基于IPDRR模型能力,每个能力的概念及所要具备的能力产品
基于IPDRR模型能力,每个能力的概念及所要具备的能力&产品
信息安全核心能力矩阵
| 能力领域 | 核心目的 | 关键活动 | 需具备的技术能力/产品 |
|---|---|---|---|
| 安全风险识别 (事前) | 防患于未然 主动发现系统脆弱性及潜在威胁,为防御提供输入。 | 资产发现、漏洞扫描、渗透测试、安全众测、代码审计、架构评审、威胁建模、供应链安全评估 | 漏洞扫描器 (Nessus, Qualys)、SAST (Fortify, Checkmarx)、DAST (AWVS, Burp Suite)、SCA (Black Duck, Snyk)、渗透测试工具 (Kali, Metasploit)、威胁情报平台 (TIP)、攻击面管理平台 (ASM)、CMDB |
| 安全防御 (事前) | 构建防线 实施控制措施,降低被攻击成功的概率。 | 访问控制、安全加固、部署防护系统、数据加密、安全开发流程、暴露面管理、安全基线管理 | 下一代防火墙 (NGFW)、WAF、VPN/零信任网络 (ZTNA)、EDR/EPP、邮件安全网关、数据防泄漏 (DLP)、多因子认证 (MFA)、云安全 posture 管理 (CSPM)、加密技术 |
| 安全检测 (事中/事后) | 发现入侵 持续监控,及时发现绕过防御的攻击活动。 | 实时监控、日志分析、网络流量分析、异常行为检测、威胁狩猎、情报驱动检测 | SIEM (Splunk, Sentinel)、SOAR、EDR (CrowdStrike, SentinelOne)、NDR、IDS/IPS、威胁情报订阅、UEBA |
| 安全响应 (事中) | 遏制止损 快速响应和处理安全事件,防止危害扩大。 | 事件判定、遏制隔离、根源分析、证据留存、应急演练、指挥协调 | SOAR (用于自动化剧本)、工单系统 (Jira, ServiceNow)、取证工具 (FTK, EnCase)、通信工具 (Slack, Teams)、终端隔离功能、网络封禁功能 |
| 安全恢复 (事后) | 恢复学习 快速恢复业务,并从事件中学习以强化体系。 | 数据恢复、系统重建、业务验证、事件复盘、流程改进 | 备份系统 (Veeam, Commvault)、灾难恢复方案 (DR)、容器镜像仓库、代码仓库、知识库 (Confluence) |
各能力关系与数据流
上述五大能力并非孤立,而是一个动态循环的有机整体,其数据流与协作关系如下图所示:
这个闭环确保了安全体系能够从每次事件中学习并持续进化,真正实现“防御-检测-响应-恢复”的良性循环。