本文轉(zhuǎn)載自微信公眾號(hào)「祺印說(shuō)信安」，作者何威風(fēng) 。轉(zhuǎn)載本文請(qǐng)聯(lián)系祺印說(shuō)信安公眾號(hào)。

網(wǎng)絡(luò)安全原則的目的

網(wǎng)絡(luò)安全原則的目的是為組織如何保護(hù)其系統(tǒng)和數(shù)據(jù)免受網(wǎng)絡(luò)威脅提供戰(zhàn)略指導(dǎo)。

這些網(wǎng)絡(luò)安全原則分為四個(gè)關(guān)鍵活動(dòng)：治理、保護(hù)、檢測(cè)和響應(yīng)。

• 治理：識(shí)別和管理安全風(fēng)險(xiǎn)。
• 保護(hù)：實(shí)施安全控制以降低安全風(fēng)險(xiǎn)。
• 檢測(cè)：檢測(cè)和了解網(wǎng)絡(luò)安全事件。
• 響應(yīng)：響應(yīng)網(wǎng)絡(luò)安全事件并從中恢復(fù)。

治理原則

• G1:首席信息安全官負(fù)責(zé)領(lǐng)導(dǎo)和監(jiān)督網(wǎng)絡(luò)安全。
• G2:確定并記錄系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的身份和價(jià)值。
• G3:確定并記錄系統(tǒng)、應(yīng)用程序和數(shù)據(jù)的機(jī)密性、完整性和可用性要求。
• G4:安全風(fēng)險(xiǎn)管理流程嵌入到組織風(fēng)險(xiǎn)管理框架中。
• G5:在系統(tǒng)和應(yīng)用程序被授權(quán)使用之前，以及在整個(gè)運(yùn)行生命周期中，安全風(fēng)險(xiǎn)都會(huì)被識(shí)別、記錄、管理和接受。

保護(hù)原則

• P1:系統(tǒng)和應(yīng)用程序根據(jù)其價(jià)值及其機(jī)密性、完整性和可用性要求進(jìn)行設(shè)計(jì)、部署、維護(hù)和停用。
• P2:系統(tǒng)和應(yīng)用程序由值得信賴的供應(yīng)商交付和支持。
• P3:系統(tǒng)和應(yīng)用程序配置為減少其攻擊面。
• P4:系統(tǒng)和應(yīng)用程序以安全、負(fù)責(zé)和可審計(jì)的方式進(jìn)行管理。
• P5:及時(shí)識(shí)別和緩解系統(tǒng)和應(yīng)用程序中的安全漏洞。
• P6:只有受信任和支持的操作系統(tǒng)、應(yīng)用程序和計(jì)算機(jī)代碼才能在系統(tǒng)上執(zhí)行。
• P7:數(shù)據(jù)在不同系統(tǒng)之間靜態(tài)和傳輸時(shí)進(jìn)行加密。
• P8:不同系統(tǒng)之間通信的數(shù)據(jù)是受控的、可檢查的和可審計(jì)的。
• P9:數(shù)據(jù)、應(yīng)用程序和配置設(shè)置會(huì)定期以安全且經(jīng)過(guò)驗(yàn)證的方式進(jìn)行備份。
• P10:只有經(jīng)過(guò)信任和審查的人員才能訪問(wèn)系統(tǒng)、應(yīng)用程序和數(shù)據(jù)存儲(chǔ)庫(kù)。
• P11:人員被授予對(duì)其職責(zé)所需的系統(tǒng)、應(yīng)用程序和數(shù)據(jù)存儲(chǔ)庫(kù)的最低訪問(wèn)權(quán)限。
• P12:使用多種方法識(shí)別系統(tǒng)、應(yīng)用程序和數(shù)據(jù)存儲(chǔ)庫(kù)中的人員并對(duì)其進(jìn)行身份驗(yàn)證。
• P13:為人員提供持續(xù)的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。
• P14: 對(duì)系統(tǒng)、支持基礎(chǔ)設(shè)施和設(shè)施的物理訪問(wèn)僅限于授權(quán)人員。

檢測(cè)原則

D1:網(wǎng)絡(luò)安全事件和異?；顒?dòng)被及時(shí)檢測(cè)、收集、關(guān)聯(lián)和分析。

響應(yīng)原則

• R1:網(wǎng)絡(luò)安全事件及時(shí)識(shí)別并及時(shí)向相關(guān)機(jī)構(gòu)進(jìn)行內(nèi)部和外部報(bào)告。
• R2:網(wǎng)絡(luò)安全事件得到及時(shí)控制、根除和恢復(fù)。
• R3:業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃是在需要時(shí)制定的。

成熟度建模

在實(shí)施網(wǎng)絡(luò)安全原則時(shí)，組織可以使用以下成熟度模型來(lái)評(píng)估單個(gè)原則，原則組或整個(gè)網(wǎng)絡(luò)安全原則的實(shí)施情況。成熟度模型中的五個(gè)級(jí)別是：

• 不完全的:網(wǎng)絡(luò)安全原則要么部分實(shí)施，要么未實(shí)施。
• 初始:網(wǎng)絡(luò)安全原則得到實(shí)施，但實(shí)施方式很差或臨時(shí)性。
• 發(fā)展:網(wǎng)絡(luò)安全原則得到了充分的實(shí)施，但要逐個(gè)項(xiàng)目實(shí)施。
• 管理:網(wǎng)絡(luò)安全原則被確立為標(biāo)準(zhǔn)業(yè)務(wù)實(shí)踐，并在整個(gè)組織中得到強(qiáng)有力的實(shí)施。
• 優(yōu)化:在整個(gè)組織中實(shí)施網(wǎng)絡(luò)安全原則時(shí)，有意識(shí)地關(guān)注優(yōu)化和持續(xù)改進(jìn)。

《信息安全指南》是澳大利亞國(guó)家網(wǎng)絡(luò)安全中心發(fā)布的一個(gè)套體系性指南，我們?cè)诹私飧鲊?guó)有關(guān)網(wǎng)絡(luò)安全相關(guān)體系性知識(shí)的過(guò)程，可以借鑒之，也可以從中發(fā)現(xiàn)共性，讓我們?cè)诠ぷ髦心軌驅(qū)ふ彝ㄓ玫淖罴寻踩珜?shí)現(xiàn)。在不斷深入了解各國(guó)網(wǎng)絡(luò)安全體系性內(nèi)容過(guò)程中，也能夠不斷增強(qiáng)對(duì)網(wǎng)絡(luò)安全的理解，增強(qiáng)我們的網(wǎng)絡(luò)安全意識(shí)。網(wǎng)絡(luò)安全知識(shí)和咨詢是網(wǎng)絡(luò)安全意識(shí)的前提，在這個(gè)方面需要不斷增益。