網(wǎng)絡(luò)安全運營體系建設(shè)方案

網(wǎng)絡(luò)安全運營體系建設(shè)方案

目錄

第1章.網(wǎng)絡(luò)安全運營監(jiān)控工作整體構(gòu)想...........6

1.1.工作目標(biāo)及原則.................................................6

1.1.1.工作目標(biāo)..................................................6

1.1.2.工作原則..................................................7

1.2.安全運營流程分析...............................................9

1.2.1.安全預(yù)測.................................................10

1.2.2.安全防御.................................................11

1.2.3.安全檢測................................................12

1.2.4.安全響應(yīng).................................................12

1.3.安全運營工作架構(gòu)..............................................13

1.3.1.安全防護框架.............................................14

1.3.2,安全運維柩架.............................................15

1.3.3.安全驗證框架.............................................16

1.3.4,安全度量框架.............................................17

1.4.安全運營支撐架構(gòu)..............................................18

1.4.1.安全運營管理中心........................................19

1.4.2.安全防護框架............................................19

1.4.3.安全管理體系............................................19

1.4.4.安全服務(wù)體系............................................20

1.5.安全運營運行模式..............................................20

第2章.安全運營監(jiān)控工作詳細規(guī)劃方案............23

2.1.安全運營監(jiān)控工作規(guī)劃思路......................................24

2.1.1.提升網(wǎng)絡(luò)安全運營監(jiān)控能力................................24

2.1.2.加強網(wǎng)絡(luò)安全運營監(jiān)控手段.................................26

2.1.3.完善網(wǎng)絡(luò)安全運營監(jiān)控管理.................................28

2.2.安全運營監(jiān)控支撐平臺規(guī)劃方案..................................29

2.2.1.大數(shù)據(jù)安全基礎(chǔ)平臺.......................................30

2.2.2.網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺.............................34

2.2.3.情報中心.................................................62

2.2.4.安全控制中心.............................................63

2.3.安全運營服務(wù)規(guī)劃方案.........................................65

2.3.1.威脅檢測服務(wù)............................................66

2.3.2.應(yīng)急響應(yīng)服務(wù)............................................69

2.3.3,滲透測試服務(wù)............................................74

2.3.4.紅藍對抗服務(wù)............................................77

2.3.5.安全風(fēng)險評估............................................83

2.3.6.安全咨詢服務(wù)............................................97

2.4.安全運營管理規(guī)劃方案..........................................99

2.4.1.安全管理架構(gòu).............................................99

2.4.2.安全策略和管理制度......................................100

2.4.3.安全管理機構(gòu)和人員......................................102

2.4.4.安全網(wǎng)絡(luò)安全運營監(jiān)控工作建設(shè)管理........................105

2.4.5,安全運維管理............................................106

2.4.6.文件管理................................................109

第3章.網(wǎng)絡(luò)安全運營監(jiān)控保障工作實施方案...........................111

3.1.安全運營監(jiān)控工作實施框架......................................Ill

3.1.1.組織機構(gòu)優(yōu)化............................................Ill

3.1.2.安全運營梳理............................................112

3.1.3.安全運營試點示范........................................113

3.1.4.安全運營國際化路線......................................114

3.2.安全運營監(jiān)控工作的實施標(biāo)準(zhǔn)...................................114

3.3.安全運營監(jiān)控工作實施方案.....................................115

3.3.1.實施原則.................................................117

3.3.2.安全運營監(jiān)控工作體系.....................................117

第4章.網(wǎng)絡(luò)安全運營保障方案....................122

4.1.網(wǎng)絡(luò)安全運營監(jiān)控管理委員會....................................122

4.2.網(wǎng)絡(luò)安全運營監(jiān)控管理組........................................123

4.3.網(wǎng)絡(luò)安全運營執(zhí)行組............................................123

4.4.網(wǎng)絡(luò)安全運營審核組............................................124

4.5.網(wǎng)絡(luò)安全運營事件應(yīng)急響應(yīng)小組..................................125

4.6.網(wǎng)絡(luò)安全運營保障制度及流程....................................126

4.7.信息資產(chǎn)的安全管理............................................126

4.8.資產(chǎn)的安全等級分類............................................126

4.9.信息的安全標(biāo)記和史理制度......................................126

4.10.信息資產(chǎn)使用的安全管理.......................................127

4.11.資產(chǎn)使用記錄清單.............................................127

4.12.資產(chǎn)責(zé)任人制度...............................................127

4.13.資產(chǎn)的合格使用管理規(guī)定.......................................127

4.14.資產(chǎn)管理制度及流程示例.......................................127

4.15.安服人力資源安全管理.........................................133

4.16.人員選擇的安全管理制度.......................................133

4.17.人員使用安全管理制度.........................................136

4.18.人員職責(zé)終結(jié)或變更的安全管理制度.............................138

4.19.人員離崗離職網(wǎng)絡(luò)安全運營監(jiān)控管理規(guī)定示例.....................138

4.20.安全區(qū)域制度.................................................140

4.21.設(shè)備安全制度.................................................144

4.22.常規(guī)控制措施.................................................149

4.23.通訊及系統(tǒng)操作安全管理.......................................150

5.1.4.檢查過程控制.............................................181

5.2.保密控制和文檔交接............................................182

5.2.1.保密控制.................................................182

5.2.2.保密期限.................................................183

5.2.3.保密信息的歸還和銷毀.....................................183

524.保證183

5.2.5.文檔交接.................................................184

5.3.進度控制措施..................................................184

5.3.1.網(wǎng)絡(luò)安全運營監(jiān)控工作進度控制的前提......................184

5.3.2.網(wǎng)絡(luò)安全運營監(jiān)控工作進度控制主要手段....................185

5.3.3.進度控制內(nèi)容.............................................186

534.不同階段的網(wǎng)絡(luò)安全運營監(jiān)控工作進度控制...................187

第6章.安全運營監(jiān)控工作實施保障措施...........188

6.1.***安全運營管理機制優(yōu)化......................................188

6.1.1.安全運營體系的起草制定.................................188

6.1.2.安全運營體系的推廣與實施................................188

6.1.3.安全運營體系使用過程中的反饋評估........................189

6.1.4.安全運營體系規(guī)范體系的修訂與完善........................189

6.2.安全運營監(jiān)控評價體系建立.....................................189

6.2.1.***安全運營評價總則.....................................189

6.2.2.***安全運營實施思路.....................................191

6.2.3.***安全運營評價框架模型.................................191

6.2.4.***安全運營評價總體框架.................................191

6.2.5.安全運營分項評價指標(biāo)體系................................192

第1章.網(wǎng)絡(luò)安全運營監(jiān)控工作整體構(gòu)想

1.1.工作目標(biāo)及原則

1.1.1.工作目標(biāo)

