网络安全体系方法论 这一年来，网络安全行业兴奋异常。各种会议、攻防大赛、黑客秀，马不停蹄。 随着物联网大潮的到来，在这个到处都是安全漏洞的世界，似乎黑客才是安全行 业的主宰。然而，我们看到的永远都是自己的世界，正如医生看到的都是病人， 警察看到的都是罪犯，唯有跳出自己的角色去看待世界，世界才还原给你它真实 的面貌。网络安全从来都不只是漏洞，安全必须要融合企业的业务运营和管理， 安全必须要进行体系化的建设。网络安全，任重而道远。 安全牛整合多位资深安全顾问的一线咨询经验，首次公开发布《网络安全体系方 法论》，旨在给企业或机构提供一个最佳实践的参考，以帮助企业真正提升对网 络安全工作的认识，并在安全建设和运营中不断成长。 m o c . 5 本架构方法论参考了 NIST Cybersecurity Framework，SABSA，ISO27000，Gartner 等报告资料，并与等级保护的相关要求相结合。 一、企业网络安全体系设计总体思路 网络安全体系架构是面向企业未来网络安全建设与发展而设计。 b u h t i g 点击可看大图 企业网络安全体系设计总体思路：针对企业防护对象框架，通过企业组织体系、 管理体系、技术体系的建设，逐步建立企业风险识别能力、安全防御能力、安全 检测能力、安全响应能力与安全恢复能力，最终实现风险可见化，防御主动化， 运行自动化的安全目标，保障企业业务的安全。 二、网络安全体系的驱动力 任何企业的网络安全体系建设，必须与企业的总体战略保持一致。在制定具体网 络安全体系规划时，需要考虑如下内容： 1. 业务发展规划 1 网络安全体系设计需要与企业业务的发展保持一致，要充分了解企业未来 3-5 年的业务规划，并根据业务特点，分析未来业务的安全需求。 2. 信息技术规划 网络安全体系是企业的信息技术体系的一部分，需要根据企业总体的信息技术规 划来设计安全体系 3. 网络安全风险 网络安全风险评估是安全体系设计和建设的基础，企业需要充分了解自身业务和 信息系统的安全风险 4. 合规管理要求 企业面临国家、行业、监管机构的各类安全监管要求，安全体系设计需要考虑企 业需要满足的各类合规要求 m o c . 5 5. 安全技术趋势 安全体系需要充分考虑当前和未来安全技术的发展趋势，了解当前的网络安全热 点，选择合适自己企业的安全技术和产品 三、安全体系的目标 b u 随着互联网与各产业的充分融合，安全的环境正在发生剧烈的变化，外部的威胁 变得更加突出，定向 APT 攻击成为主流，自动化攻击与黑色产业链日臻完善，原 来以策略和产品防护为核心的理念已无法适应新的环境。 h t i g 安全牛建议新一代企业网络安全体系建设的目标至少包含如下三点： 1. 风险可见化 Visibility 未知攻，焉知防，看见风险才能防范风险； 2. 防御主动化 Proactive 最好的防守是进攻，主动防御，纵深防御是设计的目标； 3. 运行自动化 Automotive 全天候自动化的安全运营才能保障安全体系的落实； 当然，由于每个组织的业务需求和特点不同，发展成熟度也不同，企业可以根据 发展情况制定不同时期的安全目标，逐步实现比较高的安全目标。 四、安全是一种能力 安全不是口号、不是漏洞、不是产品。安全到底是什么？安全牛认为，安全传递 的是一种信任，而这种信任来自于企业自身的安全能力。安全是一种能力，新一 代企业安全观将实现“以人为本、以数据为核心、以技术为支撑”的安全能力。 2 人是安全能力的载体，安全体系建设要重点考虑人的主观能动因素，企业的普通 员工、专业技术人员以及企业管理层在安全体系中都将是重要的环节，都需要培 养其意识与能力。 数据是安全能力的核心，数据驱动的安全将使得安全更好的融入企业的业务与管 理，更好的体现安全的价值，基于数据的威胁情报共享机制也将极大的提高业界 整体的安全防御水平。 技术是安全能力支撑的工具，安全技术未来将更加深入细分到更多的业务领域， 安全产品和服务将更加多样性。 企业安全能力框架设计我们参考了 NIST Cybersecurity Framework 的核心内容， 简称为 IPDRR 模型。 m o c . 5 b u h t i g 企业安全能力框架 IPDRR 能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全 检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，安 全牛重新设计了 15 个子能力要素（如上图所示）。 风险识别能力具体包括安全治理、架构规划、资产管理、风险管理四个子域； 安全防御能力具体包括人员安全、访问控制、纵深防护、安全运维四个子域； 安全检测能力具体包括安全监控、数据分析、安全检查三个子域； 安全响应能力具体包括应急预案、事件响应两个子域； 安全恢复能力具体包括恢复计划、灾难恢复两个子域。 IPDRR 能力框架实现了“事前、事中、事后”的全过程覆盖，从原来以防护能力 为核心的模型，转向以检测能力为核心的模型，支撑识别、预防、发现、响应等， 变被动为主动，直至自适应（Adaptive）的安全能力。 3 五、企业安全体系架构模型 企业安全体系的架构设计可以参考如下矩阵模型。 m o c . 5 b u 1. 