內(nèi)容簡介
這是一本教企業(yè)如何利用網(wǎng)絡安全能力成熟度模型評估企業(yè)網(wǎng)絡安全能力并系統(tǒng)性構建網(wǎng)絡安全防御體系的著作。
作者結合自己20多年在各大網(wǎng)絡安全公司的從業(yè)經(jīng)驗,運用軟件開發(fā)成熟度模型理論,對國內(nèi)外主流的網(wǎng)絡安全框架進行分析,總結出了一套科學的網(wǎng)絡安全能力成熟度模型。從合規(guī)、風險、數(shù)據(jù)、溯源等階段推進網(wǎng)絡安全戰(zhàn)略、組織、管理、技術、運營等方面的設計與建設,旨在為企業(yè)的網(wǎng)絡安全規(guī)劃和建設提供參考和幫助。
本書內(nèi)容從邏輯上分為3個部分:
第1部分(第1章)
主要介紹了網(wǎng)絡安全能力成熟度模型的理論,包括防護檢測響應模型、信息技術保障框架、自適應安全架構、網(wǎng)絡安全滑動標尺模型等,旨在幫助讀者建立一個初步的認識。
第二部分(第2~3章)
詳細講解了網(wǎng)絡安全能力成熟度模型的架構、演變過程、框架,以及模型包括的具體內(nèi)容,如安全團隊、安全戰(zhàn)略、安全管理、安全技術、安全運營等。
第三部分(第4~7章)
根據(jù)網(wǎng)絡成熟度模型的4個階段合規(guī)驅(qū)動階段、風險驅(qū)動階段、數(shù)據(jù)驅(qū)動階段、溯源反制階段,既介紹了模型在不同階段的具體表現(xiàn),又通過真實案例講解了模型的各個階段的安全建設內(nèi)容。
1.作者經(jīng)驗豐富:作者在奇安信等大型網(wǎng)絡安全企業(yè)工作20余年,先就職于青藤云安全,積累了豐富的技術經(jīng)驗和行業(yè)經(jīng)驗。2.自創(chuàng)方法論:創(chuàng)造性地將軟件能力成熟度模型(CMM)引入網(wǎng)絡安全領域,自創(chuàng)網(wǎng)絡安全能力成熟度模型。3.融合國內(nèi)外經(jīng)驗:對國內(nèi)外主流的網(wǎng)絡安全框架(例如ISO27000、NIST 800、等級保護、自適應安全架構、網(wǎng)絡安全滑動標尺模型)進行分析、借鑒和融合。4.企業(yè)界和學術界一致認可:人民銀行、廣發(fā)銀行、平安銀行、招商銀行、民生銀行、國家信息技術研究中心等多個企業(yè)和機構的安全專家一致推薦。
為什么寫這本書
我擔任網(wǎng)絡安全咨詢顧問多年,在為客戶提供服務的過程中,經(jīng)常遇到形形色色的問題,比如:我們企業(yè)的網(wǎng)絡安全建設目前處于行業(yè)中什么水平?是否可以對我們企業(yè)的網(wǎng)絡安全能力做一個可量化的評估?在軟件能力成熟度模型(Capability Maturity Model,CMM)還沒有引入國內(nèi)的時候,很多從事軟件開發(fā)的公司都面臨同樣的困惑。
從業(yè)多年,我發(fā)現(xiàn)很多企業(yè)雖然制定了中長期網(wǎng)絡安全規(guī)劃,但是執(zhí)行落地的過程與規(guī)劃相差甚遠。這可能是兩方面原因造成的:一方面是前期規(guī)劃設計太超前,無法真正落地;另一方面是企業(yè)網(wǎng)絡安全團隊不能深入理解規(guī)劃設計的內(nèi)容,在產(chǎn)品采購、集成方面沒有按照規(guī)劃來實現(xiàn)。企業(yè)想要實現(xiàn)網(wǎng)絡安全長期、有序地發(fā)展,除了可以借助外部咨詢團隊,更關鍵的是要將業(yè)務發(fā)展需求與網(wǎng)絡安全戰(zhàn)略相結合。
我認為企業(yè)可以借鑒軟件開發(fā)過程中的CMM理論,首先通過對標一些標準化指標體系,了解自身的安全能力,然后依據(jù)不同層級的指標體系,對安全能力進行規(guī)劃。也就是說,依據(jù)指標體系評估企業(yè)自身的網(wǎng)絡安全能力并分析差距,再根據(jù)評估結果和參照指標持續(xù)地完善網(wǎng)絡安全能力。
