数字化时代下的网络安全战略框架系列之三 规划未来安全之路 数字化时代下对网络安全规划的要求 数字化变革，作为全球范围内炙手可热的关注焦点，要求企业从 生产到服务等多方面进行全方位变革。而由此带来的大量且快速 变换的数字和信息威胁，成为了企业迎接挑战的过程中亟待解决 的问题。不断变化的网络威胁环境和网络攻击模式，使得企业无 法在一个安全可靠的环境下持续响应数字化变革的要求，甚至会 因此损失大量企业信息资产。正因如此，如何摆脱数字化变革中 的被动地位，提前做好应对网络安全风险的规划措施，将成为企 业数字化战略历程中最具价值的一环。 根据 Risk Based Security (RBS) 2019年Q3季度报告，从2012 年开始，数据泄露事件的数量整体呈现出递增趋势，其中2019年 泄露事件数量(5183)比2018年(3886)上涨33.3%，而2019年泄 露记录数量(37.66亿)比2018年(79.95亿)上涨112%。面对近年 来愈加严峻的网络安全形势，企业对网络安全规划的需求也逐步 提高。据调查显示，自2015年起，企业对网络安全规划的高度重 视以及大量投资促使我国网络安全硬件市场规模逐年同比增涨 20%，网络安全软件市场规模逐年同比扩张12%。 而随着企业转换视野，加大对自身网络安全的投资，如何使得企 业不盲目投入，做好高投资回报率的网络安全战略规划，成为在 日益激烈的网络安全战场上提前占据有利地势的第一把“利 刃”。 CSF: 一个面向未来的网络安全战略框架 德勤网络安全战略框架（CSF）是一个以企业业务为导向、基于 威胁管理的网络安全战略平台。CSF是德勤在网络安全战略方面 花费了四年多研究和投资得到的产出成果，它所依靠的成熟方法 论可以帮助企业确定其网络安全的目前成熟度，识别其网络环境 存在的威胁，并提供针对目标成熟度的可视化战略报告和高弹性 的战略路线，从而形成一个强大有效的网络安全风险规划平台， 有预见性地帮助企业规避未来网络安全风险。 具体来说，依靠CSF平台的核心方法论，战略框架从企业业务， 网络威胁和网络能力三个维度对企业所需保护的业务资产进行全 方位的分析，识别出资产所面临的不同程度的风险，从而针对企 业的网络安全投资给出有建设性的战略决策。而针对战略规划 中，最核心的网络威胁识别和面向未来的网络能力战略性提升两 部分，我们的平台在网络安全战略规划市场上具有其自身独特的 优势。 针对网络安全威胁识别，我们的网络安全战略框架目前覆盖了包 括ISO,NIST和SANS在内的多个行业安全标准，并持续更新自身 的数据库，以满足多方位不断升级的未来网络安全要求。而在帮 助企业进行网络战略规划上，我们的平台可以在帮助企业了解自 身所处行业的网络安全水平的基础上，为企业的独特情况进行定 制化评估。对于评估中的每一项，我们都会定义其当前所处网络 环境的安全水平和目标安全水平并分析两者间差距，同时参考网 络环境的变化趋势，从而得到着手于当下且放眼于未来的企业战 略转型路线图，帮助企业迎合不断变化的科技市场。 如何制定企业网络安全规划 ？ 1/4 在日新月异的科技创新大环境下，现代化企业既需要及时识别自 身目前存在的网络安全风险，更需要认识到企业网络安全能力需 要保持不断升级，防止在优胜劣汰的未知竞争中处于险恶地位。 规划企业未来网络安全之路，可以帮助企业从长远的角度确立自 己的优先项目清单，并且基于平台的精细化领域划分和不间断捕 捉最新行业规范和标准，持续精准地优化企业网络安全投资，以 应对潜在的网络安全风险。 而CSF作为一个成熟的网络安全战略框架，得益于以下几个方 面： 面向不断变化的潜在网络安全威胁——威胁评估模型 默认情况下，我们的威胁评估模型基于MITRE通用攻击模 式枚举和分类（CAPEC）模型。该模型包含基于威胁攻击 者和威胁技术的通用分类法，可用于对企业重要资产的最 相关威胁进行建模，并根据固有风险优先级，建立具有组 织固有暴露评分的威胁情景列表，从而为我们的网络安全 战略规划精准找出需要着手处理的威胁根源。 面对不断提升的网络安全能力要求——网络安全能力模型 德勤网络安全能力模型涵盖了多个行业的标准，如 FFIEC、ISO/IEC 27001/2、NIST网络安全框架、 CMMC、GDPR、SANS/CIS 20关键安全控制和工控安全 等。