我研究生读的是城市规划专业,在城市规划领域中有个非常著名的“城市进化模型”,该模型以“监管”为核心,以“规划、建设、运营、评估”为过程,通过不断迭代达到城市持续进化和持续发展的目的,我认为该模型同样适用于用户安全能力进化场景。
用户网络安全建设的终极目标是打造和提升其安全能力,以应对不断演化的威胁和挑战。我们同样可以采用“用户安全能力持续进化模型”:以“监管”为中心,以“规划、建设、运营、评估”四个过程为一个进化周期,每经历一个进化周期,用户安全能力都会获得一定的提升(事物的发展变化总是螺旋上升的),该模型如下:
用户安全能力持续进化模型
1. 规划:制定用户安全能力建设的目标、方法、体系、策略以及可行路径
“城市要发展,规划要先行”。同样,今天我们不是给用户兜售产品和盒子,我们需要给用户提供长期进化的安全能力,我们需要在更大的时间和空间维度上看待我们的战略和面向用户的安全能力输出,因此,规划是这件事的重要起点,我们要具备战略级安全体系的规划能力,能给出未来安全规划的蓝图。
城市规划通常分三个级别:总规(总体规划,Overall plan)、控规(控制性详细规划, Regulatory plan)和详规(修建性详细规划,Constructive-detailed plan),分别对应城市总体规划、某地块用地性质和用地指标的规划(工业、商业、居住等用地性质,以及体量和规模等用地指标)、以及该地块的详细建筑施工设计。就用户安全来说,分别对应用户总体安全规划、某领域的安全规划、以及具体该领域的安全基础设施详细设计,最终规划要有目标、方法论、体系、标准、策略和可行路径等等相关输出。
2. 建设:依据规划进行用户安全基础设施(能力载体)的建设
对于用户来说,规划的产物就是针对安全基础设施的详细设计,在建设阶段,需要依据规划的相关要求,有序的进行安全基础设施的建设。这一阶段对厂商的挑战是方案交付和项目交付,不仅考验产品和方案的通用性,也考验对于复杂系统的定制化和集成能力,以及整体的项目交付能力。
3. 运营:通过对安全基础设施的长期运营,打造和提升用户的安全能力
住宅小区通过运营才能叫做社区,工厂通过运营才能生产出产品,道路通过管理才能正常交通,城市建设了工厂、小区、商场,修建了道路、机场、高铁站等等这些基础设施,最终都离不开人的运营, 运营是有组织的有序的生产和生活活动。同样,用户的安全基础设施也需要专家的运营,通过专家对这些基础设施的长期运营,才能持续打造和提升用户的安全能力,以应对各类威胁的挑战。
4. 评估:评估用户安全现状和规划目标之间的差异,提出新一轮规划需求
定期的评估有助于找到现状和规划目标之间差异,一方面可以通过不断优化提升安全能力,以便进一步达成目标;另一方面,随着各方因素的变化,建设和运营过程中,也会对目标做进一步修编;同时,对于已达成阶段性目标的领域,可以开启新一轮的规划,从而进入下一个迭代周期。
评估的方式方法有很多,等保测评、攻防演习、渗透测试、HW行动等等,都是评估环节的重要手段和措施,更是用户安全能力进化的推进剂。
5. 监管:负责对“规划、建设、运营、评估”整个进化周期进行监控和管理,并贯穿始终
规划、建设、运营和评估这四个过程需要在用户监管下进行,监管是用户从上至下进行安全能力建设的重要抓手,它贯穿始终,以确保每个过程和环节都在掌控之中,确保目标的执行没有偏差,确保执行的风险可控。
最后,在用户安全进化的历程中,每经历一次上述的进化周期,其综合安全能力都会得到一定的提升,不断迭代,才能得到持续进化和发展,才有能力应对不断演化的新型威胁。
完。