建立企业安全保护对象框架 h t i g 每个企业的业务和架构是不同的，企业需要识别自身的安全保护对象框架，包括 不限于：基础设施（机房、网络、主机、数据库、终端等）、云平台、移动平台、 大数据平台、应用系统、敏感数据、企业业务（金融、电商、智能制造、可穿戴 设备……）等。 2. 建立企业安全能力框架 每个企业的成熟度是不同的，企业需要根据自身业务发展的成熟度，在不同阶段 重点选择建设不同的安全能力，可以从 IPDRR 模型中的 15 个子能力中选取。 3. 建立安全能力目录矩阵 横向的安全能力结合纵向的安全保护对象，将组合成每个节点的安全能力目录。 安全目录包括不限于：安全产品、安全技术、安全工具、安全服务、安全方法论 等。安全目录的选择将根据企业自身的安全预算、技术架构、安全技术趋势等来 确定；安全目录对应的工作内容必须通过组织、流程和技术来支撑才能实现。 4. 建立安全支撑体系 最终所有安全能力的落实都依赖于三大体系的建设，包括组织体系、管理体系和 技术体系。每个安全能力目录都应对应上相关的组织职责、管理流程和技术支撑。 4.1 安全组织体系 4 明确企业安全组织体系及其运作模式，建立企业安全的决策、管理、执行、监督 组织架构，同时明确关键角色/职责，是网络安全能力建设的基础与保障。 4.2 安全管理体系 在组织体系的基础上，建立完善的管理体系，明确组织网络安全工作的策略、方 法和体系，是网络安全工作开展的规范。 4.3 安全技术体系 明确了企业网络安全建设过程中所需的技术手段，是网络安全工作开展的有力支 撑。 具体技术措施的选择是一个相对复杂的工作，企业需要了解当前的技术趋势和技 术发展成熟度、业界主流的厂商和产品、并考虑自身的预算和投入产出、企业的 管理成熟度和人文环境等，一般需要以安全专题规划和建设的方式来开展。 m o c . 5 六、网络安全技术成熟度模型 网络安全技术日新月异，处于快速的变化与发展中，安全牛参考技术成熟度标准 和 Gartner 已定义的技术成熟度模型，给出了一个技术成熟度模型供大家参考。 b u h t i g 企业应依据安全领域最新技术发展趋势和厂商产品报告，选择适合自身成熟度的 安全技术和产品。安全牛将根据研究成果不定期发布各类安全技术成熟度报 告供企业参考。 七、网络安全专题规划 5 依据上述的安全体系架构模型和技术成熟度模型，企业在落实某个领域具体工作 时，可以按照专题规划的方式来落实安全体系。专题内容可以按照体系架构中纵 向的每类防护对象来开展。 安全专题规划应当研究业界主流技术和厂商的产品特点，根据企业自身的 IT 和 网络安全架构，选择合适的技术和产品，并根据各类安全合规要求和安全体系要 求，通过体系规范化、职责明细化、管理流程化、测量指标化的手段来确保安全 专题规划的落地。 安全牛将根据专题研究的成果，不定期发布安全专题研究报告。包括但不限于： 基础设施安全、云安全、应用安全、数据安全、移动安全、工控安全、电子商务 安全、互联网金融安全等。 b u m o c . 5 h t i g 6 《网络安全体系设计》第一弹：《安全大数据平台架构设计参考》 作者：admin 2015 年 12 月 10 日 来源：安全牛 安全牛于 11 月 24 日首次公开发布了《网络安全体系设计方法论》，旨在给企业 或机构提供一个最佳实践的参考，以帮助企业真正提升对网络安全工作的认识， 并在安全建设和运营中不断成长。 m o c . 5 b u h t i g 这个方法论只是一个安全总体建设的框架，需要不断的深入、补充和完善。而安 全大数据平台在未来几年是企业安全能力建设的核心，也是第一步。《网络安全 体系设计方法论》中也提到，数据是安全能力的核心。企业首先就要掌握内外部 的安全数据和威胁情报，再通过企业安全人员的能力提升，才能逐步提升整体的 安全能力。因此，安全牛首先选择了“安全大数据”这一技术平台的架构进行了 梳理和深入，并于今日发布研究成果。 《安全大数据平台架构设计参考》 当前网络与信息安全领域，正在面临多种挑战。一方面，企业和组织安全体系架 构日趋复杂，各种类型的安全数据越来越多，随着内控与合规的深入，传统的分 析能力明显力不从心，越来越需要分析更多的安全信息、并且要更加快速的做出 判定和响应。另一方面，新型威胁的兴起，高级可持续攻击要求有长时间的数据 才能分析入侵行为和评估遭受的损失。传统的 SIEM 很难处理多样化的非结构数 据，并且传统的应用/数据库架构局限了系统的性能，其能存储的历史数据时长、 7 存储事件的汇总度、查询分析的速度均受到极大的限制。信息安全也面临大数据 带来的挑战。 我们需要更深层次的事件关联处理、分析和展现，而当前分布式计算，存储和通 信，内存计算，智能分析等技术已经逐步成熟应用，安全数据分析需要使用这些 新技术在事件关联、处理和展现能力上进行提升。 大数据安全分析将包括以下几个应用领域： 安全事件管理和安全管理平台； APT 高级持续威胁检测，结合全包捕获技术； 0day 恶意代码分析，结合沙箱技术； 网络取证分析； m o c . 5 大规模用户行为分析，结合机器学习技术； 安全情报服务； 业务风险安全分析等。 目前，基于 Hadoop 生态圈的大数据平台已经被业界广泛使用,部署规模从几十台， 到几万台,可