【原】如何利用量化指标评价网络安全建设成熟度（四）：安全运营评价指标

相关文章：

• 网络安全成熟度模型与特征
  
• 网络安全成熟度评价方法与过程
  
• 网络安全成熟度评价指标：安全控制水平

安全运营能力评价指标共45个，按安全控制类别分，其中资产管理评价指标6个、风险识别评价指标12个、日常运行评价指标12个、应急响应评价指标6个、合规审计评价指标9个；按安全成熟度级别分，I初级防护级别没有指标、II基础防范级别指标6个、III体系化控制级别指标13个、IV主动性防御级别指标13个、V进攻性防御级别指标13个。

 资产管理

资产管理共有评价指标6个，I初级防护级别没有指标，II基础防范级别没有指标，III体系化控制级别2个指标、每个指标10分，IV主动性防御级别2个指标、每个指标10分，V进攻性防御级别2个指标、每个指标10分。

• 能够建立并维护资产清单，包括资产名称、级别、责任人等属性【III级-10分】
• 能够定义数据密级及不同级别数据范围，按不同级别建立管理策略【III级-10分】
• 能够对全网资产进行自动探测，识别资产类型、版本号等关键信息【IV级-10分】
• 能够对网际空间资产进行自动探测，识别暴露在互联网的资产信息【IV级-10分】
• 能够对互联网舆情与不良信息进行监控，保护企业形象声誉资产【V级-10分】
• 能够对钓鱼网站进行监测与处理，保护企业域名与互联网品牌资产【V级-10分】

 风险识别

风险识别共有评价指标12个，I初级防护级别没有指标，II基础防范级别3个指标、每个指标5分，III体系化控制级别3个指标、每个指标10分，IV主动性防御级别3个指标、每个指标10分，V进攻性防御级别3个指标、每个指标5分。

• 能够从固定渠道定期获取系统漏洞与补丁信息评估系统面临风险【II级-5分】

• 能够定期对设备与系统进行漏洞扫描，并依据风险等级进行加固【II级-5分】

• 能够定期对设备与系统进行安全配置核查，并依据结果进行加固【II级-5分】

• 能够定期对应用系统进行安全扫描，并依据风险等级进行整改【III级-10分】

• 能够定期对应用系统进行渗透测试，并依据风险等级进行整改【III级-10分】

• 能够建立安全配置基线规范标准，指导设备与系统安全配置【III级-10分】

• 能够对系统漏洞、配置问题与其它相关脆弱性进行自动识别【IV级-10分】

• 能够对代码进行安全扫描与审计，确保及时发现代码存在BUG【IV级-10分】

• 能够利用威胁/漏洞情报数据，及时对安全漏洞进行监测告警【IV级-10分】

• 建立安全分析与研究团队，能够进行安全漏洞挖掘与分析【V级-5分】

• 建立安全攻防对抗团队，能够定期进行红蓝对抗实战演练【V级-5分】

• 能够利用自动化渗透测试平台，持续的发现各种安全漏洞【V级-5分】

 日常运行

日常运行共有评价指标12个，I初级防护级别没有指标，II基础防范级别3个指标、每个指标5分，III体系化控制级别3个指标、每个指标10分，IV主动性防御级别3个指标、每个指标10分，V进攻性防御级别3个指标、每个指标10分。

• 能够对策略的开通、变更操作进行留痕，以备策略回顾与审计【II级-5分】

• 能够定义策略开通与变更管理流程，日常维护操作能够进行审核【II级-5分】

• 能够利用工具对策略进行优化与调整，及时删除冗余、无效策略【II级-5分】

• 能够对策略进行可视化展现，能够实时进行异常访问策略分析【III级-10分】

• 能够对网络与硬件运行状态进行实时监控，及时发现运行故障【III级-10分】

• 能够对系统与应用运行状态进行实时监控，及时发现运行故障【III级-10分】

• 建立自动化集中监控平台，对网络、设备、系统、应用集中监控【IV级-10分】

• 能够利用关联分析、算法分析等手段，及时发现应用运行异常【IV级-10分】

• 能够对特权账号操作进行日志记录，并对日志进行适当安全保护【IV级-10分】

• 能够对特权账号进行统一身份认证，对特权用户权限进行控制【V级-10分】

• 能够对特权用户所有操作行为进行记录或录屏，并主动进行审计【V级-10分】

• 能够进行用户行为分析，对特权用户违规、异常行为进行检测【V级-10分】

 应急响应

日常运行共有评价指标6个，I初级防护级别没有指标，II基础防范级别没有指标，III体系化控制级别2个指标、每个指标10分，IV主动性防御级别2个指标、每个指标10分，V进攻性防御级别2个指标、每个指标7.5分。

• 能够建立各种典型场景应急预案，并对预案进行定期演练与更新【III级-10分】

• 能够建立灾难恢复计划（DRP），并对计划进行定期演练与更新【III级-10分】

• 能够对安全事件进行实时监控预警，并进行自动通知（如短信）【IV级-10分】

• 能够通过安全运营平台（SOC）对安全事件统一进行分析溯源【IV级-10分】

• 能够对典型事件处理进行自动化响应，通过设备联动下发策略【V级-7.5分】

• 能够对安全攻击与威胁进行深度分析与追踪，并进行主动取证【IV级-7.5分】

 合规审计

日常运行共有评价指标9个，I初级防护级别没有指标，II基础防范级别没有指标，III体系化控制级别3个指标、每个指标10分，IV主动性防御级别3个指标、每个指标10分，V进攻性防御级别3个指标、每个指标10分。

• 建立了安全管理制度体系，能够满足等级保护相关标准合规要求【III级-10分】

• 重点安全管理制度能够嵌入业务流程，具有很好的落地执行效果【III级-10分】

• 关键安全流程能够通过管理工具（如IITSM平台）进行固化运行【III级-10分】

• 能够按照计划定期进行安全审计，并依据审计的结果进行整改【IV级-10分】

• 能够通过平台汇总安全管控数据，对安全违规行为进行实时告警【IV级-10分】

• 能够对设备、系统、应用等实体进行实时分析，对异常提前预警【IV级-10分】

• 能够按计划定期评审安全控制效果，根据评审结果进行优化改进【V级-10分】

• 能够建立关键风险指标（KRI），通过量化指标进行安全度量评价【V级-10分】

• 能够通过平台实时监控量化安全指标，进行安全风险监测与预测【V级-10分】