為切實落實強化公司網(wǎng)絡(luò)安全保障，有效地支撐公司數(shù)字化轉(zhuǎn)型戰(zhàn)

略，建立健全公司網(wǎng)省兩級協(xié)同的網(wǎng)絡(luò)安全運行監(jiān)控機制，形成一體化

的網(wǎng)絡(luò)安全防御、監(jiān)測預(yù)警和應(yīng)急處置體系。主要實現(xiàn)以下工作目標(biāo)：

（一）堅持統(tǒng)籌謀劃、整體推進。統(tǒng)籌公司生產(chǎn)大區(qū)、管理大區(qū)安

全監(jiān)控重點，統(tǒng)籌資源配置和關(guān)鍵技術(shù)管理，構(gòu)建全網(wǎng)網(wǎng)絡(luò)安全監(jiān)測預(yù)

警能力，推進各項任務(wù)的有序開展。

（二）堅持協(xié)同性，強調(diào)分級管控。整合公司內(nèi)部資源，堅持全網(wǎng)

網(wǎng)絡(luò)安全-盤棋，組建網(wǎng)省兩級運行監(jiān)控隊伍，明確工作界面，形成分

級協(xié)同的安全運行監(jiān)控體系。

（三）堅持實戰(zhàn)性，強調(diào)安全運營。重點突出網(wǎng)絡(luò)安全運行監(jiān)控體

系的實戰(zhàn)能力與保障能力，以安全事件發(fā)現(xiàn)、分析研判、通告預(yù)警、響

應(yīng)處置、追蹤調(diào)查為核心，構(gòu)建面向?qū)崙?zhàn)的安全運營體系，將技術(shù)、管

理、流程進行有機整合，支撐業(yè)務(wù)實戰(zhàn)，形成能保障業(yè)務(wù)、促進業(yè)務(wù)的

閉環(huán)安全運營。

（四）堅持及時性，強調(diào)降低安全事件影響范圍。建立網(wǎng)絡(luò)安全運

行監(jiān)測值班機制，確保及時發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，形成網(wǎng)絡(luò)安全與系統(tǒng)運

行協(xié)同的一體化監(jiān)控、應(yīng)急防護體系，統(tǒng)籌協(xié)調(diào)事件處置，全力降低安

全事件影響范圍。

1.1.2.工作原則

＞標(biāo)準(zhǔn)性原則

盡可能地遵循現(xiàn)有的與網(wǎng)絡(luò)安全運營相關(guān)的國際標(biāo)準(zhǔn)、國內(nèi)標(biāo)準(zhǔn)、

行業(yè)標(biāo)準(zhǔn)，包括在技術(shù)框架中與具體的網(wǎng)絡(luò)安全運營技術(shù)相關(guān)的標(biāo)準(zhǔn)，

以及在管理框架中與安全管理相關(guān)的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)性原則從根本上保證

***系統(tǒng)建設(shè)具有良好的全面性、標(biāo)準(zhǔn)性、和開放性。

＞整體性原則

從宏觀的、整體的角度出發(fā)，系統(tǒng)地建設(shè)網(wǎng)絡(luò)安全運營監(jiān)控工作，

不僅僅局限于安全技術(shù)層面，或者技術(shù)層面中孤立的安全技術(shù)，而是全

面構(gòu)架網(wǎng)絡(luò)安全運營技術(shù)體系，覆蓋從***系統(tǒng)物理安全、通信和網(wǎng)絡(luò)

安全、主機系統(tǒng)安全、到數(shù)據(jù)和應(yīng)用系統(tǒng)安全各個層面。同時，建立全

面有效安全管理體系和運行保障體系，使得安全技術(shù)體系發(fā)揮最佳的保

障效果。

＞實用性原則

建立網(wǎng)絡(luò)安全運營監(jiān)控工作，必須針對網(wǎng)絡(luò)和信息系統(tǒng)的特點，在

***系統(tǒng)現(xiàn)狀分析和風(fēng)險評估的基礎(chǔ)上有的放矢地進行，不能簡單地照

抄照搬其它的網(wǎng)絡(luò)安全運營保障方案。同時，網(wǎng)絡(luò)安全運營監(jiān)控工作中

的所有內(nèi)容，都被用來指導(dǎo)網(wǎng)絡(luò)安全運營系統(tǒng)的建設(shè)和管理維護等實際

工作，因此須堅持可操作性和實用性原則，避免空洞和歧義現(xiàn)象。

實用性還體現(xiàn)在網(wǎng)絡(luò)安全運營監(jiān)控工作的建設(shè)過程中，由于內(nèi)容龐

雜，須堅持分步驟的有序?qū)嵤┰瓌t，循序漸進地進行建設(shè)。

＞先進性原則

網(wǎng)絡(luò)安全運營監(jiān)控工作中所涉及的安全技術(shù)和機制，應(yīng)該具有一定

的先進性和前脂性，既能夠滿足當(dāng)前系統(tǒng)的安全要求，又能夠滿足

系統(tǒng)未來3到5年時間內(nèi)，網(wǎng)絡(luò)安全運營系統(tǒng)建設(shè)的需要，為網(wǎng)絡(luò)和信

息系統(tǒng)提供有效的安全服務(wù)保障。

1.2.安全運營流程分析

網(wǎng)絡(luò)安全運營監(jiān)控工作活動應(yīng)該主要包括兩個方面：

第一、未雨綢繆，卻在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險評估、

制定安全計劃、安全意識的培訓(xùn)I、以發(fā)布安全通告的方式進行的預(yù)警、

以及各種防范措施；

第二、亡羊補牢，即在事件發(fā)生后采取的措施，其目的在于把事件

造成的損失降到最小。這些行動措施可能來自于人，也可能來自系統(tǒng)，

不如發(fā)現(xiàn)事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后

門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

以上兩個方面工作是相互補充的。首先，事前的計劃和準(zhǔn)備為事件

發(fā)生后的響應(yīng)動作提供了指導(dǎo)框架，否則，響應(yīng)動作將陷入混亂，而這

些毫無章法的響應(yīng)動作有可能造成比事件本身更大的損失；其次，事后

的響應(yīng)可能發(fā)現(xiàn)事前計劃的不足，吸取教訓(xùn)，從而確保完善安全計劃。

因此，這兩個方面應(yīng)該形成一種正反饋的機制，逐步強化組織的安全防

范體系。

圖1.1安全運營流程分析

網(wǎng)絡(luò)安全運營監(jiān)控工作流程可參考上圖中的自適應(yīng)安全框架，以資

產(chǎn)為基礎(chǔ)，以持續(xù)監(jiān)控與分析為核心，整個安全運營流程可分為防御、

檢測、響應(yīng)、預(yù)測四個維度，自適應(yīng)于不同基礎(chǔ)架構(gòu)和業(yè)務(wù)變化，形成

統(tǒng)一的安全策略。

1.2.1.安全預(yù)測

網(wǎng)絡(luò)安全運營監(jiān)控工作流程中安全預(yù)測應(yīng)該基于資產(chǎn)進行安全預(yù)

