我现在面临一个挑战:根据当前的人力资源和能力投入,评估我们公司的安全态势。是否有衡量网络安全水平的标准?第一步最好做什么?
现在这个问题,也是安全专业人员奋斗多年要解决的问题。在详细解答前,我必须要说令人失望的消息,没有正确有效的信息安全度量标准(there is no silver bullet for information security metrics)。真正评估信息安全计划有效性的唯一方法是,坐下来,评估该方案的目标,然后找到方法来衡量实现这些目标的进展。这是一个高度的企业特定过程,根据企业的不同结果也会不同。
这就是说,当你为你的计划考虑网络安全性度量标准时,你可以选择许多数据源进行混合评估。以下是我喜欢的一些:
漏洞扫描结果:如果你在网络上运行了一个漏洞扫描器,它可以为你提供几个有趣的度量标准:
●服务器上的关键漏洞的数量。
●可通过防火墙的关键漏洞数量。
●解决关键漏洞的平均时间。
系统配置合规信息:微软系统中心配置管理器(Microsoft System Center Configuration Manager)等工具可以为你提供关于工作站状态的详细信息。一些可用来作为安全度量标准的包括:
●系统符合安全标准的百分比
●防病毒和反间谍软件状态
安全事故频率:这是分割正确的底线:你的企业多久经历一次安全事故?这里的技巧在于确保你有一个一致性的定义,关于“事故”上升到了什么级别。否则,改变定义可能使数据错误。
以上是一些想法,可以让你开始一个全面的安全度量标准计划。请记住,要带着你的目标开始,然后根据目标精心列出一些问题,这些问题将为管理提供关于信息安全计划和网络安全控制有效性的最好洞察。
【编辑推荐】