企业数字化转型后，如何评估企业的网络信息安全水平？

袖染墨凉

2022-04-11

目前，企业的网络信息安全水平评估有两种方式：一种是基于合规要求的评估；一种是基于实战视角的评估。合规性要求是基于理论和经验的标准规范，属于基线要求。基于实战视角的评估是实战视角的检验，又可以分为基于攻击模型的评估方法和攻防演练。攻防演练针对真实网络或模拟靶场进行攻防对抗，可以最真实的检验企业网络安全水平，但开展的条件相对复杂繁琐，难以实现常态化。基于攻击模型的评估方法基于对攻击技术、方法的认知，结合企业网络模拟环境对企业网络安全水平进行评估，是一种可常态化开展的安全评估方法。对于一般企业而言，合规性评估和攻防对抗评估应同步开展；大型企业或地方政府应建立企业网络靶场以实现常态化的攻防对抗。