測，雖然***都明確要求進行定期資產(chǎn)風(fēng)險檢查，并頒布了明確的信息

系統(tǒng)安全資產(chǎn)檢查指導(dǎo)性文件。但目前還是存在一定的不足與缺陷，網(wǎng)

絡(luò)安全運營監(jiān)控工作最重要就是保障平臺資產(chǎn)安全，因此需要對平臺資

產(chǎn)管理定期管理，獲取并記錄資產(chǎn)中的主機及傳統(tǒng)服務(wù)器上系統(tǒng)的上的

各個端口、網(wǎng)站、Web容器、第三方組件、數(shù)據(jù)庫、進程、賬號等信息,

進行統(tǒng)一的管理和清點解決安全運營階段中網(wǎng)絡(luò)安全監(jiān)控能力和分析

能力不足的難題，尤其針對網(wǎng)絡(luò)新常態(tài)下，暴露資產(chǎn)監(jiān)控、入侵行為追

蹤、高級威脅監(jiān)控、失陷主機發(fā)現(xiàn)、漏洞閉環(huán)管理、攻擊鏈還原、威脅

情報管理等多種高價值安全業(yè)務(wù)和場景的監(jiān)控與管理。。

但只有通過統(tǒng)一資產(chǎn)管理從可實時掌握IT系統(tǒng)內(nèi)部的資產(chǎn)情況，支

持資產(chǎn)變更分析對各類資產(chǎn)的變動情況進行記錄，便于審計歷史變動，

自主發(fā)現(xiàn)異常行為；從而了解資產(chǎn)的風(fēng)險，提前做出預(yù)測，從外部威脅

及系統(tǒng)自身脆弱性兩個維度進行全面分析，站在威脅視角，以網(wǎng)絡(luò)入侵、

異常流量和僵木蠕為切入點，做到知彼；站在脆弱性視角，以系統(tǒng)漏洞

和網(wǎng)站安全為切入點，做到知己，提供全方位、全天候的感知能力。

1.2.2.安全防御

在網(wǎng)絡(luò)安全運營監(jiān)控安全防御工作，我們可以根據(jù)安全預(yù)測的結(jié)果

及時調(diào)整安全防護措施，幫助解決網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機資產(chǎn)等各

類形態(tài)IT資產(chǎn)，所產(chǎn)生的安全信息孤島難以形成威脅情報的難題。利

用數(shù)據(jù)采集、實時或準(zhǔn)實時等檢測技術(shù)手段，分析和發(fā)現(xiàn)攻擊行為、流

量異常等安全威脅，通過打通各系統(tǒng)間產(chǎn)生的安全數(shù)據(jù)，轉(zhuǎn)化為安全情

報，實現(xiàn)單一的安全信息能力轉(zhuǎn)化為自適應(yīng)安全，言息能力，彌補用戶在

網(wǎng)絡(luò)安全運營數(shù)據(jù)整合能力、威脅行為預(yù)判能力上可能存在的短板。平

臺各開啟各類監(jiān)控包括登錄監(jiān)控、完整性監(jiān)控、操作審計、進程監(jiān)控、

資源監(jiān)控、性能監(jiān)控。從端點安全的角度，全天侯監(jiān)控服務(wù)器的運行情

況，能確保第一時間發(fā)現(xiàn)服務(wù)器問題，最大限度的縮小排除故障時間，

幫助單位快速發(fā)現(xiàn)安全風(fēng)險和性能瓶頸。另外，通過安全預(yù)測發(fā)現(xiàn)的問

題系統(tǒng)能自動進行問題歸類到漏洞風(fēng)險及入侵威脅模塊中，方便管理人

員做針對性是理。

1.2.3.安全檢測

日常安全檢測是不可缺少的工作，能夠?qū)崟r掌握安全風(fēng)險狀況，極

大的降低突發(fā)事件出現(xiàn)的概率，從安全維護成本上考慮非常有利。通過

安全檢測對信息系統(tǒng)配置操作是否安全，是安全風(fēng)險控制的重要方面，

安全配置錯誤一般是人員操作失誤導(dǎo)致，而滿足大量信息系統(tǒng)設(shè)備的安

全配置要求，對人員業(yè)務(wù)水平、技術(shù)水平要求相對較高，所以一些行業(yè)

和大型企業(yè)制定了針對自身業(yè)務(wù)系統(tǒng)特點的配置檢查Checklist和操作

指南，而國務(wù)院《中華人民共和國計算機信息系統(tǒng)安全保護條例》（147

號令）以及公安部頒布的一系列網(wǎng)絡(luò)安全運營等級保護標(biāo)準(zhǔn)，也明確了

信息系統(tǒng)安全等級保護測評的綱領(lǐng)性要求。

但行業(yè)規(guī)范和等級保護綱領(lǐng)性規(guī)范要求讓運維人員有了安全檢測風(fēng)

險的標(biāo)準(zhǔn)，但是面對網(wǎng)絡(luò)中種類繁雜、數(shù)量眾多的服務(wù)器，如何快速、

有效的檢查，又如何集中收集核查的結(jié)果，以及制作風(fēng)險審核報告，并

且最終識別那些與安全規(guī)范不符合的網(wǎng)絡(luò)安全運營監(jiān)控工作，以達到整

改合規(guī)的要求，這些是安全檢測面臨的難題。

1.2.4.安全響應(yīng)

網(wǎng)絡(luò)安全響應(yīng)是指在對網(wǎng)絡(luò)安全事件的事前預(yù)防、事發(fā)應(yīng)對、事中

處置和善后恢復(fù)過程中，通過建立必要的應(yīng)對機制，采取一系列必要措

施，應(yīng)用科學(xué)、技術(shù)、規(guī)劃與管理等手段，保障公眾財產(chǎn)、基礎(chǔ)設(shè)施、

應(yīng)用系統(tǒng)、信息數(shù)據(jù)等安令，促進社會和諧健康發(fā)展的有關(guān)活動，因為

安全響應(yīng)是無規(guī)律可尋找的，因此我們在日常安全響應(yīng)工作中要制定規(guī)

