诸子笔会2023 | 于利新 :网络安全能力成熟度模型原理与实践
自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以为,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
网络安全能力成熟度模型原理与实践
文 | 于利新
于利新
一名从业10年的安全女战士。毕业于信息安全专业,在绿盟科技任职3年,全面、系统的学习了安全方案、安全技术和安全产品;后入职广发银行信用卡中心,学习甲方的安全建设、安全审计及合规要求;目前在CVTE完成从0到1 的安全建设,组建信息安全团队,不断探索企业建设的最佳实践。
作为安全从业者,会遇到很多问题。其中有一个“知己知彼”的问题,一直是安全建设比较棘手的存在,那就是企业的安全建设目前处于行业的什么水平?能否对我们企业的网络安全能力做一个可量化的评估?
为了更好地解决这个疑惑,我开始阅读《网络安全能力成熟度模型:原理与实践》,毕竟知己知彼,方能百战不怠。
作者:林宝晶、钱钱、翟少君
出版:机械工业出版社
该书是2021年9月机械工业出版社出版的图书,作者是资深的网络安全专家林宝晶、钱钱、翟少君。简单来说,这是一本教企业如何利用网络安全能力成熟度模型评估企业网络安全能力并系统性构建网络安全防御体系的著作。
在该书中,作者结合自己20多年在各大网络安全公司的从业经验,运用软件开发成熟度模型理论,对国内外主流的网络安全框架进行分析,总结出了一套科学的网络安全能力成熟度模型。从合规、风险、数据、溯源等阶段推进网络安全战略、组织、管理、技术、运营等方面的设计与建设,旨在为企业的网络安全规划和建设提供参考和帮助。
本书内容从逻辑上分为3个部分:
第1部分(第1章)主要介绍了网络安全能力成熟度模型的理论,包括防护检测响应模型、信息技术保障框架、自适应安全架构、网络安全滑动标尺模型等,旨在帮助读者建立一个初步的认识。
第二部分(第2~3章)详细讲解了网络安全能力成熟度模型的架构、演变过程、框架,以及模型包括的具体内容,如安全团队、安全战略、安全管理、安全技术、安全运营等。
第三部分(第4~7章)根据网络成熟度模型的4个阶段——合规驱动阶段、风险驱动阶段、数据驱动阶段、溯源反制阶段,既介绍了模型在不同阶段的具体表现,又通过真实案例讲解了模型的各个阶段的安全建设内容。
具体章节目录如下:
笔者选了一个周末,专注沉浸在这本书中,一口气读完。读完之后获益匪浅,书中的很多内容我们可能都熟悉和了解,但是体系化地串联起来,充分地归纳总结,并结合真实的案例支撑,就很值得学习和借鉴。总结书中的内容,其成熟度模型引用美国电力行业安全能力成熟度模型,模型如下:
该模型的每个域都由具体的目标逻辑组成,每个目标实践都由不同能力级别的实践活动组成,在模型中,主要划分出10个域和4个等级的成熟度指标,如下图所示:
本书所阐述的模型就是在此基础上,补充了目录层级,目录包括5方面,分别为网络安全管理战略、网络安全管理、网络安全团队、网络安全技术和网络安全运营。细化的网络安全能力成熟度指标如下:
有了明确的能力成熟度指标,还需要对成熟度等级进行划分,参照软件能力成熟度、网络安全划定标尺以及近年来网络安全实战攻防演练,网络安全能力成熟度也分为五个阶段:
上述明确的模型、指标和成熟度等级都是非常好用的工具,可以让我们对自己所在企业的网络安全建设成熟度进行评估。对标网络安全能力成熟度指标,我们都做了哪些?达成哪些效果?目前处于哪一个级别?是在初始阶段、合规驱动阶段还是已经到风险驱动阶段?我们可以做一个差距分析,分析现阶段我们的能力成熟度与目标相比差距在哪里。
一千个人眼里有一千个哈姆雷特,每个人的关注点、思想高度、思维深度不同,所以在学习本书的时候,收获的也并不相同。对于我而言,如何把书中内容落地实践,为我创造价值是很重要的变现。我从二个方面进行实践,供大家参考。
1.案例标杆。书里对每一个级别的成熟度都提供了真实的企业案例。第四章合规驱动阶段提供的是某大型国有集团的安全建设案例,然后从网络全战略、网络安全管理、网络安全团队、网络安全技术、网络安全运营五个层面进行详细展开;第五章风险驱动阶段提供的是某股份制银行的安全建设,依然按照网络全战略、网络安全管理、网络安全团队、网络安全技术、网络安全运营五个层面进行详细展开;第六章数据驱动阶段,提供的也是某股份制银行的案例,还是从网络全战略、网络安全管理、网络安全团队、网络安全技术、网络安全运营五个层面进行详细展开;第七章溯源反制阶段,提供的是某互联网企业的案例,对于该阶段的网络安全建设,依然遵守网络全战略、网络安全管理、网络安全团队、网络安全技术、网络安全运营五个层面进行详细展开。
这些案例就给我们树立了一个指标,我们可以在评估自己企业的网络安全成熟度之后,选择我们的成熟度目标,并参照这些案例进行对标和建设。方向明确、差距清晰,我们在进行安全建设规划或向上沟通的时候,都是非常好的切入点。
2.成熟度标尺库。把网络安全能力成熟度的指标按照企业现状进行拆分,拆分之后细化,形成企业自己的成熟度指标库。该指标库标尺,用于明晰地测量企业网络安全建设成熟度。参考截图如下:
很高兴看到这样一本专业书,在我思考如何评估企业网络安全能力成熟度的时候,它让我有了一个明确的成熟度测评模型、成熟度指标和成熟度阶段。每个成熟度阶段都按照模型进行了详细的陈述,让我在学习的过程中也能够把自己零散的安全知识串起来,形成一个体系化的思考,并找到可落地实践的点。
最后,祝所有人都能在需要的时候遇到“良书益友”,良书健思,益友助考,顺利抵达你心里的目标!
推荐阅读
2023诸子笔会第一季
杨文斌 刘顺
推荐阅读
2022第二届诸子笔会
推荐阅读
2021首届诸子笔会