[据美国“第五域”网站2020年3月31日报道] 随着技术发展和网络威胁演变,网络安全概念也从全面防御、分层防御转变为网络弹性,更加强调对风险进行分析和冷静计算本组织面临的风险状况。
BAE系统公司情报与安全部解决方案架构主任撰文指出,在当前网络威胁背景下,网络安全工作必须从基于合规向基于结果转变,前者是一套用来确定网络风险状况的检查清单,主要检查是否采取控制措施来缓解统一规定的风险事项;后者需组织秉持积极姿态,持续地分析和探寻组织的网络与系统风险,并对发现的漏洞和风险及时予以消除。基于结果的网络安全是对合规网络安全的发展,相关企业仍需遵循诸如《NIST SP 800-53联邦信息系统推荐安全控制》等标准文件要求。实施基于结果的网络安全方法,关键是持续不断的风险分析,包括采用网络红队查找网络和系统漏洞,不断评估组织网络和IT资产状态以及风险环境变化,积极获取和共享威胁情报,及时更新风控策略等。
当前,美国已认识到该方法的重要性,国防部已出台新的网络安全标准,并在供应商中推行网络安全成熟度模型认证(CMCC)。(国家工业信息安全发展研究中心 聂春明)