范的應(yīng)急響應(yīng)預(yù)案。

應(yīng)急響應(yīng)預(yù)案是指針對可能發(fā)生的事故，為迅速、有序地開展

應(yīng)急行動而預(yù)先制定的行動方案。網(wǎng)絡(luò)安全應(yīng)急預(yù)案應(yīng)形成體系，針對

各級各類可能發(fā)生的網(wǎng)絡(luò)安全事件和所有風(fēng)險源制定專項應(yīng)急預(yù)案和

處置方案，并明確事前、事發(fā)、事中、事后的各個過程中相關(guān)部門和有

關(guān)人員的職責(zé)。要明確了各類網(wǎng)絡(luò)安全事件分級分類和預(yù)案框架體系，

規(guī)定了應(yīng)對網(wǎng)絡(luò)安全事件的組織體系、工作機制等內(nèi)容，是指導(dǎo)預(yù)防和

處置各類網(wǎng)絡(luò)安全事件的規(guī)范性文件。綜合應(yīng)急預(yù)案是從總體上闡述處

理網(wǎng)絡(luò)安全事件的應(yīng)急方針、政策，應(yīng)急組織結(jié)閡及相關(guān)應(yīng)急職責(zé)，應(yīng)

急行動、措施和保障等基本要求和程序，是應(yīng)對各類網(wǎng)絡(luò)安全事件的綜

合性文件。

1.3.安全運營工作架構(gòu)

為確保安全運營工作架構(gòu)能夠靈活擴展，方案將安全運營架構(gòu)按業(yè)

務(wù)功能分為四個模塊進行描述：安全防護框架、安全運維框架、安全驗

證框架、安全度量框架，

y

圖1.3安全運營框架

1.3.1.安全防護框架

安全防護框架包括檢測與防護兩部分，主要通過在網(wǎng)絡(luò)不同層次不

同域部署各類安全監(jiān)測探針，提供實時檢測能力，為安全運維框架提供

可視化信息采集，并通過安全防護設(shè)備策略設(shè)置，實現(xiàn)安全防護。安全

運維框架主要是統(tǒng)一采集安全防護框架各探針的撿測數(shù)據(jù)，并做進一步

的處理及關(guān)聯(lián)分析，通過統(tǒng)一展示平臺輸出事件告警數(shù)據(jù)，進入事件處

理平臺和流程，人工介入處理。安全運維框架還包括安全事件的定期

review和向管理層匯報.安全驗證框架主要是綜合通過黑盒白盒瞼證措

施，確保安全防護框架和安全運維框架有效性。安全度量框架通過一系

列的安全度量指標(biāo)，衡量評價安全運營質(zhì)量水平，并針對性持續(xù)過程改

進，實現(xiàn)質(zhì)量的螺旋上升。

系統(tǒng)安全保護環(huán)境由安全計算環(huán)境，安全區(qū)域邊界，安全通信網(wǎng)絡(luò)

和（或）安全管理中心組成。相應(yīng)的，我們認(rèn)為安全防護框架由安全計

算環(huán)境，安全區(qū)域邊界和安全通信網(wǎng)絡(luò)組成。由于目標(biāo)環(huán)境主要由傳統(tǒng)

數(shù)據(jù)中心環(huán)境及云計算環(huán)境組成，我們在防護框架上也主要考慮通用安

全計算環(huán)境及云計算環(huán)境的需要。

其中，通用安全計算環(huán)境主要包括用戶身份鑒別、訪問控制、安全

審計、數(shù)據(jù)完整性保護、數(shù)據(jù)保密性保護、客體安全重用、入侵檢測、

惡意代碼防范等要求。針對云安全計算環(huán)境，除上述要求在云計算環(huán)境

的體現(xiàn)外，還需要包括數(shù)據(jù)備份與恢復(fù)、虛擬化安全、鏡像和快照安全

等要求。

通用安全區(qū)域邊界包括區(qū)域邊界訪問控制、區(qū)域邊界包過濾、區(qū)域

邊界安全審計、區(qū)域邊界完整性保護等要求。云安全計算環(huán)境出上述要

求的體現(xiàn)外，還包括區(qū)域邊界結(jié)構(gòu)安全。

通用安全通信網(wǎng)絡(luò)要求包括通信網(wǎng)絡(luò)安全審計，通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整

性保護，通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護等要求，對云安全通信網(wǎng)絡(luò)設(shè)計,

還需要考慮通信網(wǎng)絡(luò)可信接入保護。

安全防護設(shè)備通?？杉孀霭踩芾砥脚_的探針，把各類檢測數(shù)據(jù)、

防護日志、安全審計記錄等傳輸?shù)桨踩芾砥脚_做進一步的處理分析。

亦可部署專用數(shù)據(jù)探針，采集環(huán)境數(shù)據(jù)并上傳到安全管理平臺。安全運

維框架的數(shù)據(jù)上傳，需要考慮到底是發(fā)送原始檢測信息還是處理后的監(jiān)

測告警信息。在需要對事件進行取證溯源的情況下，需要盡量發(fā)送原始

信息，以便于安全管理平臺進行分析。

1.3.2.安全運維框架

安全運維框架的建設(shè)目標(biāo)是成為企業(yè)安全的大腦、神經(jīng)中樞、耳

目和手腳。安全運維框架包括安全管理中心、人與流程三部分。

安全管理中心是企業(yè)安全的大腦及神經(jīng)中樞，通?；诖髷?shù)據(jù)分

析平臺基礎(chǔ)上進行建設(shè),安全運營管理中心應(yīng)當(dāng)包括系統(tǒng)管理、安全管

理、審計管理。對系統(tǒng)管理，可通過系統(tǒng)管理員對系統(tǒng)的資源和運行進

行配置和控制。對安全管理，需具有對攻擊行為回溯分析及對網(wǎng)絡(luò)安全

事件進行預(yù)測和預(yù)警的能力；需具有對網(wǎng)絡(luò)安全態(tài)勢進行感知、預(yù)測和

預(yù)判的能力。

安全運維框架的耳目是安全情報、安全監(jiān)視和偵察系統(tǒng)。通過安全

防護框架中的探針數(shù)據(jù)采集，實現(xiàn)異常行為的實時監(jiān)測。通過介入安全

情報，讓安全運維框架看的更遠。

安全運維框架的建設(shè)，需要建設(shè)事件處理安全運營監(jiān)控流程，納入ITIL

事件管理流程，通過下發(fā)工單和發(fā)送告警郵件、短信等方式進行安全提

醒。而安全事件的確認(rèn)和溯源分析及處置常常通過自動化結(jié)合人工分析

和確認(rèn)的方式進行。對于100%確定異常的安全攻擊可以通過自動化方式

進行阻斷。通過安全事件日報、周報、月報等方式對安全事件進行閉環(huán)

管理。

1.3.3.安全驗證框架

安全驗證框架解決安全有效性問題，承擔(dān)對安全防護和安全運維

兩個框架的功能驗證。安全驗證框架是企業(yè)安全的藍軍，在和平時期，

藍軍扮演著對手角色，利于及時發(fā)現(xiàn)、評估、修復(fù)、確認(rèn)和改進安全防

護和運維框架中的脆弱點。包括白盒檢測（過程驗證）和黑和檢測（結(jié)

