【老谭笔记】网络安全度量的便捷工具——腾讯数字安全免疫力水平评估工具试用点评

在现代管理理论中，过程管理和过程改进占据着核心的地位。随着质量管理、精益生产和六西格玛等理论的发展，过程改进已经被认为是组织持续发展和优化的核心。而度量又是过程管理与过程改进不可或缺的重要手段之一，现代管理学之父彼得·德鲁克说过，“没有度量就没有改进”。

网络安全管理工作中也是一样，网络安全度量是网络安全管理的关键组成部分，它为安全性能的评估和优化提供了定量和定性的基础。通过网络安全度量，可以帮助我们发现潜在的各种网络安全问题，量化评价网络安全绩效，确保网络安全管理持续改进。

等保2.0、ISO27004、CIS、MITRE-ATT&CK、PCI-DSS等标准/框架提供了网络安全度量的框架，以等保2.0的三级等保测评为例，从：

• 安全物理环境；
• 安全通信网络；
• 安全区域边界；
• 安全计算环境；
• 安全管理中心；
• 安全管理制度；
• 安全管理机构；
• 安全管理人员；
• 安全建设管理；
• 安全运维管理。

共十个维度对特定信息系统的安全状况进行评估，又分为安全通用要求与4个安全扩展要求：

• 安全通用要求，有71个测评项；
• 云计算安全扩展要求，有16个测评项；
• 移动互联网扩展要求，有9个测评项；
• 物联网安全扩展要求，有9个测评项；
• 工业控制系统安全扩展要求，有9个测评项。

以上合计114个测评项，这些评估通常由专业的测评师来进行，定期进行评估，比如等保三级系统，要求每年进行一次评估。

这些测评对组织的网络安全管理工作、建设工作无疑是非常有价值的，但也有不足，主要是：

1、 评估维度较多、评估项较多、执行评估工作量比较大，由专业的测评机构派出测评师进行评估，由组织的内控团队实施评估有难度；

2、 使用自研或测评机构专用的测评管理工具，客户难以获取和使用；

3、 因为相关标准与规范制定的滞后性，测评项难以覆盖网络安全实战攻防中的最佳实践。

由于国家网络安全政策法律法规的陆续出台，尤其是2016年以来开展的实网攻防演习带来的压力，国内政府和企业的网络安全防御的理念与技术手段进步很快，除了安全合规的需求外，企业有了更强的内生动力来提升自身的安全防御能力，但实际工作中，如何客观评价自身的安全能力成了一个难题。领导听不懂太专业的安全术语，安全人员也苦于难以向领导讲清楚组织的安全能力到底如何，自己做了什么，对组织的安全能力有多大的帮助。用户迫切需要一把简便的、能与自身安全需求贴合的“尺子”——安全度量方法与工具，来度量企业的网络安全能力以及安全能力改进结果。

一、 用户体验优先，在传统安全度量的项目上做了减法

腾讯安全免疫力水平评估工具从边界安全、端点安全、应用开发安全、安全运营与管理、数据安全治理、业务风险控制六个项目对网络安全能力进行度量，实际的度量内容覆盖了等保2.0测评项的大多数的内容，但这六个度量项目，用户一看就懂，都是用户关心的东西，能激起用户“试一试”的欲望，不愧是具有To C互联网产品用户体验设计基因公司的作品。

边界安全、端点安全是最传统的安全领域，但传统并不意味着过时，最近两年端点安全、边界安全上有一系列创新，显示出端点安全与边界安全依然是安全的主战场。

应用开发安全是用户特别关注的，涵盖了云原生安全、软件供应链安全和API安全等领域，在当今基础架构云化、软件的开发与构建方式产生革命性变化、软件供应链安全越来越成为问题下的热点，安全左移成为解决安全与开发效率问题的必然之选。

