메트릭은 의사 결정을 지원하고 관련 성과 관련 데이터를 수집, 분석 및 문서화하는 동안 성과와 책임을 복구하도록 설계된 도구입니다. 컴퓨팅 성능의 요점은 고려되는 활동의 상태를 관찰하고 관찰된 차원을 기반으로 대응 조치를 사용하여 해당 활동의 개선을 촉진하는 것입니다.
메트릭 및 측정값과 같은 보다 포괄적이고 집계된 항목에 대해 여러 용어를 사용하는 경우가 있을 수 있지만 이 문서에서는 해당 용어를 생성합니다.
일부 다른 IT 프로세스, 보안은 수명 주기 모델을 따를 수 있습니다. 제시된 모델은 IDENTIFY-ASSESS-PROTECT-MONITOR의 기본 단계를 따릅니다. 이 수명 주기는 일부 보안 문제에 대한 최상의 기반을 제공합니다. 이 수명 주기 모델을 사용하면 보안이 지속적으로 향상되고 있음을 제공하는 지침이 제공됩니다. 보안 프로그램은 정적 평가나 완성된 제품이 아닙니다. 오히려 고정된 관심과 지속적인 개선이 필요했습니다.
보안 정책 및 표준은 보안 계획의 일부 요소에 대한 기초입니다. 이는 수명 주기의 평가 및 보호 절차 모두에서 특히 중요합니다. 평가 절차는 평가 수행의 핵심으로 표준과 정책을 사용합니다. 리소스는 보안 정책에 따라 계산됩니다. 보호 절차 중에 리소스는 정책 및 표준을 충족하도록 설정됩니다. 이제 수명 주기의 각 단계를 살펴보고 무엇이 포함되어 있는지 확인해 보겠습니다.
식별 − 일부 보안 프로그램의 첫 번째 단계는 보호하려는 대상이 무엇인지 이해하는 것입니다. 식별 절차는 높은 수준에서 시작하여 드릴다운해야 합니다.
평가 − 보안 라이프사이클의 평가 절차는 식별 절차를 구성합니다. 자산이 인식되었으므로 다음 단계는 철저한 보안 평가를 구현하는 것입니다. 평가 절차는 프로세스 및 절차 검토에서 취약성 스캔에 이르기까지 여러 측면을 포괄할 수 있습니다.
평가 절차의 목표는 취약점을 발견할 뿐만 아니라 각 리소스에 대한 추가 정보를 수집하기 위해 모든 수준(서버, 라우터, 방화벽, 응용 프로그램 등)에서 리소스를 테스트하는 것입니다. 식별 절차에서 생성된 리소스에 대한 상위 수준 보기가 더 세부적으로 개선됩니다.
보호 − 네트워크 및 시스템을 매핑하고 일부 취약점을 식별하기 때문에 시스템을 기업 보안 정책 및 표준에 맞게 조정해야 합니다. 이 절차의 초점은 각 시스템 및 네트워크 구성 요소를 구성 및 업그레이드하여 보안을 강화하고 기업 정책을 준수하는 것입니다.
모니터링 − 보안 수명 주기의 마지막 단계는 생성된 보안을 모니터링하는 것입니다. 서버, 방화벽 및 라우터의 보안이 강화되기 때문에 이러한 변경 사항이 그대로 유지되도록 해야 합니다. 또한 기업에 도입되는 새로운 시스템의 준수 여부를 모니터링해야 합니다.