果驗證）兩部分。

白盒檢測（過程驗證）是指建立自動化驗證平臺，對安全防護框架

的管控措施實現(xiàn)100%的全面驗證，并可視化集成至安全管理平臺中，管

控措施失效能夠在指定時間內(nèi)發(fā)現(xiàn)。通過自動化驗證平臺達到：

1）驗證探針安全監(jiān)測功能有效；

2）驗證探針?biāo)a(chǎn)生監(jiān)測信息到安全管理平臺的信息采集有效；

3）驗證安全管理中心的安全檢測規(guī)則有效；

4）驗證告警方式（郵件、短信與可視化展示）有效。

基于上述目標(biāo)，自動化驗證要求所驗證事件必須為自動化模擬真實事件

產(chǎn)生，不能使用插入記錄方式產(chǎn)生，同時自動化驗證事件應(yīng)提供判斷是

否為驗證事件的唯一標(biāo)識。安全管理平臺應(yīng)能檢測到驗證未通過的系統(tǒng)

和規(guī)則，并產(chǎn)生告警信息，通知運維人員介入處理。

黑盒檢測（結(jié)果臉證）是通過多渠道安全滲透機制和紅藍對抗演

習(xí)等，先于對手發(fā)現(xiàn)自己的漏洞和弱點。滲透測試及紅藍對抗演習(xí)需要

企業(yè)具有較高攻防技能的安全人員，也可聘請專業(yè)安全服務(wù)機構(gòu)完成，

用于檢測安全防護框架和安全運維框架的有效性。

1.3.4.安全度量框架

安全度量框架主要用于衡量評價安全有效性。安全度量框架可以分

為如下幾個層次：

一是技術(shù)維度。通過配置核查系統(tǒng)對資產(chǎn)合規(guī)性進行檢測，包括防病毒

軟件的安袋率、正常率，各類策略配置是否符合合規(guī)性要求：入侵檢測

的檢測率，防護有效性、誤報率；安全事件的發(fā)生頻率，響應(yīng)時長、處

理時長；高危預(yù)警漏洞排查所需時間和完全修復(fù)時間?；谫Y產(chǎn)脆弱性

及所受威脅進行資產(chǎn)風(fēng)驗評估?；诟黝愴憫?yīng)及處置情況及事件發(fā)生趨

勢進行安全運維狀況評估。部分?jǐn)?shù)據(jù)指標(biāo)可由安全管理平臺直接計算得

出；部分指標(biāo)需要通過管理平臺數(shù)據(jù)結(jié)合人工分析得到。

一是安全運營成效3包括覆蓋率、檢出率、攻防對抗成功率。有多

少業(yè)務(wù)和系統(tǒng)處于安全保護之下，有多少無人問津的灰色地帝。檢出率

和攻防對抗成功率都是衡量安全有效性的有效指標(biāo)。安全運營成效的度

量，可以結(jié)合安全驗證框架進行。

三是安全滿意度和安全價值。安全價值反映在安全對業(yè)務(wù)支撐的能

力，TCO/ROI,安全用多少資源，支撐了多少業(yè)務(wù)，支撐的程度。安全

價值還體現(xiàn)在內(nèi)部的影響力以及對業(yè)務(wù)的影響力，是做微觀安全還是廣

義安全，是為業(yè)務(wù)帶來正面影響還是負(fù)分拖后腿。安全滿意度是綜合維

度指標(biāo)，可理解為是對安全團隊和人員的最高要求，既要滿足上級領(lǐng)導(dǎo)

和業(yè)務(wù)部門對安全的利益訴求，又要滿足同級橫向其他IT團隊對安全

的利益訴求，還要滿足團隊內(nèi)部成員的利益訴求，要提供最佳的安全服

務(wù)，讓安全的用戶成為安全的客戶，讓使用者滿意，真的是非常非常有

挑戰(zhàn)的一件事情。這種度量往往結(jié)合使用者訪談等方式進行。

1.4.安全運營支撐架構(gòu)

結(jié)合上述運營流程分析及安全運營架構(gòu)，設(shè)計如下運營支撐體系

組成架構(gòu)：

態(tài)勢感知與運維平臺?安全控制中心■ITIL平臺

安

全

驗

證

抵

安

全

架

度7安全域與邊界安全防護

梅

梨

安全防護框架

運營支撐體系組成架構(gòu)

運營支撐體系主要由安全運營管理中心、安全防護框架、安全管理

體系，安全服務(wù)體系組成。

安全運維架構(gòu)中的安全運維框架、安全驗證庵架、安全度量框架三

大模塊，由安全運營管里中心、安全管理體系、安全服務(wù)體系共同實現(xiàn)。

1.4.1.安全運營管理中心

安全運營管埋中心是整個運營支撐體系的大胸和神經(jīng)中樞。包括網(wǎng)

絡(luò)安全運營監(jiān)控態(tài)勢分析平臺、4A平臺、情報中心、安全控制中心、ITIL

平臺五部分。其中網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺實現(xiàn)整體網(wǎng)絡(luò)安全態(tài)

勢感知和運維管理功能。4A平臺對整個網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)及用戶實現(xiàn)集中賬

