了得網計算機/網絡_網絡安全能力成熟度模型：原理與實踐

編輯推薦

1.作者經驗豐富：作者在奇安信等大型網絡安全企業工作20餘年，先就職於青籐雲安全，積累了豐富的技術經驗和行業經驗。2.自創方法論：創造性地將軟件能力成熟度模型（CMM）引入網絡安全領域，自創網絡安全能力成熟度模型。3.融合國內外經驗：對國內外主流的網絡安全框架（例如ISO27000、NIST 800、等級保護、自適應安全架構、網絡安全滑動標尺模型）進行分析、借鋻和融合。4.企業界和學術界一致認可：人民銀行、廣發銀行、平安銀行、招商銀行、民生銀行、國家信息技術研究中心等多個企業和機構的安全專家一致推薦。

內容簡介

內容簡介
這是一本教企業如何利用網絡安全能力成熟度模型評估企業網絡安全能力並繫統性構建網絡安全防御體繫的著作。
作者結合自己20多年在各大網絡安全公司的從業經驗，運用軟件開發成熟度模型理論，對國內外主流的網絡安全框架進行分析，總結出了一套科學的網絡安全能力成熟度模型。從合規、風險、數據、溯源等階段推進網絡安全戰略、組織、管理、技術、運營等方面的設計與建設，旨在為企業的網絡安全規劃和建設提供參考和幫助。
本書內容從邏輯上分為3個部分：
第1部分（第1章）
主要介紹了網絡安全能力成熟度模型的理論，包括防護檢測響應模型、信息技術保障框架、自適應安全架構、網絡安全滑動標尺模型等，旨在幫助讀者建立一個初步的認識。
第二部分（第2~3章）
詳細講解了網絡安全能力成熟度模型的架構、演變過程、框架，以及模型包括的具體內容，如安全團隊、安全戰略、安全管理、安全技術、安全運營等。內容簡介
這是一本教企業如何利用網絡安全能力成熟度模型評估企業網絡安全能力並繫統性構建網絡安全防御體繫的著作。
作者結合自己20多年在各大網絡安全公司的從業經驗，運用軟件開發成熟度模型理論，對國內外主流的網絡安全框架進行分析，總結出了一套科學的網絡安全能力成熟度模型。從合規、風險、數據、溯源等階段推進網絡安全戰略、組織、管理、技術、運營等方面的設計與建設，旨在為企業的網絡安全規劃和建設提供參考和幫助。
本書內容從邏輯上分為3個部分：
第1部分（第1章）
主要介紹了網絡安全能力成熟度模型的理論，包括防護檢測響應模型、信息技術保障框架、自適應安全架構、網絡安全滑動標尺模型等，旨在幫助讀者建立一個初步的認識。
第二部分（第2~3章）
詳細講解了網絡安全能力成熟度模型的架構、演變過程、框架，以及模型包括的具體內容，如安全團隊、安全戰略、安全管理、安全技術、安全運營等。
第三部分（第4～7章）
根據網絡成熟度模型的4個階段——合規驅動階段、風險驅動階段、數據驅動階段、溯源反制階段，既介紹了模型在不同階段的具體表現，又通過真實案例講解了模型的各個階段的安全建設內容。

作者簡介

作者簡介
林寶晶
現就職於青籐雲安全，同時擔任擔任多個銀行的特聘外部網絡安全專家，曾就職於奇安信等多家知名網絡安全公司。從事網絡安全工作20餘年，具有豐富的安全產品研發、產品管理、安全解決方案經驗，對CMM模型有深入的研究。長期研究國外先進的攻防技術與理論模型，對自適應安全架構、安全成熟度模型有較深入的研究。
?錢錢
網絡安全專家，具有豐富的大型央企集團IT運維和安全運維經驗，長期研究國內外安全防御體繫，對網絡安全防御體繫有深入的理解。
?翟少君
奇安信安全服務子公司副總經理，某省運營商特聘網絡安全專家。具有10餘年網絡安全攻防經驗，負責金融、電力等行業的安全服務解決方案，長期從事安全產品綜合解決方案的設計及推廣，對自適應安全架構、網絡安全滑動標尺模型有深入研究與理解。

