企业安全建设 | 安全度量

1 概述

我们应该逐步认识到安全不是业务的衍生品，而是必须品，未建设安全的业务都是纸老虎，一触即溃。

安全从业人员都有有一种直观的感受，安全建设效果不明显，举例来说某公司今年安全建设投资100w，但是并没有出现什么安全事件，明年的安全建设直接被高层管理砍成50w，如果是以安全事件的发生次数来判断，高层人员的做法确实无可厚非，但是作为安全人员肯定不是这样认为的，今年未出现安全事件的原因可能是因为黑客并未针对我方展开攻击，或者已经被攻击了但是我们并未发现。因此我们必须制定安全的指标，将安全的“效果”展示出来，本文我们就来讨论“安全度量”的建设思路。

甲方经年来经常提出的几个问题来引入我们今天的话题。

目前我企业的安全环境是如何的，在同行或者全国的安全建设属于什么水平，后续我还可以做哪些努力来解决目前的痛点？

如果你可以为客户解决如上的问题，害怕甲方爸爸不买你的安全产品吗？

如果你只是关注自身安全产品的优势，而没有考虑甲方的现状和困点，无论你的产品是业界第一还是销量第一，你都很难在此类客户做出突破，因此这些年解决方案才成为业界的主流，不局限一个产品能力，需要大一统融合的能力来解决实际出现的问题。

2 安全度量是什么？

安全度量可以理解为在固定的时间节点上多个安全因素所表现出来的安全态势，也就是通过多安全场景进行量化得出企业目前的状态，是安全的还是有风险的，既体现了往年投资安全的效果，也同时为后续的建设提供了指引。

引用管理学大师德鲁克说的“你如果无法度量它，就无法管理它”，如同我们高中书写的议论文一般，需要有论据来支撑我们的论点，而论据则由多种方面组成，数字永远是最为直接和有力的证据。安全建设不再以某某事件发生有什么后果来“恐吓客户”，而是以全局的角度，告知客户目前你的企业安全环境是如何的，后续应该做什么。

3 安全度量在企业安全架构中的位置

在对“安全度量”进行讨论之前我们应该明白企业安全建设的几个框架：包括安全管理框架、安全防护框架、安全运营框架、安全服务框架等等。目的是为了保证业务不中断、业务可恢复等。

安全管理框架：一个小区配备几个巡逻人员、几个监控人员、每个人的职责是什么、在每个时间阶段需要做什么事情，这个就是我们的管理框架，在高层领导的制定下安全应该完成什么内容，保障什么东西，此处可以结合ISO/ISMS/等级保护等办法进行建设；

安全防护框架：我们现在所处的小区的安全建设通常都会有高墙/防盗网等手段来防止非法人员进入小区，此块内容就对应到我们的安全防护框架，目的是为了阻止不坏好意的人员进入小区；

安全运营框架：安防人员在大门或者监控值班室实时观看监控，这就是运营，保障我们的监控手段是否有效，弥补自动化的监控手段的趋势，这就是安全运营的内容，弥补机器弱点、保障机器运行、提升机器效果；

安全度量框架：此部分是本次重点讨论的内容，俗话说“会叫的孩子有奶吃”，也很好的表示安全所处的困境，如何恰如其分的邀功、轻描淡写的背锅，这都建立在我们合理的度量指标条件下，因此安全度量其实是作为一个评价体系来进行建设的，以数字化的表现来展示安全。

4 安全度量建议采取的规划步骤

采取7步骤走的方式进行安全度量的建设，安全建设全部以数值的方式进行量化展示。

1. 定义衡量目标：确认可量化、可实现、可持续的指标，说明如何降低安全风险，确定安全投资计划来实现我们预先定义的安全目标。

2. 确定哪些指标：采取广泛讨论、领导授权的方式，确认安全指标的具体数值；

3. 制定指标策略：制定策略的具体措施，应该如何考核（考核时间、考核方式、考核影响等）；

4. 核对基准要求：对标国际或者标准来修正我们的目标、指标和策略；

5. 确定汇报机制：定期形成固定的报告向上级领导汇报，需要体现工作亮点，也不能规避缺点，因为你无法解决全部的问题；

6. 指标计划修改：针对存在的问题拿出解决措施、甚至是修改指标；

7. PDCA大循环：在3-6的步骤充分进行循环，以实现最优的的效果；

5 如何设置安全度量框架？

本次采用三级的架构来展示“安全度量”，一级指标为关键指标、二级指标为分析角度、三级指标为数据采集指标，并且通过各指标的占比来得出最终的结论，其中还涉及到采集的频率、采集时间、预制条件等等。

以下我们采取攻击指标和防护指标两类进行企业安全度量框架的建设实例

5.1 实例1：攻击指标

5.1.1 DDOS作为企业危害性最高层级的攻击，是的企业在无漏洞的情况下，造成企业业务无法使用；

5.1.2  企业业务收到的攻击总体情况，外部入侵的严重程度与频率

5.1.3 网站被攻击的严重程度与频率

5.1.4 病毒时间发生情况

5.1.5 数据安全泄露

5.2 实例2：防护指标

5.2.1 终端安全防护指标

5.2.2 网络安全防护指标

5.2.3 系统安全防护指标

5.2.4 应用和数据安全防护指标

6 安全度量成熟度

参考国际和国内的安全框架我们可以提出两个对象 攻击视角和防护视角，5个等级 未建设、基础建设、体系建设、量化建设、持续运营，三个方面 发生次数、影响范围和验证程度。

未建设：企业未开展安全建设，或者只有一两种安全设备；

基础建设：企业开展了安全建设，也部署了一些安全设备，但是是依据以往发生的安全事件而对应建设的安全手段，主要采取安全设备自身的监控进行安全建设；

体系建设：以国内或者国际的安全建设体系标准进行建设，比如等级保护、内生安全等，采取统一的标准建设，有统一的监控平台，但是建设通常不够充分；

量化建设（**）：体系化通常都有安全标准，此标准作为通用的安全标准，并不一定适合每个企业，因此需要建立符合自身业务特点的安全体系，在这个体系建设的重要是融入了安全量化，明白企业自身的现状、后续未来的方面、以及每个方向能够带来的好处；

持续运营：以PDCA的思维重复进行安全的滚动；

7 后记

此外还应该包括安全运营指标、安全开发指标、XC覆盖指标、国密覆盖指标适配各企业特色的指标。

度量指标并不是为了给领导看的，而是为了让安全的工作效果得以体现，真正做到剑有所指、有的放矢。

安全度量是作为审核企业安全建设的标杆，对上可显示安全建设的效果，对下可量化每个安全人员的工作效果。安全并不是无法提现效果，更多的时候需要我们通过多种方式进行展示。度量指标只是其中一部分，包括工作汇报、工作总结、工作交流等等其他方式。

感兴趣的小伙伴，或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动，德斯克信息安全专家服务，为你解决信息安全问题！！！