號管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計管理的功能。安全控

制中心實現(xiàn)封堵、下發(fā)防護策略、SDN流表策略控制等的功能。ITIL平

臺主要實現(xiàn)事件處置流程處理，如工單管理等功能。情報中心接入多源

情報信息，并提供給安全管理平臺進行關(guān)聯(lián)使用。

1.4.2.安全防護框架

安全防護框架包括安全域建設(shè)及邊界安全防護，傳統(tǒng)數(shù)據(jù)中心防

護，私有云安全防護，實現(xiàn)對數(shù)據(jù)中心網(wǎng)絡(luò)的防沙措施，以及為安全管

理平臺提供探針功能，進行安全數(shù)據(jù)及審計數(shù)據(jù)的采集。

1.4.3.安全管理體系

安全管理體系通過機構(gòu)和人員管理、制度和規(guī)范管理實現(xiàn)安全組織

保障，并指導(dǎo)安全建設(shè)、安全運維從流程運行的角度開展系統(tǒng)全生命周

期的管理實施工作。

1.4.4.安全服務(wù)體系

安全服務(wù)體系引入專家服務(wù)的視角。本著“讓專業(yè)的人做專業(yè)的

事”的原則，通過安全專家，提供威脅檢測與響應(yīng)服務(wù)、應(yīng)急響應(yīng)服務(wù)、

安全評估服務(wù)、滲透測試、紅藍對抗服務(wù)，滿足安全運維、安全驗證、

安全度量等的需要。

1.5.安全運營運行模式

安全運營支撐體系包括三個基本元素和一個目標(biāo)。

三個基本元素分別對應(yīng)于人、技術(shù)和流程，這三個要素互相關(guān)聯(lián)、

互相制約，共同決定安全防護體系運行的成效。

基本元素“人”強調(diào)人員組織，突出了任何一個體系中人的重要作

用。對于“人”的建設(shè)不僅僅是安全組織機構(gòu)的建設(shè)，確立人員的職責(zé)，

更重要的是制定安全策略，安全管理規(guī)范和安全指南。安全策略詳細描

述了網(wǎng)絡(luò)安全運營各方面的目標(biāo)，用于指導(dǎo)安全管理規(guī)范和安全指南的

建設(shè)和修改；安全規(guī)范為“人”提供了安全行為的規(guī)范和制度，安全指

南為實施安全的管理人員或者最終用戶提供了安全操作的具體指南和

手冊。同時，安全建設(shè)由于其復(fù)雜性和全面性的要求，一個完整的安全

組織架構(gòu)還必須有外部安全服務(wù)體系作為有力支撐。此外，對于安全管

理規(guī)范的制定只是安全管理的第一步，更為重要的是如何將安全管理規(guī)

范有效地推廣和實施，真正成為的安全標(biāo)準(zhǔn)和人員的行為準(zhǔn)則。

基本元素“技術(shù)”涉及運營支撐體系建設(shè)的整個生命周期，“創(chuàng)造

價值的不是技術(shù)本身，而是通過技術(shù)的部署和實現(xiàn)有效地滿足了網(wǎng)絡(luò)的

需求”，同樣，安全技術(shù)的價值也是體現(xiàn)在通過安全技術(shù)的部署和實現(xiàn),

推動安全服務(wù)提高水平，滿足業(yè)務(wù)需求。

因此，“技術(shù)”體系以業(yè)務(wù)視角為起點，對資產(chǎn)進行歸類，梳理關(guān)

鍵業(yè)務(wù)流，分析評估風(fēng)險，確定風(fēng)險控制的環(huán)節(jié)，最終實現(xiàn)具體的安全

功能。

以網(wǎng)絡(luò)安全運營評估為切入點和著手點，識別評價當(dāng)前的網(wǎng)絡(luò)安全

運營風(fēng)險，作為安全設(shè)計和規(guī)劃的依據(jù)。同時，風(fēng)險會不斷變化，風(fēng)險

的管理也必然是動態(tài)和長期的，整個技術(shù)體系都應(yīng)當(dāng)不斷地根據(jù)新的風(fēng)

險的引入響應(yīng)變化。動徐的安全風(fēng)險管理思想指導(dǎo)用戶關(guān)注、監(jiān)控風(fēng)險,

在風(fēng)險累積到一定程度，危害業(yè)務(wù)安全時，及時進行安全策路的調(diào)整和

新一輪的安全體系完善建設(shè)。

基本元素“流程”漠塊不但是技術(shù)和人之間的橋梁，也是安全運營

支撐體系與整個IT服務(wù)管理體系的界面。等級保護支持的各個流程：

安全策略和管理制度、安全管理機構(gòu)和人員、安全建設(shè)管理、安全運維

管理等流程規(guī)范了安全管理活動，按照流程的方式加以組織，并且賦予

每個流程以特定的目標(biāo)、范圍和職能，安全管理對組織業(yè)務(wù)的支持更為

徹底和有效。等級保護管理流程為安全管理提供了最佳的操作實踐。安

全事件可以作為事故管理流程的輸入，安全知識庫可以作為問題管理流

程的輸入，任何安全操作必須按照變更管理和配置管理流程進行。

“一個目標(biāo)”體現(xiàn)了安全運營支撐體系建立的最終目的，是為了保障

網(wǎng)絡(luò)安全運行。而衡量是否達到目標(biāo)的方法就是定義、評價和管理服務(wù)

級別。因此，安全的目標(biāo)的量化體現(xiàn)就是安全體系框架所描述的安全服

務(wù)提供水平。之所以要在安全體系框架中引入ITIL服務(wù)提供，一個重

要的原因是：ITIL要求在服務(wù)中設(shè)計并制定出一致的、可衡量的網(wǎng)絡(luò)安

全運營指標(biāo)，而不是事后著手。

安全體系框架人、技術(shù)、流程本身是互相關(guān)秩，相互作用的關(guān)系。

人是核心，技術(shù)是基礎(chǔ)架構(gòu)和載體，流程是導(dǎo)向。三要素共同支撐實現(xiàn)

了最終的目標(biāo)：保障系統(tǒng)安全，安全服務(wù)滿足業(yè)務(wù)所要求的服務(wù)提供水

平。

綜上，無論技術(shù)和流程，都應(yīng)遵循持續(xù)改進的永恒定律，逐步培育

出自適應(yīng)的安全運營支撐體系。

圖L4持續(xù)改進的體系運行模式

第2章.安全運營監(jiān)控工作詳細規(guī)劃方案

安全運營監(jiān)控工作的形成并非一蹴而就，單位管理者應(yīng)重視安全體

系建設(shè)，建立起“以人員為核心、以數(shù)據(jù)為基礎(chǔ)、以運營為手段”的安

全運營模式，逐步形成威脅預(yù)測、威脅防護、持續(xù)檢測、響應(yīng)處置的閉

環(huán)安全工作流程，打造“四位一體”的閉環(huán)安全運營體系，通過日常網(wǎng)

絡(luò)安全建設(shè)和安全運營的日積月累，建立起相應(yīng)的安全技術(shù)、管理、運

營體系，形成面向?qū)崙?zhàn)的安全防御能力，主要方式可以通過以下方面進

行：

（一）進一步加強網(wǎng)絡(luò)安全運營監(jiān)控的規(guī)范與管理辦法的建設(shè)，并進一

步細化相關(guān)配套措施，優(yōu)化安全運營管理全程規(guī)范體系；

（二）優(yōu)化統(tǒng)一的網(wǎng)絡(luò)安全運營監(jiān)控中心，統(tǒng)一指導(dǎo)、統(tǒng)一協(xié)調(diào)、統(tǒng)一

督促關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急管理、公共基礎(chǔ)設(shè)施信息系統(tǒng)網(wǎng)絡(luò)安全運營