贊譽
前言
第1章網絡安全模型介紹1
1.1防護檢測響應模型1
1.2信息保障技術框架3
1.2.1IATF的核心思想4
1.2.2IATF體繫介紹5
1.3自適應安全架構6
1.3.1自適應安全架構1.07
1.3.2自適應安全架構2.09
1.3.3自適應安全架構3.0 10
1.4網絡安全滑動標尺模型12
1.4.1架構安全14
1.4.2被動防御15贊譽
前言
第1章網絡安全模型介紹1
1.1防護檢測響應模型1
1.2信息保障技術框架3
1.2.1IATF的核心思想4
1.2.2IATF體繫介紹5
1.3自適應安全架構6
1.3.1自適應安全架構1.07
1.3.2自適應安全架構2.09
1.3.3自適應安全架構3.0 10
1.4網絡安全滑動標尺模型12
1.4.1架構安全14
1.4.2被動防御15
1.4.3主動防御16
1.4.4威脅情報17
1.4.5溯源反制19
第2章網絡安全能力成熟度模型21
2.1美國電力行業安全能力成熟度模型21
2.1.1能力成熟度域23
2.1.2能力成熟度級別25
2.2模型框架26
2.3網絡安全能力成熟度等級30
第3章網絡安全模型內容33
3.1網絡安全團隊33
3.1.1組織架構域34
3.1.2人力資源域37
3.1.3安全意識域39
3.2網絡安全戰略40
3.2.1網絡安全戰略域41
3.2.2網絡安全戰略支持域42
3.3網絡安全管理43
3.3.1安全管理制度域44
3.3.2安全標準域46
3.3.3風險管理域47
3.3.4供應鏈管理域49
3.4網絡安全技術50
3.4.1架構安全域52
3.4.2被動防御域55
3.4.3主動防御域58
3.4.4威脅情報域61
3.4.5溯源反制域63
3.5網絡安全運營65
3.5.1安全評估域66
3.5.2安全監測域69
3.5.3安全分析域71
3.5.4安全響應域73
3.5.5安全服務域74
3.5.6對抗運營域76
第4章合規驅動階段79
4.1網絡安全戰略81
4.2網絡安全組織81
4.3網絡安全管理83
4.4網絡安全技術83
4.5網絡安全運營85
4.6案例87
4.6.1網絡安全戰略88
4.6.2網絡安全組織89
4.6.3網絡安全管理94
4.6.4網絡安全技術建設97
4.6.5網絡安全運營建設114
第5章風險驅動階段119
5.1網絡安全戰略120
5.2網絡安全組織121
5.3網絡安全管理122
5.4網絡安全技術123
5.5網絡安全運營126
5.6案例129
5.6.1網絡安全戰略129
5.6.2網絡安全組織130
5.6.3網絡安全技術建設133
5.6.4網絡安全管理建設139
5.6.5網絡安全運營建設142
第6章數據驅動階段157
6.1網絡安全戰略158
6.2網絡安全組織159
6.3網絡安全管理160
6.4網絡安全技術163
6.5網絡安全運營167
6.6案例171
6.6.1網絡安全戰略171
6.6.2網絡安全組織172
6.6.3網絡安全技術建設173
6.6.4網絡安全管理建設180
6.6.5網絡安全運營建設184
第7章溯源反制階段185
7.1網絡安全戰略186
7.2網絡安全組織186
7.3網絡安全管理188
7.4網絡安全技術189
7.5網絡安全運營192
7.6案例195
後記201

