[Chinese]网络信息安全度量和考核指标体系(3)
Ken的观点很有趣,虽然每个人都知道这个管理方面的格言:如果你不能测量它,你就不能管理它。但是,普林斯顿大学爱因斯坦办公室悬挂的一句话:“Not everything that counts can be counted, and not everything that can be counted counts. ”。 同样也是很令人思考的。
将安全事件的数量当作关键KPI – 这虽然非常直观,甚至是管理层很直觉的反应,但是还是不建议将安全事件的数量当作安全运行的KPI,甚至不建议把安全事件解决的时间当作KPI. 因为在很多时候,都很难保证不发生安全事件,或者发生安全事件后一定可以在某段时间内予以解决。例如国内、国外都发生过、或者正在发生着互联网的拒绝服务攻击,包括掌握着巨大资源的运营商都很难避免此类攻击,或者在遭受攻击后很快能制止攻击、或消除影响、恢复业务。我听说的很多例子只是被动地过滤或者更换地址等。这样,安全运行团队的业绩的偶然性就会很大,带来很多不公平的因素。
更为公平一些的指标(Security Metrics)是直接反映团队工作内容或完全可控的目标(Objectives)。
反病毒系统
- 客户端和服务器的安装率
- 病毒定义码升级及时率,例如定义一周或两周以内为及时
- 感染病毒的客户端数量
- 感染病毒的告警数量
- 病毒有关的Helpdesk Ticket数量
客户端安全符合性
- 安全策略符合性,例如XP防火墙,口令、帐号策略等
- 正确命名率
- 客户端管理软件安装率
- 补丁安装及时率
防火墙及网络访问控制
- 设备安全配置符合率
- 访问控制策略符合率
- 访问策略变更响应时间
- 设备可用率
入侵检测系统IDS/IPS
- 手法策略升级及时率
- 事件及时处理
- 系统可用率
….
Recent Comments