360集团|360政企安全集团发布重磅方法论，驱动实战化安全能力建设( 二 )_黑客|泄露|客户|驾驶执照|ime

其中最为关键的部分就是如何通过实战衡量和检验每一步建设的成果，主要由三个关键元素来提供支撑，分别是：网络攻击知识图谱、网络安全防御效能和网络安全成熟度模型。

文章插图
360政企安全集团高级副总裁高翰昭
三大基础关联驱动实战规划与度量
【 360集团|360政企安全集团发布重磅方法论，驱动实战化安全能力建设】方法论最关键的部分，也是最大的创新是将网络安全实战攻防元素与传统的网络安全咨询规划建设方法相结合，通过实战度量与改进网络安全能力。具体来说，如何提供实战化的网络安全能力度量与规划？
360政企安全集团产品战略规划专家何帆在“ATT&CK安全能力衡量论坛”上，发表了题为“网络安全能力度量与规划”的演讲，提出其核心是将网络安全攻击框架、防御框架、成熟度模型三者之间产生关联，并分别利用三者进行入侵模拟、防御评估与成熟度评估，并且使三者间前者的评估结果能够为后者提供输入，从而使实战攻防元素与传统的咨询规划方法想结合，形成了实战化的评估与度量方法，最终结合差距分析的结果进行建设规划。
与此同时，何帆在演讲还分享了360在方法论中的实践，构建了360攻防全景知识图谱、网络防御框架、网络安全能力成熟度模型，并使其产生关联，并且将其工程化、自动化，落地本地安全大脑在攻、防、度量的视角中协助各级机构进行网络安全能力的提升。

文章插图
360政企安全集团产品战略规划专家何帆
在网络安全能力度量过程中，更大的挑战是如何能体系化定义面向业务实战的网络安全能力成熟度模型，在当下十四五开年各大部委行业安全负责人思考未来五年网络安全整体规划之际，这一点显得更加重要。在云峰会的“国家关键信息基础设施安全防护研讨峰会”上，360集团战略创新研究院副院长吴露渟带来了题为“关键信息基础设施安全能力体系建设”的演讲。
她指出，关键信息基础设施的安全应建立网络安全综合防御体系。360构建了一套安全能力的成熟度模型。这套模型具有很多特点：第一是量化，安全状态可量化，引入百分制的机制，通过机制对政企现有的安全状态进行评价；第二是能力成熟度建设，这个是360安全能力公式落地的基础工程；第三是持续校验；第四是特色网络安全能力度量标准。

文章插图
360集团战略创新研究院副院长吴露渟
目前，360这套方法论是基于自身服务国家、城市、行业、企事业用户过程中的总结和提炼。从全球经验来看，不同行业都有自身独特的业务战略和安全需求。未来，360政企安全集团希望与各行业、各领域专家共同探索与落地具备行业特色的安全能力建设方法，真正构建起面向未来的新一代安全能力框架。