对于很多安全工程师们都说，在面对恶意攻击时，没有消息就是最好的消息。

IDC（国际数据公司）安全研究副总裁Lindstrom说：“我们应该对安全事件本身给予更多的关注，而不只是关注我们所写的程序的‘位和字节’。”

 

观数科技是国内第一家Hadoop大数据安全解决方案提供商，在与客户的合作过程中，我们发现并不能将这种忽视网络安全的行为粗暴的定性为"不作为"。行业现状如此，很多时候，这是因为缺乏切实可行、便于操作的安全策略。

下面是翻译IDC（国际数据公司）安全研究副总裁Lindstrom的一篇文章：《衡量一个企业网络安全是否强大的8个关键指标》，略有删改，希望能给你带来一些小帮助。

第一：特权账户持有人

特权账户持有人是企业风险的中心。安全行业从业者都知道，特权账户所掌握的数据跟踪、尤其是对员工的数据访问跟踪非常重要。

通过访问和权限控制这两个功能，我们就可以控制内部员工或者外部人员对关键信息的访问权。

如果企业能详细的记录特权账户使用记录，就表明该企业的安全状况良好。

如管理员知道高风险帐户的使用时间，那他们对信息的暴露时间就有一个更好的掌握。

所以作为专业的安全人员，我们应该经常问自己这类问题：是否要创建新用户？企业环境中存在多少个管理员账户？谁可以访问这些账户？

第二：数据的精确度和位置

数据精确性和位置对企业至关重要。对于安全人员来说，数据记录越完整、越准确，我们就能判断，有多少数据被加密了，多少信息被改变以及数据如何流动。

做好数据的精确记录，也可以帮助我们判断信息是否达到符合法规和安全策略的位置。例如，如果管理人员说90%数据都在内围，10%的数据流到了外部特定的位置，这样我们就很好判断信息是否符合法规和安全策略了。

第三：警报的效率和准确性

每个企业的警报效率必须要有一个规范，需要走规范化的道路。

比如企业将自己收到的安全警报的数量，按每1000台主机进行划分，这样一来针对不同规模的企业，就能做到警报量的规模化了，安全分析师从们也能容处理在自己能力范围内的报警数量了。

此外，警报的准确性同样重要。并非每条警报都有用，警报的数量只有在处理关联的信息时才比较重要。安全团队可以用有用警报占警报总数的百分比来表示。

第四：响应时间

响应时间是指的是安全专家在事件响应模式下花费的时间量，响应时间越小，就表明企业的安全策略越强。

很多企业由于受到缺乏效率和准确性以及封闭率较差等原因影响，平均“停留时间”大概为5-7个月，这就给黑客留下了足够的时间。

第五：关闭率

关闭率显示的是已经完全解决的安全警报和事件的数量，这个指标与警报准确性密切相关。

在企业的系统或者分析不够准确，并且警报不能正确关闭的情况下，这些警报可能继续对网络构成威胁。所以，我们应该努力将这个指标提升至100%。

第六：安全价值比

安全价值比=安全成本总价值÷IT和信息资产的总价值。

企业总是期望以最小的成本，获得最大的价值。安全管理人员也希望通过使用更少的人或钱和时间去做更多的事情。

所以在面对效率和成本之间的冲突时，企业可能需要进行权衡。

比如，就算用户没有进行任何验证，安全部门也可以让用户创建属于他们自己的账户（成本降下来了）；但是，问题也随之而来，由于创建、修改以及删除账户的速率加快，身份管理就弱化了（效率降低）。

第七：成本和损失

企业遭遇入侵后的损失需要用成本和损失来计量。这里的损失包括事件响应和恢复的时间成本和监管成本、法律费用之类的货币成本。

衡量IT操作环境的价值是非常重要的，我们可以通过各种记录来对网络活动进行分级。

还可以按照地理位置、技术平台、业务单元或其他方法对这类信息做进一步的细分。

通过将数据池里面的数据进行比较，我们就可以做一个较为明确的安全预算。

第八：遭遇成功入侵的量

对黑客成功攻击的数量进行跟踪十分重要，在涉及到安全漏洞时，不同规模和类型的业务都有不同的暴露因子。

相对来说，大企业由于更多的数据需要处理，因此更容易受到攻击，例如某些大的金融和医疗机构。

安全管理人员应该对遭遇成功入侵的数量进行跟踪，这样就会对安全有效性与时间之间的关系有一个把握。在理想情况下，这项指标应随着策略的改进而降低。