当你为你的计划考虑网络安全性度量标准时,你可以选择许多数据源进行混合评估。以下是笔者总结的一些做法,可以让你开始一个全面的安全度量标准计划。请记住,要带着你的目标开始,然后跟据目标精心列出一些问题,这些问题将为管理提供关于信息安全计划和网络安全控制有效性的最好洞察。
漏洞扫描结果:如果你在网络上运行了一个漏洞扫描器,它可以为你提供几个有趣的度量标准:
服务器上的关键漏洞的数量。
可通过防火墙的关键漏洞数量。
解决关键漏洞的平均时间。
系统配置合规信息:微软系统中心配置管理器(Microsoft System Center Configuration Manager)等工具可以为你提供关于工作站状态的详细信息。一些可用来作为安全度量标准的包括:
系统符合安全标准的百分比
防病毒和反间谍软件状态
安全事故频率:这是分割正确的底线:你的企业多久经历一次安全事故?这里的技巧在于确保你有一个一致性的定义,关于“事故”上升到了什么级别。否则,改变定义可能使数据错误。
关于对网络安全的度量的标准的方法总结已经结束了,希望对大家有所帮助。