管理等工作；

（三）關(guān)注網(wǎng)絡(luò)安全運營監(jiān)控管理文化建設(shè)，通過多種方法、多種形式

對人員進行不同層面的網(wǎng)絡(luò)安全意識教育，提高全民網(wǎng)絡(luò)安全意識；

建立完善的預(yù)警檢測和通報機制，及時分析安全，’言息，發(fā)布警報信息和

制訂預(yù)警預(yù)案，做到有備無患；

（四）應(yīng)密切跟蹤網(wǎng)絡(luò)網(wǎng)絡(luò)安全運營領(lǐng)域新技術(shù)和新應(yīng)用的發(fā)展，開展

新的網(wǎng)絡(luò)框架下網(wǎng)絡(luò)安全問題的研究，以有效應(yīng)對網(wǎng)絡(luò)網(wǎng)絡(luò)安全運營面

臨的各種挑戰(zhàn)；

（五）積極支持網(wǎng)絡(luò)安全學(xué)科專業(yè)和培訓(xùn)機構(gòu)建設(shè)，努力培養(yǎng)一支管理

能力強、業(yè)務(wù)水平高、技術(shù)素質(zhì)過硬的安全運營管理人才和網(wǎng)絡(luò)安全應(yīng)

急處置人才隊伍：

（六）建立健全網(wǎng)絡(luò)安全運營監(jiān)控工作評估機制，由定性走向定量，建

立統(tǒng)一規(guī)范的網(wǎng)絡(luò)安全運營監(jiān)控規(guī)則、工具、方法和評價標(biāo)準(zhǔn)體系，確

保網(wǎng)絡(luò)安全運營監(jiān)控工作的安全運營監(jiān)控和規(guī)范化；

（七）建立全方位的、開放的、統(tǒng)一的網(wǎng)絡(luò)安全運營監(jiān)控工作經(jīng)驗

交流，推進行業(yè)、地區(qū)相互觀摩，以加強橫向交流和溝通，通過總結(jié)經(jīng)

驗，把網(wǎng)絡(luò)安全運營監(jiān)控工作的最佳實踐及時進行推廣。

2.1.安全運營監(jiān)控工作規(guī)劃思路

2.1.1.提升網(wǎng)絡(luò)安全運營監(jiān)控能力

（1）建立安全運營監(jiān)控支撐平臺

借鑒國際相關(guān)成立網(wǎng)絡(luò)安全運營監(jiān)控中心的建設(shè)經(jīng)驗，可以選擇安

全設(shè)備及桌面軟件及相關(guān)決策支持系統(tǒng)為突破口，不斷提高網(wǎng)絡(luò)安全運

營監(jiān)控信息化水平和實用性。通過自主創(chuàng)新和外交合作，加快平臺化建

設(shè)，建立基于云計算的，集預(yù)警通報、信息共享、應(yīng)急指揮協(xié)調(diào)于一體

的網(wǎng)絡(luò)安全運營監(jiān)控模擬中心。在線模擬突發(fā)事件處置流程和實際操作

檢驗，通過系統(tǒng)進行任務(wù)設(shè)定和模擬演練，演練結(jié)束后，也由系統(tǒng)進行

電子測評。最終形成演練全程記錄及報告，對演練過程作出評估。建議

成立網(wǎng)絡(luò)安全運營監(jiān)控中心，建立統(tǒng)一的網(wǎng)絡(luò)安全運營監(jiān)控管理平臺工

作機制和指引，集中力量重點建設(shè)一批具有世界先進水平的國家級、區(qū)

域性、行業(yè)性網(wǎng)絡(luò)安全運營監(jiān)控中心，使其成為網(wǎng)絡(luò)安全運營監(jiān)控的科

研、訓(xùn)練、保障和國際交流的重要基地，并通過成果示范提升行業(yè)整體

水平。網(wǎng)絡(luò)安全運營監(jiān)控中心的建立，也將偏流程的網(wǎng)絡(luò)安全運營監(jiān)控

工作轉(zhuǎn)變?yōu)槿嫜菥?，真正提高網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全運營監(jiān)控工作的管理

和技術(shù)水平。

(2)提高網(wǎng)絡(luò)安全運營監(jiān)控水平

立足我***實際情況，堅持理論先行和標(biāo)準(zhǔn)先行，通過技術(shù)攻關(guān)和

實驗試點，盡快建立統(tǒng)一規(guī)范的網(wǎng)絡(luò)安全運營監(jiān)空規(guī)則、網(wǎng)絡(luò)安全運營

監(jiān)控平臺、網(wǎng)絡(luò)安全運營監(jiān)控方法和評價標(biāo)準(zhǔn)體系及其定期修編制度，

確保網(wǎng)絡(luò)安全運營監(jiān)控的安全運營監(jiān)控和規(guī)范化。其中建立健全網(wǎng)絡(luò)安

全運營監(jiān)控績效評估機制，由定性走向定量，由僅注重實施環(huán)節(jié)走向覆

蓋全過程，是網(wǎng)絡(luò)安全運營監(jiān)控評估工作的發(fā)展趨勢。建立明確方法，

量化指標(biāo)，通過系統(tǒng)的全過程全方位的評估總結(jié)，將網(wǎng)絡(luò)安全運營監(jiān)控

工作過程中的感性認(rèn)識提升為理性認(rèn)識，并進而轉(zhuǎn)化為預(yù)期的應(yīng)急能

力。

與此同時，加大行業(yè)地區(qū)的網(wǎng)絡(luò)安全運營監(jiān)控力度，通過多層次、

多角度、全方位的網(wǎng)絡(luò)安全運營監(jiān)控實踐持續(xù)改進方法和流程，廣泛征

求意見并深入論證，力求在充分實踐與優(yōu)化相結(jié)合的基礎(chǔ)之上，摸索出

一套能夠指導(dǎo)網(wǎng)絡(luò)安全運營監(jiān)控工作高效開展的成熟的網(wǎng)絡(luò)安全運營

監(jiān)控管理和評估流程，形成完整的網(wǎng)絡(luò)安全運營監(jiān)控程序循環(huán)系統(tǒng)，從

規(guī)劃、設(shè)計、實施到評估和改進，實現(xiàn)對網(wǎng)絡(luò)安全運營監(jiān)控工作的全方

位管理，從而為各地市電網(wǎng)網(wǎng)絡(luò)安全運營監(jiān)控工作實施提供有效指導(dǎo)，

提高網(wǎng)絡(luò)安全運營監(jiān)控工作的科學(xué)性、可行性、有效性。

(3)推廣網(wǎng)絡(luò)安全運營監(jiān)控工作實施

應(yīng)要求行業(yè)及地區(qū)根據(jù)各自特點實行精細化網(wǎng)絡(luò)安全運營監(jiān)控工

作管理，因地制宜，結(jié)合電網(wǎng)行業(yè)、***的情況，探索最有效的網(wǎng)絡(luò)安

全運營監(jiān)控形式。按照系統(tǒng)重要性、時效性等進行等級劃分，預(yù)案分級,

安排分級，定期，不斷提高網(wǎng)絡(luò)安全運營監(jiān)控工作質(zhì)量與水平，結(jié)合行

業(yè)實際情況，對行業(yè)網(wǎng)絡(luò)安全運營監(jiān)控工作提出要求并落實，及時更新。

同時，進一步整合電網(wǎng)部門、科研機構(gòu)、企業(yè)等多方網(wǎng)絡(luò)安全運營監(jiān)控

資源，建立全方位的、開放的、統(tǒng)一的網(wǎng)絡(luò)安全運營監(jiān)控工作經(jīng)驗交流

和信息共享平臺，推進各行業(yè)、地區(qū)相互觀摩，以加強橫向交流、溝通,

總結(jié)經(jīng)驗，并對網(wǎng)絡(luò)安全運營監(jiān)控工作做最佳實踐推廣。

2.1.2.加強網(wǎng)絡(luò)安全運營監(jiān)控手段

（1）完善預(yù)警機制建設(shè)

