不以提升安全能力为目的的 络安全体系建设，都是耍流氓

走出舒适圈

企业应构建自己的安全体系

虽然中文翻译都是“ 络安全”，但是从过去的Network Security到今天的Cyber Security，显然 络安全的内涵和外延早已不可同日而语。 络安全不仅关系到企业自身的生存和发展，更上升为国家战略，是 会和经济发展的重要保障。

据我们的观察，企业的管理层越来越清醒地意识到， 络安全需要顶层设计，而且顶层设计必须与每个企业或单位的实际业务需求和管理能力相匹配，并一步一步落在实处。虽然我们嘴上一直强调顶层设计和方法论的重要性，但实际上今天的安全防御还是不能尽如人意，这其中的根本问题在哪里p>

问题的症结在于，企业的战略与实际行动通常是脱节的。比如，一方面经常有人高喊“提高危胁检测能力”，但实际上却不清楚如何实现。由此可见，实实在在地提升企业的 络安全能力是当务之急。

高瀚昭介绍说，评估企业的安全能力有两种办法：先是判断企业是否具备相应的安全能力，这个相对比较简单，通过对照合规性的要求或标准，就可以做出定性的判断；然后是衡量企业的 络安全能力水平如何，这是定量的判断，相对比较困难。究其原因， 络安全能力的高低，必须通过实战来检验。这就要求企业建立实战化的 络安全体系。

360认为，企业的安全能力有四大支柱，包括资源、技术、管理和执行。

与传统的安全能力相比，360特别强调“资源”这个维度。因为在现有的安全形势下，如果没有全 的数据汇聚和分析能力，将很难驱动安全建设。只有将数据或者资源作为安全能力的核心，才能让安全更好地融入企业管理，更好地体现数据的价值，同时更好地提升整个业界的安全管理水平。

360定义了以安全大脑为核心的 络安全能力框架。在资源方面，360打造了基于神经元的基础设施，负责多元异构数据的采集和标准化；同时还拥有用于 络空间测绘的基础设施，负责对 络空间的地图进行测绘；另外还有威胁情 中心，负责数据到情 的分析加工以及互联互通。

技术，说得直白一些就是指安全能力的支撑工具。安全技术未来会更加深入地渗透到更多的业务领域中，安全的产品和服务也会更加多样化。

在技术方面，360既有针对攻击防御的 络攻防靶场、漏洞众测中心、蜜罐诱捕设施、高级威胁检测中心、安全开发能力中心等，也有针对资源管控的边缘云基础设施、零信任基础设施、身份管理基础设施和密码证书基础设施等。

说到管理，就不得不老生常谈——“三分技术、七分管理”。企业应该将安全技术与安全管理相结合，并使之有效地贯穿于企业的所有业务流程环节中，包括研发、测试、上线运行、日常运维，以及漏洞管理等，这样才能有效保障全业务生命周期的安全。

执行最关键的因素就是人。众所周知，人是安全能力的载体。安全体系的建设重点要考虑企业全员安全意识的提升，普通员工也好，专业技术人员也罢，还有企业的管理层，都在安全体系中扮演着不可或缺的重要角色。因此，要培养全员的安全意识，并提供其安全能力。

在执行方面，360以人和运营为中心，打造了态势感知中心、安全运营中心、应急响应中心、人才培训基地，以及安全能力评估中心。

提升企业的安全能力，首先要遵从数据驱动的原则，即应用大数据的手段，规划企业的安全体系；其次，建设一个能不断沉淀的安全能力，以应对新技术快速迭代而引发的 络安全基础设施的变化，即以不变应万变；再次，要一手抓攻防，一手抓管控，内外兼修，这样才能有效保障业务安全和数据安全；最后，持续提升安全运营能力。

他山之石可以攻玉

360是安全体系建设的赋能者

企业如何打造适合自身需求的安全体系0为我们做出了示范。

360将 络安全成熟度目标定义为四个等级，并将自己的目标定位在第四级也就是最高级。360将自身的安全能力对外输出给企业，一方面从横向，也就是资源、技术、管理和执行四个维度，为企业安全体系的建设赋能；另一方面，提升企业纵向的安全能力，从识别、防御、监测、响应、恢复、规划和校验等维度实现安全能力的全面提升。

360 络安全成熟度模型包含23个能力域、83个能力项及99个能力子项，以及222个控制点，通过这些能力域、能力项、能力子项和控制点的具体得分，就可以清楚地知道企业每一年安全体系建设的实战效果如何，下一步该如何进行提升。

高瀚昭介绍说，360已经建立了一套全球领先的认证知识库，可以模拟全球90%以上的攻击类别。基于此，360可以相对公正、客观并定量地衡量用户每一项安全防御的效能，并在此基础上，再去评估企业每一项安全能力域相应的得分。

欢迎扫码关注云

文章知识点与官方知识档案匹配，可进一步学习相关知识 络技能树首页概览22982 人正在系统学习中