩大安全可见性,并实时监控
    (合规)满足安全合规性,180天的日志存储和检索

发表评论

电子邮件地址不会被公开。 必填项已用*标注