数字化时代下的网络安全战略框架系列之三

数字化时代下对网络安全规划的要求

数字化变革，作为全球范围内炙手可热的关注焦点，要求企业从生产到服务等多方面进行全方位变革。而由此带来的大量且快速变换的数字和信息威胁，成为了企业迎接挑战的过程中亟待解决的问题。不断变化的网络威胁环境和网络攻击模式，使得企业无法在一个安全可靠的环境下持续响应数字化变革的要求，甚至会因此损失大量企业信息资产。正因如此，如何摆脱数字化变革中的被动地位，提前做好应对网络安全风险的规划措施，将成为企业数字化战略历程中最具价值的一环。

根据 Risk Based Security (RBS) 2019年Q3季度报告，从2012年开始，数据泄露事件的数量整体呈现出递增趋势，其中2019年泄露事件数量(5183)比2018年(3886)上涨33.3%，而2019年泄露记录数量(37.66亿)比2018年(79.95亿)上涨112%。面对近年来愈加严峻的网络安全形势，企业对网络安全规划的需求也逐步提高。据调查显示，自2015年起，企业对网络安全规划的高度重视以及大量投资促使我国网络安全硬件市场规模逐年同比增涨20%，网络安全软件市场规模逐年同比扩张12%。

而随着企业转换视野，加大对自身网络安全的投资，如何使得企业不盲目投入，做好高投资回报率的网络安全战略规划，成为在日益激烈的网络安全战场上提前占据有利地势的第一把“利刃”。

CSF: 一个面向未来的网络安全战略框架

德勤网络安全战略框架（CSF）是一个以企业业务为导向、基于威胁管理的网络安全战略平台。CSF是德勤在网络安全战略方面花费了四年多研究和投资得到的产出成果，它所依靠的成熟方法论可以帮助企业确定其网络安全的目前成熟度，识别其网络环境存在的威胁，并提供针对目标成熟度的可视化战略报告和高弹性的战略路线，从而形成一个强大有效的网络安全风险规划平台，有预见性地帮助企业规避未来网络安全风险。

具体来说，依靠CSF平台的核心方法论，战略框架从企业业务，网络威胁和网络能力三个维度对企业所需保护的业务资产进行全方位的分析，识别出资产所面临的不同程度的风险，从而针对企业的网络安全投资给出有建设性的战略决策。而针对战略规划中，最核心的网络威胁识别和面向未来的网络能力战略性提升两部分，我们的平台在网络安全战略规划市场上具有其自身独特的优势。

针对网络安全威胁识别，我们的网络安全战略框架目前覆盖了包括ISO,NIST和SANS在内的多个行业安全标准，并持续更新自身的数据库，以满足多方位不断升级的未来网络安全要求。而在帮助企业进行网络战略规划上，我们的平台可以在帮助企业了解自身所处行业的网络安全水平的基础上，为企业的独特情况进行定制化评估。对于评估中的每一项，我们都会定义其当前所处网络环境的安全水平和目标安全水平并分析两者间差距，同时参考网络环境的变化趋势，从而得到着手于当下且放眼于未来的企业战略转型路线图，帮助企业迎合不断变化的科技市场。

如何制定企业网络安全规划 ？

在日新月异的科技创新大环境下，现代化企业既需要及时识别自身目前存在的网络安全风险，更需要认识到企业网络安全能力需要保持不断升级，防止在优胜劣汰的未知竞争中处于险恶地位。规划企业未来网络安全之路，可以帮助企业从长远的角度确立自己的优先项目清单，并且基于平台的精细化领域划分和不间断捕捉最新行业规范和标准，持续精准地优化企业网络安全投资，以应对潜在的网络安全风险。

而CSF作为一个成熟的网络安全战略框架，得益于以下几个方面：

面向不断变化的潜在网络安全威胁——威胁评估模型

默认情况下，我们的威胁评估模型基于MITRE通用攻击模式枚举和分类（CAPEC）模型。该模型包含基于威胁攻击者和威胁技术的通用分类法，可用于对企业重要资产的最相关威胁进行建模，并根据固有风险优先级，建立具有组织固有暴露评分的威胁情景列表，从而为我们的网络安全战略规划精准找出需要着手处理的威胁根源。

面对不断提升的网络安全能力要求——网络安全能力模型

德勤网络安全能力模型涵盖了多个行业的标准，如FFIEC、ISO/IEC 27001/2、NIST网络安全框架、CMMC、GDPR、SANS/CIS 20关键安全控制和工控安全等。并且，安全能力模型每季度都会更新最新行业经验，来确保平台所覆盖的各行业范围都准确更新了最新安全标准。

