数字化时代下的网络安全战略框架 了解您的网络安全成熟度 数字化时代下的网络安全挑战 面对来势汹汹的数字化变革，企业在聚焦数字化技术的同时，也 在面对着数字和信息带来的威胁。不断变化的威胁形势以及网络 攻击手段，使企业面对网络安全风险信心不足。如果没有充分了 解网络威胁趋势，加上企业日益复杂的网络架构，企业负责保护 的数字资产的快速变化会降低安全保护能力。对外而言，如果企 业本身的安全意识和能力无法及时响应业务合作伙伴需求，总是 不断被动应对业务发展带来的风险，则会逐渐在行业中失去重要 战略地位。 调查显示，在2019年约有59%的企业发生了重大安全事件，其中 个人信息和重要数据泄露风险尤其严峻。2019上半年国家互联网 应急中心协调处置网络安全事件约4.9万起，全年的漏洞总数为 24160个，计算机恶意程序传播次数日均达约998万次。另外因 个人隐私与信息泄露，Facebook、Equifax、英国航空和万豪国 际四家企业，罚款金额将近90亿美元，超过国内整个网络安全产 业的市场规模。 所以，一个强大的网络安全风险计划有助于推动业务增长，保护 企业价值，并帮助企业应对网络安全威胁，也会使企业在威胁荆 棘丛生的数字化环境中立于主动之地，把握时代机遇。 CSF：一个全面的网络安全战略框架 德勤网络安全战略框架（CSF）是一种以业务为导向、基于威胁 管理网络安全战略的平台。 CSF是德勤在网络安全战略方面进行 了四年多的研究和投资的结果，并且采用了成熟的方法来确定企 业网络安全的当前能力和目标成熟度，并提出了改进企业内部和 整体网络安全弹性的建议。 我们的网络安全战略框架与包括ISO，NIST和SANS等在内的各 种行业标准保持一致，其中包含三个主要维度：业务，威胁和能 力。我们认为，只有综合考虑这些维度，才能了解保护（业务） 所需的内容以及他们面临不同威胁的风险程度，从而就如何在网 络安全进行投资做出明智的战略决策。 我们会利用CSF框架评估企业的独特情况和能力。对于这些能力 中的每一项，我们都会定义其当前和目标的安全级别并分析差 距。目前有上百家企业评估结果为我们的数据库提供分析数据， 所以您可以利用CSF基线，了解企业的网络安全成熟度水平以及 行业对标情况。另外，在这个多功能的在线平台上，评估可以基 于不同内容包进行，评估结果通过自动演算以制定完善的网络安 全策略。 如何了解网络安全成熟度 对于企业而言，网络安全风险要及时识别并积极采取措施，另外 更需要认识到企业自身安全能力，并参考网络安全的行业领先实 践，这样才能适应严格的法律合规要求，快速迭代的业务模式和 应对行业竞争格局的威胁。了解企业当前网络安全成熟度，可以 帮企业识别当前安全能力的强弱，确定正确的优先事项，优化网 络安全投资的价值。在能力很强的领域，企业可适当减少投资力 1/3 度；相反，在能力较低领域，企业应立即采取对应措施，及时补 齐短板，以应对未知的网络安全风险。 CSF作为一个成熟的网络安全战略框架，得益于如下几个方面： 能力模型 德勤网络安全能力模型引用了多个行业标准，如FFIEC、ISO/IEC 27001/2、NIST网络安全框架、GDPR、SANS 20关键安全控制 和工控安全等。 最新版本的CSF平台具备创建自定义内容包的功能，可以实现在 CSF平台内评估其他标准和适应本地监管合规要求。这样，我们 能够为客户提供当地符合标准或法规甚至内部定制框架的评估。 威胁评估模型 默认情况下，我们的威胁评估模型基于MITRE通用攻击模式枚举 和分类（CAPEC）模型。该模型包含基于威胁攻击者和威胁技术 的通用分类法，可用于对企业最相关的威胁进行建模，并根据其 固有的可能性和影响确定企业的安全风险。 基线数据 内容包还提供对基线数据的使用权限 - 使企业能够将网络安全能 力成熟度与特定地区，行业或部门或具有类似收入或员工人数的 企业的平均成熟度进行比较。 这种比较可以在网络安全战略框架平台中以可视化的方式展示。 平台的基线数据库中包含特定的行业和部门数据，企业可通过各 种维度，进行各类基线的成熟度比较。 案例分析 某企业需要了解企业当前的安全能力是否能为业务提供足够的保 障，高管们对于网络安全能力的评估有着很大的困惑：什么样的 方法论可以全面覆盖网络安全的领域，并且同时能跟踪快速迭代 的安全领域和技术；什么样的手段可以处理大量数据，提供精确 的数据收集与分析功能。传统的评估项目可能需要很大的人力物 力，当下的业务和技术每天都在产生着大量的数据，手工处理避 免不了计算及统计失误，并且最终的结果可能需要阅读大量的文 字，而不是直观的、可视化数据图形。 这时，CIO想起了前段时间公司举行的关于“数字化网络安全战 略框架”宣讲会，其中介绍的CSF网络安全战略框架正好可以解 决正在面临的困境：CSF平台会紧跟网络安全行业发展趋势，及 时更新数据库，并且涵盖整个网络安全建设的各个方面。另外后 续的系统自动化评分功能，也正好解决了要处理大量数据的问 题，大大提高了工作效率与准确度。 比如：针对已评估的安全领域，提供可视化网络恢复能力（或成 熟度）图表。这使用户能够识别最需要投资的项目，以提高企业 的整体网络弹性。 2/3 同时CSF的数据库还能提供行业基线，可视化当前成熟度与企业 能力的目标成熟度之间的差距。 更重要的是，CSF平台还提供了网络安全建设工作复检功能：在 得到当年网络安全成熟度的评估后，客户可以就得分较低的领域 进行改进，并在来年，对于相同的领域重新检测，两次得分进行 对比，可以得出网络安全的投资回报率 ，以及相关部门的工作执 行能力 ，这对于一个企业无疑是珍贵的声音。 结语 每个企业都必须在某个时刻考虑到网络安全的问题，涉及流程、 人员管理等。一切都变得越来越数字化，除了技术带来的明显优 势外，它还带来了固有的威胁。为了妥善保护自己，每家公司都 应该知道最重要的数字化资产是什么，哪里有弱点以及存在哪些 可能的解决方案。但是网络的前景是巨大的，保持一个全面的视 角并决定在哪里投资是非常困难。 CSF可以为企业提供最好的并且可定制化的服务，以满足其特定 需求。它也是一种独特的解决方案，可以满足每个内部或外部投 资利益相关方的需求。 3/3