企业现在已基本认识到，网络安全只靠堆叠安全产品是不行的，安全是需要运营的，未来的网络安全体系的核心会是网络安全运营，工具对安全运营与管理的度量从预警与感知、安全加固、应急响应机制、合规与审计四个子项进行。

数据安全是用户高度关注的另一个热点，但数据安全所涉及的问题很多，业界也还在探索过程中，数据安全的总体解决方案还远未成熟，工具主要对数据安全治理、数据安全技术体系建设和数据权限管理三个重点进行度量。

归根结底，网络安全还是要为业务安全负责，腾讯的数字安全免疫力水平评估工具中对业务风险控制进行了度量，采用分场景进行度量的方式来解决用户业务需求的差异性问题，从金融、泛互、To C营销这三个腾讯所擅长的领域出发，将自身的经验外化成度量问题，拿出自己的经验来获得用户的认同，并为未来提供扩展更多的业务场景的提供框架的支持。

二、 度量的评分标准平衡了科学性与可操作性

度量采用问答方式，用户对每个问题从组织、流程、工具三个角度对自身的情况做出评估，最后综合给出1到5的评分。比如对“端点安全”中“异构终端的检测与响应”的“问题一：能够及时精确收集终端上的硬件配置信息、操作系统信息、软件清单等;各功能模块能够集中在一个客户端，以提升终端用户体验”。如果在自己的组织中有专职的终端安全管理人员，并且明确定义了其承担的终端管理职责，组织也制定了终端安全管理规范，但未实现可量化、可跟踪的详细流程，采购了主流的终端管理软件（比如说奇安信的天擎），则对照评分规则，可以打3分。

 评分规则

从1分到5分的评定，基本可以对照CMM（软件能力成熟度模型）中1到5级的定义：

• 1分，对照初始级(Initial)，在这个级别，过程是不可预测的、控制不佳的，且反应性的。这意味着组织无负责的专人，没有稳定的过程，无工具支撑，项目成功主要依赖个体的努力而非组织的能力。
•  2分，对照可重复级(Repeatable)，在这个级别，有些过程是可重复的，有一定的项目管理技术被实施，有专人管理，有了工具，也有了一些操作规程。尽管过程可能会因项目而异，但组织已经学会了记录成功的实践并在其他项目中重复这些实践。
•  3分，对照已定义级(Defined)：在这个级别，过程是被定义的、被组织化的，采购了较好的工具，并且基于组织的标准过程，虽然细化方面还有改进空间。
•  4分，对照管理级(Managed)：在这个级别，组织不仅有标准的、定义好的过程，而且还开始收集关键性能指标，并对过程进行量化的管理。这意味着组织可以预测过程的性能，因为它有足够的数据来分析过程的能力和效果。
• 5分，优化级(Optimizing)：这是最高的成熟度级别。在这个级别，组织持续进行过程的自我完善。通过量化的反馈和实际的创新，组织不断地改进和增强过程的能力。