除此之外，最新版本的CSF平台同时也具备创建自定义内容包的功能。因此，我们能够以德勤网络能力模型为通用标准，为客户提供符合当地标准或法规甚至内部定制框架的专属评估，从而持续提升我们网络安全战略规划的灵活性和可塑性，以适应不断变更的网络安全市场要求。

面临极为激烈的未来网络安全市场竞争——可视化目标管理

基于网络安全能力模型对企业安全能力的现状评估，以及根据客户暴露于潜在的特定威胁情境下的建议目标成熟度。最终在我们的平台内可生成可视化的报告仪表盘，以动态管理的形式，显示当前企业资产网络安全成熟度、目标成熟度和整体网络弹性。

同时，您也可以利用平台不断搜集的丰富的基线数据，将企业的网络安全成熟度与特定地区、行业或部门的平均成熟度进行多维度比较，从而及时了解企业在行业内所处的水平，以对比定位的方式，及时更新调整企业网络安全战略导向。

案例分析

某科技企业需要了解企业当前的安全能力是否能为自身的核心资产提供可靠保障,并且自身的网络安全战略规划是否与企业战略规划相吻合。高管们清楚地意识到，高速发展的网络安全领域和迭代更新过程中暴露出的大量信息威胁，都在推动着企业客观评估自身的网络安全能力。

可是，什么样的方法论可以全面覆盖企业核心资产安全，什么样的数据库能够持续不断地追踪安全领域的技术升级和法规更替，什么样的动态分析平台能够针对企业需求提供精准客观的网络安全行业数据分析报告，什么样的战略流程规划能够支撑企业，使其保持高度的风险防范意识及时防御风险，成为行业内网络安全正确防范的业界标杆，这些问题无一不困扰着企业高管们。

这时，企业高管中有人想起了前段时间参加了“数字化转型，安全先行”的网络安全宣讲会，会议介绍了多功能动态化的CSF平台会针对各个行业的网络安全发展趋势，持续不断地捕获网络上的相关数据，并更新在平台共享数据库中，帮助企业对标当前行业平均网络安全水平。

进而，根据行业大环境的网络安全要求，企业可以结合自身的业务战略规划，利用平台将离散的企业核心资产项目集中整合到战略流程规划图中。对于每一个企业核心资产项目，平台都会为企业进行现状成熟度分析，再结合行业网络安全环境波动趋势，平台会综合考量，对目标成熟度提出建议，最终进行可靠的差异分析生成执行报告，以匹配出最优的战略规划流程图，建立完善的网络安全规划。并且，在得出战略规划路径之后，平台也会定期提供可视化进度报告，持续不断地提高企业网络安全成熟度和网络弹性总体水平，满足企业对网络安全战略规划的所有要求。

在平台展示的环节，CSF平台给高管们留下最深刻印象的就是网络安全成熟度差异分析模块和网络安全战略路径规划模块。并且这两个环节，也正是企业在实施面向未来的网络安全战略规划中，最为关注的部分。

如下图所示：针对所评估的安全领域，CSF平台可提供清晰的差异分析报告。这使得用户能够准确识别自身的优势和短板，以战略性的眼光，从源头调整企业的整体网络资源分布。

基于CSF平台清晰明了的差异分析报告，平台最终交付给企业的可视化战略路线规划图可以帮助企业对比行业的网络安全水平，对企业目标实时动态化管理。

更重要的是，CSF平台是一个和网络安全领域共同进步的存在，在得到初次的网络安全战略规划后，客户就可以根据战略流程图，对企业的网络安全资源，做战略性调整。并在每季度末，根据CSF平台数据库对行业内最新安全规范和安全标准的更新，及持续捕捉到的行业内网络安全趋势，对行业要求升级的部分重新进行检测，再对原本的网络安全战略规划进行精细化调整，使得企业的网络安全战略规划总是准确可靠，且具有前瞻性。

结语

数字化时代下，每个企业都在享受数字化技术给企业带来的便利，但与此同时，企业也必须要预见到数字化进程下潜在的网络安全固有威胁。为了在激烈的竞争环境下存活，每家公司都应该找到目前形势下，企业存在的网络安全问题是什么，针对问题的可行解决方案需要投入多少资源，且资源该如何去有效分配。但是事实上，来自网络的攻击是大量且随机的，如何从长远发展的角度决定企业投资的优先级是非常困难的。

而针对大部分企业网络安全战略规划不足的现状，CSF平台可以为企业提供最好的定制化服务，以满足企业内部和外部利益相关者的需求。