我現(xiàn)在面臨一個(gè)挑戰(zhàn):根據(jù)當(dāng)前的人力資源和能力投入,評(píng)估我們公司的安全態(tài)勢(shì)。我想問(wèn),是否有衡量網(wǎng)絡(luò)安全水平的標(biāo)準(zhǔn)?對(duì)我來(lái)說(shuō),第一步最好做什么?
你現(xiàn)在問(wèn)的這個(gè)問(wèn)題,也是安全專業(yè)人員奮斗多年要解決的問(wèn)題。在詳細(xì)解答前,我必須告訴你令人失望的消息,沒(méi)有正確有效的信息安全度量標(biāo)準(zhǔn)(there is no silver bullet for information security metrics)。真正評(píng)估信息安全計(jì)劃有效性的唯一方法是,坐下來(lái),評(píng)估該方案的目標(biāo),然后找到方法來(lái)衡量實(shí)現(xiàn)這些目標(biāo)的進(jìn)展。這是一個(gè)高度的企業(yè)特定過(guò)程,根據(jù)企業(yè)的不同結(jié)果也會(huì)不同。
這就是說(shuō),當(dāng)你為你的計(jì)劃考慮網(wǎng)絡(luò)安全性度量標(biāo)準(zhǔn)時(shí),你可以選擇許多數(shù)據(jù)源進(jìn)行混合評(píng)估。以下是我喜歡的一些:
漏洞掃描結(jié)果:如果你在網(wǎng)絡(luò)上運(yùn)行了一個(gè)漏洞掃描器,它可以為你提供幾個(gè)有趣的度量標(biāo)準(zhǔn):
服務(wù)器上的關(guān)鍵漏洞的數(shù)量。
可通過(guò)防火墻的關(guān)鍵漏洞數(shù)量。
解決關(guān)鍵漏洞的平均時(shí)間。
系統(tǒng)配置合規(guī)信息:微軟系統(tǒng)中心配置管理器(Microsoft System Center Configuration Manager)等工具可以為你提供關(guān)于工作站狀態(tài)的詳細(xì)信息。一些可用來(lái)作為安全度量標(biāo)準(zhǔn)的包括:
系統(tǒng)符合安全標(biāo)準(zhǔn)的百分比
防病毒和反間諜軟件狀態(tài)
安全事故頻率:這是分割正確的底線:你的企業(yè)多久經(jīng)歷一次安全事故?這里的技巧在于確保你有一個(gè)一致性的定義,關(guān)于“事故”上升到了什么級(jí)別。否則,改變定義可能使數(shù)據(jù)錯(cuò)誤。
以上是一些想法,可以讓你開(kāi)始一個(gè)全面的安全度量標(biāo)準(zhǔn)計(jì)劃。請(qǐng)記住,要帶著你的目標(biāo)開(kāi)始,然后跟據(jù)目標(biāo)精心列出一些問(wèn)題,這些問(wèn)題將為管理提供關(guān)于信息安全計(jì)劃和網(wǎng)絡(luò)安全控制有效性的最好洞察。
京公網(wǎng)安備 11010502049343號(hào)