三、 度量问卷的问题包涵了最新的产业最佳实践

在腾讯数字安全免疫力水平评估工具的问卷中，有不少问题的设计非常精彩，能反映攻防实战中的最新、最佳实践，如：

• 比如在“端点安全-异构终端的检测和响应-问题四”中问到：“支持零信任扩展，支持多因素的身份认证，在身份认证通过之后能够对终端安全环境进行持续验证是否符合安全标准”，反映了业内零信任的最佳实践。
• 在“端点安全-异构终端的检测和响应-问题八”中问到：“后台管理具备大数据分析功能，能够对用户行为进行画像、归类，能够对异常终端给出提示或者告警”,反映了业内UEBA的最佳实践。
• 在“端点安全-云原生环境安全-问题一”中问到：“应支持镜像生命周期安全的防护:资产管理、镜像安全、运行时安全、基线合规，并低资源占用”，反映了业内云原生安全的较新问题。
• 在“边界安全-网络-问题四”中问到：“掌握企业信息资产的互联网暴露面，能够从攻击者视角进行攻击面管理”，是业内“攻击面管理”的最新实践。
• 在“边界安全-网络-身份准入-问题三”中问到：“采取新型技术来降低网络边界的暴露面，例如:使用SDP单包授权实现网络边界隐藏和准入认证”，实际是零信任解决方案的一部分。
• 在“边界安全-网络-联合防御-问题三”中问到：“通过模拟不同场景的攻击验证安全布防的有效性，例如:验证WAF模块中不同策略的有效性”，反映的是近两年开始流行的BAS（攻击模拟）产品的特性。
• 在“数据安全治理-数据安全技术体系建设-问题九”中问到：”数据共享采用隐私计算 ( 联邦学习、多方安全计算、可信计算)相关算法保护数据安全”，则是提到当今数据安全领域最热的隐私计算技术。
• 在“安全运营与管理-预警与感知-问题三”中，问到：“有不少于一个渠道获得外部风险情报，并且对情报的准确性、实时性进行验证”，反映外部威胁情报在安全运营中不可或缺的作用。
• 在“安全运营与管理-预警与感知-问题六”中，问到“对全网告警做集中管理，采用多种技术手段对海量告警进行降噪，高危告警应降低到运营团队可处理的量级”，针对的是传统安全运营与管理平台的告警多、误报率高，超出运营人员的处理能力的问题，把告警减少到安全运营人员能处理的范围，才有可能做到有效处置告警。
• 在“安全运营与管理-预警与感知-问题九”中，问到：“通过安全大数据平台提供多维度数据挖掘和分析能力，有专岗人员通过数据挖掘、威胁建模等手段识别高级威胁，并且形成标准模型”，反映了现在网络安全运营与管理中综合分析的核心作用反映了当前网络安全运营与管理中对高水平安全分析能力实现威胁狩猎的主动防御理念。
• 在“安全运营与管理-合规与审计-问题四”中，问到：“开展安全意识教育及考核，并且将个人考核结果纳入整体绩效评估范畴”，询问用户安全意识教育及考核的工作情况，反映出对抗社会工程学攻击的最佳实践。

网络安全的理念、技术、产品、商业形态在最近几年有非常快速的变化，度量方法与工具跟得上产业的发展脚步非常重要，在这点上，这个评估工具问题设计够新，够贴近实战。

四、 度量的评价较为合理

在用户回答了所选的度量项目的所有提问之后，系统会分别从安全治理与架构、组织与协同、安全工具建设维度、安全基础运维能力、安全运营能力五个维度，对用户的安全能力做分项评价，并给出安全专家的建议。

 安全能力度量评估结果示例

至于这个专家建议是采用什么技术给出的，有没有用大模型技术不得而知。

五、 总结与改进建议

所试用的腾讯数字安全免疫力水平评估工具共有115个问题，数量上比等保2.0三级等保测评项还多一个，测评的问题设计覆盖度较高，能涵盖政府与企业安全工作的主要方面，问题设计的水平较高，具有非常强的指导意义，给出的评测打分、专家建议也比较容易理解，有指导意义。

美中不足是评估工具是为手机操作设计的，而在手机上一次回答100来个问题来完成6个模块的评估还是蛮累的。当然，系统也可以按照六个评估模块分别进行评估。其实更常见的场景是，坐在办公室中一项一项斟酌着回答评估的问题，如果推出Web版的工具，使用起来可能会更方便。

如果作为企业安全的管理者，还会关心企业网络安全改进的过程跟踪，不知道未来的改进版本中是否会加入历史上多次度量的结果的跟踪和对比功能，或许未来在某个企业版中会看到吧。

做为一款免费的网络安全度量工具，非常推荐网络安全管理者试用一下腾讯数字安全免疫力水平评估工具，搞清楚自己的工作与产业最佳实践的差距，逐步改进，也是一个与管理层进行沟通的有效辅助工具。