本文轉載自微信公眾號「祺印說信安」，作者何威風 。轉載本文請聯系祺印說信安公眾號。

網絡安全原則的目的

網絡安全原則的目的是為組織如何保護其系統和數據免受網絡威脅提供戰略指導。

這些網絡安全原則分為四個關鍵活動：治理、保護、檢測和響應。

• 治理：識別和管理安全風險。
• 保護：實施安全控制以降低安全風險。
• 檢測：檢測和了解網絡安全事件。
• 響應：響應網絡安全事件并從中恢復。

治理原則

• G1:首席信息安全官負責領導和監督網絡安全。
• G2:確定并記錄系統、應用程序和數據的身份和價值。
• G3:確定并記錄系統、應用程序和數據的機密性、完整性和可用性要求。
• G4:安全風險管理流程嵌入到組織風險管理框架中。
• G5:在系統和應用程序被授權使用之前，以及在整個運行生命周期中，安全風險都會被識別、記錄、管理和接受。

保護原則

• P1:系統和應用程序根據其價值及其機密性、完整性和可用性要求進行設計、部署、維護和停用。
• P2:系統和應用程序由值得信賴的供應商交付和支持。
• P3:系統和應用程序配置為減少其攻擊面。
• P4:系統和應用程序以安全、負責和可審計的方式進行管理。
• P5:及時識別和緩解系統和應用程序中的安全漏洞。
• P6:只有受信任和支持的操作系統、應用程序和計算機代碼才能在系統上執行。
• P7:數據在不同系統之間靜態和傳輸時進行加密。
• P8:不同系統之間通信的數據是受控的、可檢查的和可審計的。
• P9:數據、應用程序和配置設置會定期以安全且經過驗證的方式進行備份。
• P10:只有經過信任和審查的人員才能訪問系統、應用程序和數據存儲庫。
• P11:人員被授予對其職責所需的系統、應用程序和數據存儲庫的最低訪問權限。
• P12:使用多種方法識別系統、應用程序和數據存儲庫中的人員并對其進行身份驗證。
• P13:為人員提供持續的網絡安全意識培訓。
• P14: 對系統、支持基礎設施和設施的物理訪問僅限于授權人員。

檢測原則

D1:網絡安全事件和異常活動被及時檢測、收集、關聯和分析。

響應原則

• R1:網絡安全事件及時識別并及時向相關機構進行內部和外部報告。
• R2:網絡安全事件得到及時控制、根除和恢復。
• R3:業務連續性和災難恢復計劃是在需要時制定的。

成熟度建模

在實施網絡安全原則時，組織可以使用以下成熟度模型來評估單個原則，原則組或整個網絡安全原則的實施情況。成熟度模型中的五個級別是：

• 不完全的:網絡安全原則要么部分實施，要么未實施。
• 初始:網絡安全原則得到實施，但實施方式很差或臨時性。
• 發展:網絡安全原則得到了充分的實施，但要逐個項目實施。
• 管理:網絡安全原則被確立為標準業務實踐，并在整個組織中得到強有力的實施。
• 優化:在整個組織中實施網絡安全原則時，有意識地關注優化和持續改進。

《信息安全指南》是澳大利亞國家網絡安全中心發布的一個套體系性指南，我們在了解各國有關網絡安全相關體系性知識的過程，可以借鑒之，也可以從中發現共性，讓我們在工作中能夠尋找通用的最佳安全實現。在不斷深入了解各國網絡安全體系性內容過程中，也能夠不斷增強對網絡安全的理解，增強我們的網絡安全意識。網絡安全知識和咨詢是網絡安全意識的前提，在這個方面需要不斷增益。