这虽然可能会提高安全性,但却无法全面满足各个组织的需求。最坚固的防御系统同时依赖于“水平”和“垂直”标准。水平标准具有通用性和灵活性,而垂直标准则满足非常特殊的需求。其中两个水平标准的例子尤其突出。
五、水平和垂直标准
ISO/IEC 27000系列标准有助于保护纯信息系统(IT),并确保虚拟世界中的数据自由流动。它提供了一个强大的横向框架,用于在控制措施的实施、维护和持续改进中对照最佳规范进行基准测试。
IEC 62443是另一个横向标准系列,旨在保持OT系统在现实世界中运行。它可以应用于任何工业环境,包括关键的基础设施,如电力设施或核电站,以及卫生和运输部门。IECEE是电工设备和元件的IEC合格评定体系,该体系已建立了基于IEC 62443系列标准的全球认证服务。
补充横向标准是为满足特定行业的需求而设计的定制解决方案。纵向标准涵盖了核部门、工业通信网络、工业自动化和海事行业等的特定安全需求。
六、弹性构建
任何网络安全战略的目标都是尽可能多地保护资产,当然也包括最重要的资产。由于以平等的方式保护每件事是不可行的,因此重要的是要确定哪些东西是有价值的,哪些东西需要最大力度的保护,识别漏洞、然后确定优先级,并建立确保业务连续性的纵深防御体系结构。
实现弹性在很大程度上要理解和减轻风险,以便在系统的适当点上应用正确的保护。至关重要的是,这一过程与组织目标密切相关,因为缓解决策可能会对运营产生严重影响。理想情况下,它应该基于一种涉及整个组织利益相关者的系统方法。
纵深防御的一个关键概念是,安全需要一套协调的措施。在应对网络攻击的风险和后果时,有四个步骤是必须实现的:1.了解系统,明确什么是有价值的,什么是最需要防护的。2.通过威胁建模和风险评估了解已知威胁。3.在国际标准的帮助下,基于全球最佳规范,解决风险并实施保护。4.根据要求采用适当水平的合格评定-测试和认证。
另一种方式是将其视为网络安全的ABC:A是评估、B是解决风险的最佳规范、C是用于检测和维护的合格评定。
基于风险的系统方法不仅展示了基于最佳规范的安全措施使用,还证明一个组织已有效地实施了这一系列措施,这增强了所有利益相关者的信心。也就是说要将正确的标准与适当的合格评定水平相结合,而不是将其视为不同的领域。