袖染墨涼

2022-04-11

目前，企業的網絡信息安全水平評估有兩種方式：一種是基于合規要求的評估；一種是基于實戰視角的評估。合規性要求是基于理論和經驗的標準規范，屬于基線要求。基于實戰視角的評估是實戰視角的檢驗，又可以分為基于攻擊模型的評估方法和攻防演練。攻防演練針對真實網絡或模擬靶場進行攻防對抗，可以最真實的檢驗企業網絡安全水平，但開展的條件相對復雜繁瑣，難以實現常態化。基于攻擊模型的評估方法基于對攻擊技術、方法的認知，結合企業網絡模擬環境對企業網絡安全水平進行評估，是一種可常態化開展的安全評估方法。對于一般企業而言，合規性評估和攻防對抗評估應同步開展；大型企業或地方政府應建立企業網絡靶場以實現常態化的攻防對抗。