安全 | 这些年我对安全成熟度模型的一点点思考

长沙  浏阳河。2018年11月2日。

在多年安全咨询的职业与项目经历中，一直钟爱并经常使用的一个工具，就是安全成熟度模型。安全成熟度模型既能够清晰地展示安全全貌，又能为安全工作提供明确的努力方向与建设目标。因此，安全成熟度模型不仅是很棒的咨询工具，更是为企业安全建设指引方向的灯塔。

1、传统安全成熟度模型及其存在问题

从安全的组成来说，传统安全架构由技术体系、组织体系、制度体系、运行体系组合而成，其中技术体系由五横（物理、终端、网络、系统、应用）、五纵（身份认证、访问控制、内容安全、监控审计、备份恢复）交叉组成，而组织、制度、运行也可以合为一个大的管理体系。

从安全成熟度来说，一般是技术先行，管理再跟上，进而扩展到IT风险管理、业务风险管理体系，即由安全技术体系、安全管理体系、IT风险综合管控、IT风险与业务风险综合的四个阶段组成成熟度模型。传统安全成熟度非本文重点，不在此进行详细描述，重点说下其中存在的问题。

首先，技术体系、管理体系虽然存在着一定的关系，但绝对不是技术体系全部建设完成，才开始进行安全管理体系建设；其次，安全管理体系建设完成后，直接进入了IT风险、业务风险管理的范畴，将安全局限在风险管理的范畴了；第三，安全的范畴与IT、业务是由交叉重叠的地方，但不是安全被IT、业务包含的关系，这里很显然是把安全理解成了狭义的IT安全了。

2、改造后的安全成熟度模型以及一些思考

在2016年前后，新的安全技术与理念不断出现，下一代安全的解决方案也层出不穷，越来越感觉到传统安全框架局限性越来越大，便开始琢磨怎么去改造构建一个新的安全成熟度模型。最早的一个版本是为了给一个大型房地产企业安全规划来用，见下图-1：

此模型将安全扩展成五个阶段，在阶段命名上参考了CMMI的成熟度，这多少还带有管理体系的味道，反而各阶段括号里的描述比较贴切一点。这里的充分定义阶段相当于建立了基础的安全体系（组织、技术、制度、运行），能够满足监管要求、最佳实践标准的要求，可以理解为到此阶段安全建设都是趋于合规、雷同的。再往上的两个阶段，就要突破合规与最佳实践的限制，深度考虑自己的建设需求，形成一个一个的安全专题，每个安全专题的实现需要融合技术与管理措施。

此后，在局部进行了细微调整，去掉了CMMI成熟度风格的阶段定义，并将第五级不太好解释清楚的“自适应安全”改为了“业务与安全融合”。具体见下图-2：

除了上述的调整，每个阶段的公共特征描述也进行了调整，并且依据公共特征对每个阶段具体的安全技术、安全管理实践进行了定义，在此不进行详细说明，有兴趣可以参见《2.0新防御体系下，网络安全成熟度模型以及各级别安全关键实践》。

当然，这个版本仔细推敲也存在着问题，业务安全属于安全应用范畴，并不是安全程度的描述，在主动性防御阶段可以考虑业务安全，甚至在体系化控制也可以考虑业务安全，前后阶段维度描述不一致。另外一个问题是，第四、第五阶段这些内容，属于安全建设内容专题，各个安全专题建设的前后顺序，更多的需要考虑实际需求，而非在模型阶段就硬性规定出来。

3、做减法进一步调整后的安全成熟度模型

基于前面两个安全成熟度模型，参考了《网络安全滑动安全标尺模型》内容，结合企业安全运营的实际情况，又进一步进行了调整。最终成熟度模型如下图：

在安全成熟度阶段方面，将第五阶段调整为“进攻性防御”，解决了前面遇到的问题，同时也与“主动性防御”可以相呼应。其它调整细节及一些思考总结如下：

1）第三阶段“体系化控制”中，以安全体系建设为核心，描述去掉了“安全合规”的字样。因为安全要合的规也在不断更新，新的法律法规中也有越来越多的高级别的要求。

2）第一、第二阶段的安全建设，是以安全漏洞、弱点为核心进行；第三个阶段的安全建设是以安全体系（内控）为核心建设。这三个阶段的特点是管好自己那点事，对敌人（威胁）来讲是被动防御。

3）第三个阶段所说的“以SOC建设为核心”，实际上是强调安全的智能中枢，是在做好自己的基础上，敢与敌人（威胁）进行一番较量，能够与敌人（威胁）来过过招，能够分清是敌是友，是善意还是恶意，就是所谓的敢于亮剑（主动性防御）。

4）能够真正做到主动性防御，也并不是一件很容易的事情，主动性防御特点与核心要点也不在此进行详细展开，有机会单独作为一篇文章阐述。

5）第五个阶段的“进攻性防御”，更多的是强调进攻而非防御，防御只是表明自卫反击的态度。当然，这个阶段对于绝大多数企业来讲，短期内达不到也没必要达到这个程度。

特别说明：本文中安全成熟度模型图-1、图-2，参考了太极信安公众号“踏实实验室”部分内容，在此表示由衷的感谢。

原文始发于微信公众号（微言晓意）：安全 | 这些年我对安全成熟度模型的一点点思考