作為有20多年網(wǎng)絡安全領域從業(yè)經(jīng)驗的人,我認為國內(nèi)的網(wǎng)絡安全市場需要有符合中國國情的網(wǎng)絡安全能力成熟度模型,一方面可以解決企業(yè)在網(wǎng)絡安全建設過程中遇到的問題,另一方面,通過倡導國內(nèi)形成網(wǎng)絡安全能力成熟度理念,引起國內(nèi)網(wǎng)絡安全從業(yè)者的討論與共鳴,推動網(wǎng)絡安全能力成熟度模型的發(fā)展。
本書特點
本書著重介紹網(wǎng)絡安全防御體系的能力建設。我將結合多年網(wǎng)絡安全從業(yè)經(jīng)驗,運用軟件開發(fā)成熟度模型理論,對國內(nèi)外主流的網(wǎng)絡安全框架(例如ISO27000、NIST 800、等級保護、自適應安全架構、網(wǎng)絡安全滑動標尺模型)進行分析,旨在為各類機構評估自身安全能力提供參考。
此外,本書對模型的解讀不像同類書那么晦澀難懂,而是采用了成熟的CMM理論,為每個網(wǎng)絡安全能力成熟度等級梳理出清晰的目錄、域、關鍵目標和具體實踐活動,幫助企業(yè)結合自己的情況,評估網(wǎng)絡安全短板,依據(jù)實踐指標加以完善,并合理開展后續(xù)的網(wǎng)絡安全建設。
如何閱讀本書
本書內(nèi)容從邏輯上分為3個部分。
部分(第1章)主要介紹網(wǎng)絡安全能力成熟度模型的理論,幫助讀者建立一個初步的認識。如果讀者對這些模型已有了解,可以直接閱讀后面的內(nèi)容。
第二部分(第2和3章)詳細介紹網(wǎng)絡安全能力成熟度模型的架構、演變過程、維度等內(nèi)容。
第三部分(第4~7章)介紹一些企業(yè)案例,并對網(wǎng)絡安全能力成熟度模型的每個層級的實踐加以說明。
讀者對象
本書適合首席信息安全官、網(wǎng)絡安全經(jīng)理等從事網(wǎng)絡安全規(guī)劃及相關工作的人員閱讀。
勘誤和支持
由于水平有限,書中難免出現(xiàn)一些錯誤或者不準確的地方,懇請讀者批評指正。我的聯(lián)系方式是tylin@126.com。
致謝
出書是一個浩大的工程,在寫作期間,我遇到了很多困難,歷經(jīng)數(shù)月才艱難完成。借此機會感謝所有對本書順利出版提供幫助的朋友和家人,是他們一如既往的鼓勵和支持,才讓我有動力完成本書的編寫。
特別感謝在工作當中給予我支持的同事,也感謝機械工業(yè)出版社華章公司的編輯,他們?yōu)楸緯膶懽魈峁┝藢氋F的意見。
林寶晶
2021年6月
作者簡介
林寶晶
現(xiàn)就職于青藤云安全,同時擔任擔任多個銀行的特聘外部網(wǎng)絡安全專家,曾就職于奇安信等多家知名網(wǎng)絡安全公司。從事網(wǎng)絡安全工作20余年,具有豐富的安全產(chǎn)品研發(fā)、產(chǎn)品管理、安全解決方案經(jīng)驗,對CMM模型有深入的研究。長期研究國外先進的攻防技術與理論模型,對自適應安全架構、安全成熟度模型有較深入的研究。
?錢錢
網(wǎng)絡安全專家,具有豐富的大型央企集團IT運維和安全運維經(jīng)驗,長期研究國內(nèi)外安全防御體系,對網(wǎng)絡安全防御體系有深入的理解。
?翟少君
奇安信安全服務子公司副總經(jīng)理,某省運營商特聘網(wǎng)絡安全專家。具有10余年網(wǎng)絡安全攻防經(jīng)驗,負責金融、電力等行業(yè)的安全服務解決方案,長期從事安全產(chǎn)品綜合解決方案的設計及推廣,對自適應安全架構、網(wǎng)絡安全滑動標尺模型有深入研究與理解。
贊譽
前言
第1章 網(wǎng)絡安全模型介紹1
1.1 防護檢測響應模型1
1.2 信息保障技術框架3