前言

為什麼寫這本書
我擔任網絡安全咨詢顧問多年，在為客戶提供服務的過程中，經常遇到形形色色的問題，比如：我們企業的網絡安全建設目前處於行業中什麼水平？是否可以對我們企業的網絡安全能力做一個可量化的評估？在軟件能力成熟度模型（Capability Maturity Model，CMM）還沒有引入國內的時候，很多從事軟件開發的公司都面臨同樣的困惑。
從業多年，我發現很多企業雖然制定了中長期網絡安全規劃，但是執行落地的過程與規劃相差甚遠。這可能是兩方面原因造成的：一方面是前期規劃設計太“超前”，無法真正落地；另一方面是企業網絡安全團隊不能深入理解規劃設計的內容，在產品采購、集成方面沒有按照規劃來實現。企業想要實現網絡安全長期、有序地發展，除了可以借助外部咨詢團隊，更關鍵的是要將業務發展需求與網絡安全戰略相結合。
我認為企業可以借鋻軟件開發過程中的CMM理論，首先通過對標一些標準化指標體繫，了解自身的安全能力，然後依據不同層級的指標體繫，對安全能力進行規劃。也就是說，依據指標體繫評估企業自身的網絡安全能力並分析差距，再根據評估結果和參照指標持續地完善網絡安全能力。為什麼寫這本書
我擔任網絡安全咨詢顧問多年，在為客戶提供服務的過程中，經常遇到形形色色的問題，比如：我們企業的網絡安全建設目前處於行業中什麼水平？是否可以對我們企業的網絡安全能力做一個可量化的評估？在軟件能力成熟度模型（Capability Maturity Model，CMM）還沒有引入國內的時候，很多從事軟件開發的公司都面臨同樣的困惑。
從業多年，我發現很多企業雖然制定了中長期網絡安全規劃，但是執行落地的過程與規劃相差甚遠。這可能是兩方面原因造成的：一方面是前期規劃設計太“超前”，無法真正落地；另一方面是企業網絡安全團隊不能深入理解規劃設計的內容，在產品采購、集成方面沒有按照規劃來實現。企業想要實現網絡安全長期、有序地發展，除了可以借助外部咨詢團隊，更關鍵的是要將業務發展需求與網絡安全戰略相結合。
我認為企業可以借鋻軟件開發過程中的CMM理論，首先通過對標一些標準化指標體繫，了解自身的安全能力，然後依據不同層級的指標體繫，對安全能力進行規劃。也就是說，依據指標體繫評估企業自身的網絡安全能力並分析差距，再根據評估結果和參照指標持續地完善網絡安全能力。
作為有20多年網絡安全領域從業經驗的人，我認為國內的網絡安全市場需要有符合中國國情的網絡安全能力成熟度模型，一方面可以解決企業在網絡安全建設過程中遇到的問題，另一方面，通過倡導國內形成網絡安全能力成熟度理念，引起國內網絡安全從業者的討論與共鳴，推動網絡安全能力成熟度模型的發展。
本書特點
本書著重介紹網絡安全防御體繫的能力建設。我將結合多年網絡安全從業經驗，運用軟件開發成熟度模型理論，對國內外主流的網絡安全框架（例如ISO27000、NIST 800、等級保護、自適應安全架構、網絡安全滑動標尺模型）進行分析，旨在為各類機構評估自身安全能力提供參考。
此外，本書對模型的解讀不像同類書那麼晦澀難懂，而是采用了成熟的CMM理論，為每個網絡安全能力成熟度等級梳理出清晰的目錄、域、關鍵目標和具體實踐活動，幫助企業結合自己的情況，評估網絡安全短板，依據實踐指標加以完善，並合理開展後續的網絡安全建設。
如何閱讀本書
本書內容從邏輯上分為3個部分。
部分（第1章）主要介紹網絡安全能力成熟度模型的理論，幫助讀者建立一個初步的認識。如果讀者對這些模型已有了解，可以直接閱讀後面的內容。
第二部分（第2和3章）詳細介紹網絡安全能力成熟度模型的架構、演變過程、維度等內容。
第三部分（第4～7章）介紹一些企業案例，並對網絡安全能力成熟度模型的每個層級的實踐加以說明。
讀者對像
本書適合首席信息安全官、網絡安全經理等從事網絡安全規劃及相關工作的人員閱讀。
勘誤和支持
由於水平有限，書中難免出現一些錯誤或者不準確的地方，懇請讀者批評指正。我的聯繫方式是tylin@126.com。
致謝
出書是一個浩大的工程，在寫作期間，我遇到了很多困難，歷經數月纔艱難完成。借此機會感謝所有對本書順利出版提供幫助的朋友和家人，是他們一如既往的鼓勵和支持，纔讓我有動力完成本書的編寫。
特別感謝在工作當中給予我支持的同事，也感謝機械工業出版社華章公司的編輯，他們為本書的寫作提供了寶貴的意見。

林寶晶
2021年6月

商品搜索

商品分类

【醫學】

【各大出版社】