并且，安全能力模型每季度都会更新最新行业经验， 来确保平台所覆盖的各行业范围都准确更新了最新安全标 准。 除此之外，最新版本的CSF平台同时也具备创建自定义内 容包的功能。因此，我们能够以德勤网络能力模型为通用 标准，为客户提供符合当地标准或法规甚至内部定制框架 的专属评估，从而持续提升我们网络安全战略规划的灵活 性和可塑性，以适应不断变更的网络安全市场要求。 面临极为激烈的未来网络安全市场竞争——可视化目标管 理 基于网络安全能力模型对企业安全能力的现状评估，以及 根据客户暴露于潜在的特定威胁情境下的建议目标成熟 度。最终在我们的平台内可生成可视化的报告仪表盘，以 动态管理的形式，显示当前企业资产网络安全成熟度、目 标成熟度和整体网络弹性。 同时，您也可以利用平台不断搜集的丰富的基线数据，将 企业的网络安全成熟度与特定地区、行业或部门的平均成 熟度进行多维度比较，从而及时了解企业在行业内所处的 水平，以对比定位的方式，及时更新调整企业网络安全战 略导向。 案例分析 某科技企业需要了解企业当前的安全能力是否能为自身的核心资 产提供可靠保障,并且自身的网络安全战略规划是否与企业战略规 划相吻合。高管们清楚地意识到，高速发展的网络安全领域和迭 代更新过程中暴露出的大量信息威胁，都在推动着企业客观评估 自身的网络安全能力。 可是，什么样的方法论可以全面覆盖企业核心资产安全，什么样 的数据库能够持续不断地追踪安全领域的技术升级和法规更替， 什么样的动态分析平台能够针对企业需求提供精准客观的网络安 全行业数据分析报告，什么样的战略流程规划能够支撑企业，使 其保持高度的风险防范意识及时防御风险，成为行业内网络安全 正确防范的业界标杆，这些问题无一不困扰着企业高管们。 这时，企业高管中有人想起了前段时间参加了“数字化转型，安 全先行”的网络安全宣讲会，会议介绍了多功能动态化的CSF平 台会针对各个行业的网络安全发展趋势，持续不断地捕获网络上 2/4 的相关数据，并更新在平台共享数据库中，帮助企业对标当前行 业平均网络安全水平。 进而，根据行业大环境的网络安全要求，企业可以结合自身的业 务战略规划，利用平台将离散的企业核心资产项目集中整合到战 略流程规划图中。对于每一个企业核心资产项目，平台都会为企 业进行现状成熟度分析，再结合行业网络安全环境波动趋势，平 台会综合考量，对目标成熟度提出建议，最终进行可靠的差异分 析生成执行报告，以匹配出最优的战略规划流程图，建立完善的 网络安全规划。并且，在得出战略规划路径之后，平台也会定期 提供可视化进度报告，持续不断地提高企业网络安全成熟度和网 络弹性总体水平，满足企业对网络安全战略规划的所有要求。 在平台展示的环节，CSF平台给高管们留下最深刻印象的就是网 络安全成熟度差异分析模块和网络安全战略路径规划模块。并且 这两个环节，也正是企业在实施面向未来的网络安全战略规划 中，最为关注的部分。 如下图所示：针对所评估的安全领域，CSF平台可提供清晰的差 异分析报告。这使得用户能够准确识别自身的优势和短板，以战 略性的眼光，从源头调整企业的整体网络资源分布。 基于CSF平台清晰明了的差异分析报告，平台最终交付给企业的 可视化战略路线规划图可以帮助企业对比行业的网络安全水平， 对企业目标实时动态化管理。 更重要的是，CSF平台是一个和网络安全领域共同进步的存在， 在得到初次的网络安全战略规划后，客户就可以根据战略流程 图，对企业的网络安全资源，做战略性调整。并在每季度末，根 据CSF平台数据库对行业内最新安全规范和安全标准的更新，及 持续捕捉到的行业内网络安全趋势，对行业要求升级的部分重新 进行检测，再对原本的网络安全战略规划进行精细化调整，使得 企业的网络安全战略规划总是准确可靠，且具有前瞻性。 3/4 结语 数字化时代下，每个企业都在享受数字化技术给企业带来的便 利，但与此同时，企业也必须要预见到数字化进程下潜在的网络 安全固有威胁。为了在激烈的竞争环境下存活，每家公司都应该 找到目前形势下，企业存在的网络安全问题是什么，针对问题的 可行解决方案需要投入多少资源，且资源该如何去有效分配。但 是事实上，来自网络的攻击是大量且随机的，如何从长远发展的 角度决定企业投资的优先级是非常困难的。 而针对大部分企业网络安全战略规划不足的现状，CSF平台可以 为企业提供最好的定制化服务，以满足企业内部和外部利益相关 者的需求。 4/4