《2017网络安全度量年度报告》指出，在网络安全技术上投资的公司中有约30%没有办法测量安全投资的价值或者效果。而Guardian公司的安全成熟度模型成为了解决该问题的核心工具之一。

通过应用安全成熟度模型，公司可以对其安全投资的效果做出科学合理的评估。安全成熟度模型如图1所示。

图1 安全成熟度模型

1、补丁管理和防病毒。

2、防火墙和网络分段。

a)防火墙是抵御入侵的第一道防线，通过在网络上的多个关键节点部署多级防火墙，能够有效的阻断网络攻击。通常使用的开源防火墙包括Linux Iptables和FreeBSD IPFW等。商业防火墙则包括华为、Cisco、Juniper等知名厂商的一系列不同等级和规格的产品。

b)网络分段是网络分级隔离的关键措施。为不同防护等级和业务属性的应用规划不同的网络地址段，能够提高网络隔离的有效性，从而减少应用间的互相影响。

3、身份和访问管理。身份和访问管理混乱加剧了安全风险。

4、资产和配置管理。遗忘的资产往往成为黑客的目标，也不容易识别出入侵行为。

5、信息分类和保护。信息分类在收集、处理和应用过程中非常重要。不同保密级别要求的信息应以不同的加密（散列）方式存储，并以相对应的鉴权机制予以访问控制。

6、监控、告警和事件响应。缺少有效的监控、告警和事件响应机制是导致入侵危害持续放大的罪魁祸首。例如，在2018年某大型知名国际酒店集团发生的信息泄露事件中，经调查发现，“自2014年起，即存在第三方对喜达屋网络未经授权的访问。最近发现未经授权的第三方已复制并加密了某些信息，并采取措施试图将该等信息移出。”开源入侵检测系统包括OSSEC、Snort等。商业入侵检测系统包括青藤云等。

7、风险管理和治理。定期风险分析和安全培训是降低安全风险的必要步骤。要让安全意识深入人心，避免一些初级问题导致整个安全体系失效。

和图1相比，您的公司现在能达到哪一级了？欢迎留言。

参考文献：

《2017网络安全度量年度报告》，https://thycotic.com/resources/cybersecurity-metrics-report-2017/

新钛云服安全专家提供一站式安全解决方案，包括安全培训、渗透测试、安全体系建设咨询等服务。

想了解更多关于运维安全的干货，请关注公众号哦！

偷偷告诉各位道友，近日会有大福利放送，还不快关注我们！