1.2.1 IATF的核心思想4
1.2.2 IATF體系介紹5
1.3 自適應安全架構6
1.3.1 自適應安全架構1.07
1.3.2 自適應安全架構2.09
1.3.3 自適應安全架構3.0 10
1.4 網(wǎng)絡安全滑動標尺模型12
1.4.1 架構安全14
1.4.2 被動防御15
1.4.3 主動防御16
1.4.4 威脅情報17
1.4.5 溯源反制19
第2章 網(wǎng)絡安全能力成熟度模型21
2.1 美國電力行業(yè)安全能力成熟度模型21
2.1.1 能力成熟度域23
2.1.2 能力成熟度級別25
2.2 模型框架26
2.3 網(wǎng)絡安全能力成熟度等級30
第3章 網(wǎng)絡安全模型內(nèi)容33
3.1 網(wǎng)絡安全團隊33
3.1.1 組織架構域34
3.1.2 人力資源域37
3.1.3 安全意識域39
3.2 網(wǎng)絡安全戰(zhàn)略40
3.2.1 網(wǎng)絡安全戰(zhàn)略域41
3.2.2 網(wǎng)絡安全戰(zhàn)略支持域42
3.3 網(wǎng)絡安全管理43
3.3.1 安全管理制度域44
3.3.2 安全標準域46
3.3.3 風險管理域47
3.3.4 供應鏈管理域49
3.4 網(wǎng)絡安全技術50
3.4.1 架構安全域52
3.4.2 被動防御域55
3.4.3 主動防御域58
3.4.4 威脅情報域61
3.4.5 溯源反制域63
3.5 網(wǎng)絡安全運營65
3.5.1 安全評估域66
3.5.2 安全監(jiān)測域69
3.5.3 安全分析域71
3.5.4 安全響應域73
3.5.5 安全服務域74
3.5.6 對抗運營域76
第4章 合規(guī)驅(qū)動階段79
4.1 網(wǎng)絡安全戰(zhàn)略81
4.2 網(wǎng)絡安全組織81
4.3 網(wǎng)絡安全管理83
4.4 網(wǎng)絡安全技術83
4.5 網(wǎng)絡安全運營85
4.6 案例87
4.6.1 網(wǎng)絡安全戰(zhàn)略88
4.6.2 網(wǎng)絡安全組織89
4.6.3 網(wǎng)絡安全管理94
4.6.4 網(wǎng)絡安全技術建設97
4.6.5 網(wǎng)絡安全運營建設114
第5章 風險驅(qū)動階段119
5.1 網(wǎng)絡安全戰(zhàn)略120
5.2 網(wǎng)絡安全組織121
5.3 網(wǎng)絡安全管理122
5.4 網(wǎng)絡安全技術123
5.5 網(wǎng)絡安全運營126
5.6 案例129
5.6.1 網(wǎng)絡安全戰(zhàn)略129
5.6.2 網(wǎng)絡安全組織130
5.6.3 網(wǎng)絡安全技術建設133
5.6.4 網(wǎng)絡安全管理建設139
5.6.5 網(wǎng)絡安全運營建設142
第6章 數(shù)據(jù)驅(qū)動階段157
6.1 網(wǎng)絡安全戰(zhàn)略158
6.2 網(wǎng)絡安全組織159
6.3 網(wǎng)絡安全管理160
6.4 網(wǎng)絡安全技術163
6.5 網(wǎng)絡安全運營167
6.6 案例171
6.6.1 網(wǎng)絡安全戰(zhàn)略171
6.6.2 網(wǎng)絡安全組織172
6.6.3 網(wǎng)絡安全技術建設173
6.6.4 網(wǎng)絡安全管理建設180
6.6.5 網(wǎng)絡安全運營建設184
第7章 溯源反制階段185
7.1 網(wǎng)絡安全戰(zhàn)略186
7.2 網(wǎng)絡安全組織186
7.3 網(wǎng)絡安全管理188
7.4 網(wǎng)絡安全技術189
7.5 網(wǎng)絡安全運營192
7.6 案例195
后記201