你的安全預算花對地方了嗎？

先分享一個小故事

高管會議室，燈火通明，會議持續一天了。季度末加之年底，總結和明年規劃，很多事情。安全副總在前面彙報，提到今年的預算。

董事長打斷了彙報，“今年安全預算2000萬，明年就要3000萬，增加了50%，為什麼增加這麼多？”

“我們的安全還有很多不足，明年開始為等保2.0測評做準備…”

“今年的預算都花在什麼地方了？”

“我們在全國各個省網的出口部署了流量分析和入侵檢測系統，在總部的資料中心也部署了，安全檢測能夠全部覆蓋。”

董事長：“你告訴我，年初安全狀況是什麼樣的，安全預算花光了，安全狀況提升了多少？”

安全副總額頭冒汗，推了推鼻樑上的眼鏡。他知道董事長的管理風格，以結果為導向，可量化可評估。“這個，我回去整理一下，再給您彙報…”

“你這個網路安全，花錢不少，效果卻看不見。你看看剛才業務線彙報，哪個區域的業績達標，哪個業務單元的達標率，紅牌綠牌，一目瞭然。”

上面的情節是綠盟君虛構的。現實中，網路安全投入多少，佔到整體IT份額的比例多大，也是見仁見智。網路安全早已提升到國家安全的高度，網路安全的立法和監管趨嚴，企業領導也逐漸意識到網路安全的重要性。 

那麼網路安全要建設什麼，有沒有可參考的依據。建設完成後的效果，如何來評估效果，最好給出量化評估結果，為後續的提升調整提供依據。

安全建設需要體系化的規劃設計，可以參考如下安全體系。

01、等級保護2.0

等保2.0相關的標準已經頒佈，並於本月開始實施。根據《網路安全法》，我國實行網路安全等級保護制度。等級保護的標準，即時企業安全等級建設和整改，以及透過等級測評的依據，也是安全建設規劃的指南。

等級保護2.0，包含安全管理體系和安全技術體系。第二級及以上的安全技術體系，提出”一箇中心，三重防護“的思想。一箇中心指的是安全管理中心，集中管控安全通訊網路，安全區域邊界，安全計算環境。每個技術領域，包含相應的控制點和控制項。

02、NIST網路安全框架

美國國家標準與技術研究院（NIST）釋出的網路安全框架得到廣泛認可和採納。全球範圍內，很多企業將其作為最佳實踐指南來實踐。

NIST網路安全框架的主要屬性，包括了識別、防護、檢測、響應和恢復五個過程。2014年釋出第一版，2018年釋出新版本（Version 1.1）。NIST網路安全框架增加了新內容，包括供應鏈風險管理，自適應訪問，實施框架以及隱私方面的安全措施。

NIST網路安全框架，對於安全廠商也有指導意義。事實上，綠盟科技很多產品可以歸類到安全框架定義的屬性中。

03、持續自適應風險與信任評估框架

諮詢機構Gartner提出了一種安全框架，CARTA（Continuous Adaptive Risk and Trust Assessment），持續自適應風險和信任評估框架。為安全管理者提供了具有遠見的戰略參考模型。網路安全不是設定好然後忘記，而是持續根據安全風險和訪問信任的實時評估，持續檢查並調整最佳化的過程。

CARTA框架，在安全風險和信任評估兩個方面給出建議。安全風險主要針對威脅的防護，基於PPDR（Predict，Protection，Detect，Response）的流程，分解成四個階段。

（圖片來源於Gartner）

信任評估主要是對安全訪問的過程，從訪問客體到應用的信任關係評估。

（圖片來源於Gartner）

04、零信任安全體系

零信任無疑是近年來的熱詞。上面提到的CARTA模型，對信任的評估和自適應的訪問，其內涵就是零信任網路訪問。不過，一說零信任最早是由Forrester的諮詢師提出來。Forrester是另外一家諮詢機構，他們放大零信任的概念，零信任安全擴充套件（Zero Trust eXtended），形成零信任安全框架。

零信任擴充套件（ZTX）安全框架有六大支柱：網路、裝置、應用、人員、自動化和協作，視覺化和分析，其核心是保護應用和資料安全。安全管理人員在制定安全戰略時可以參考零信任體系，安全技術架構對應各個支柱，選擇相應的安全產品和方案。

05、ISMS資訊保安管理體系

資訊保安管理體系（ISMS）是針對企業用於建立、實施、執行、監控、稽核、維護和改進資訊保安的一個政策、程式、指南以及相關資源的框架。

國際標準化組織釋出了系列標準，即ISO27000系列標準，指導企業管理安全風險。此外，ISO27001還為企業資訊保安管理體系的建立和實施，提供了對應認證。

除了上面介紹的安全框架，企業在制定安全戰略時，還可以參考ITIL（資訊科技基礎架構庫）和Cobit（資訊及相關技術的控制目標）等範圍更大的框架。不管採用哪一個安全框架，企業都應該從自身實際出發，制定短期和長期的計劃。在安全制度，人員和組織設定，安全產品和方案的部署，安全運營等方面進行建設，提高安全治理水平，降低安全風險和保障企業合規。