在網(wǎng)絡(luò)安全運營監(jiān)控工作中科學(xué)完善的預(yù)警機制不僅能夠在突發(fā)

事件發(fā)生前監(jiān)控、預(yù)防災(zāi)難的發(fā)生，而且在突發(fā)事件發(fā)生后能夠有條不

紊的實施處理，最大程度降低突發(fā)事件帶來的損失。目前***在預(yù)警機

制還比較落后，存在的問題較多，使得這個層面在應(yīng)對突發(fā)事件時往往

較為被動和滯后。因此，盡快完善網(wǎng)絡(luò)安全運營監(jiān)控應(yīng)對突發(fā)事件的預(yù)

警機制，提升應(yīng)急響應(yīng)能力，也是***現(xiàn)階段面臨的重要工作。

在條件允許的情況下，可以考慮建立網(wǎng)絡(luò)安全運營監(jiān)控中心，負(fù)

責(zé)協(xié)調(diào)關(guān)鍵基礎(chǔ)設(shè)施擁有者和經(jīng)營者，保障在業(yè)務(wù)連續(xù)性、危害管理、

信息系統(tǒng)攻擊、網(wǎng)絡(luò)犯罪、保護關(guān)鍵場所免受破壞等方面的信息共享，

并與相關(guān)部門建立密切聯(lián)系，共享網(wǎng)絡(luò)威脅情報，提高網(wǎng)絡(luò)安全風(fēng)險形

勢研判能力。

(2)加大技術(shù)研發(fā)應(yīng)用

加強在網(wǎng)絡(luò)安全運營監(jiān)控工作及平臺方面的研發(fā)，密切跟蹤網(wǎng)絡(luò)網(wǎng)

絡(luò)安全運營領(lǐng)域新技術(shù)、新應(yīng)用的發(fā)展，加強相關(guān)技術(shù)特別是關(guān)鍵核心

技術(shù)的攻關(guān)力度，著力開展新的網(wǎng)絡(luò)框架下網(wǎng)絡(luò)安全問題的研究，推動

網(wǎng)絡(luò)網(wǎng)絡(luò)安全運營產(chǎn)業(yè)的發(fā)展，以有效應(yīng)對網(wǎng)絡(luò)網(wǎng)絡(luò)安全運營面臨的各

種挑戰(zhàn)。隨著科學(xué)技術(shù)的飛速發(fā)展，越來越多的新型技術(shù)設(shè)備和宣傳手

段被開發(fā)并運用到應(yīng)急工作中。在應(yīng)急工作中，有條件的機構(gòu)可考慮運

用新型技術(shù)和設(shè)備，依照自身實際情況開發(fā)操作性和可用性更強的系統(tǒng)

或軟件，并在網(wǎng)絡(luò)安全運營監(jiān)控工作中投入使用。應(yīng)當(dāng)注意的是，應(yīng)不

斷測試系統(tǒng)、檢驗性能，及時改良。在使用過程中，提高人與設(shè)備、系

統(tǒng)的磨合度，熟練操作方法，提高實際應(yīng)用中的操作水平。

(3)加強人才能力培養(yǎng)

近年來，網(wǎng)絡(luò)安全形勢的日趨嚴(yán)峻也對網(wǎng)絡(luò)安全人才、網(wǎng)絡(luò)安全

應(yīng)急處置人才提出了更高要求。因此，建議從對資源投入給予相應(yīng)支撐,

加強人才隊伍建設(shè)，完善相關(guān)網(wǎng)絡(luò)安全運營監(jiān)控工作教育培訓(xùn)，發(fā)揮科

學(xué)研究部門和高等院校的優(yōu)勢，積極支持網(wǎng)絡(luò)安全學(xué)科專業(yè)和培訓(xùn)機構(gòu)

建設(shè)，努力培養(yǎng)一支管理能力強、業(yè)務(wù)水平高、技術(shù)素質(zhì)過硬的復(fù)合型

人才隊伍，為加強網(wǎng)絡(luò)安全應(yīng)急管理提供堅實的人才保障和智力支持。

要不斷提高網(wǎng)絡(luò)安全應(yīng)急人才隊伍素質(zhì)，定期組織對網(wǎng)絡(luò)安全人員的能

力培訓(xùn)，強化和補充新的網(wǎng)絡(luò)安全威脅知識，切實加強對有關(guān)網(wǎng)絡(luò)安全

應(yīng)急一線工作人員技術(shù)業(yè)務(wù)培訓(xùn)。同時，注重培養(yǎng)專門的應(yīng)急教育人員，

使之有效發(fā)揮危機傳遞的重要紐帶作用。此外，還要充分利用發(fā)揮網(wǎng)絡(luò)

安全行業(yè)企業(yè)在網(wǎng)絡(luò)安全運營監(jiān)控工作中的作用，科學(xué)調(diào)配企業(yè)中的人

才資源，為網(wǎng)絡(luò)安全運營監(jiān)控工作提供多元的人力資源支持。

2.1.3.完善網(wǎng)絡(luò)安全運營監(jiān)控管理

(1)建立健全安全運營管理制度

當(dāng)前，***雖然有開展應(yīng)急演練等關(guān)于網(wǎng)絡(luò)安全運營監(jiān)控工作的框

架性要求和指導(dǎo)意見。但***應(yīng)從戰(zhàn)略全局的高度，盡量完善網(wǎng)絡(luò)安全

運營監(jiān)控工作體系與應(yīng)急機制、制定工作，將網(wǎng)絡(luò)安全運營監(jiān)控工作全

面納入系統(tǒng)化的軌道中來。與此同時，輔助有關(guān)部門制定網(wǎng)絡(luò)安全運營

監(jiān)控工作及網(wǎng)絡(luò)安全事件應(yīng)急演練業(yè)務(wù)流程和相關(guān)業(yè)務(wù)標(biāo)準(zhǔn)，進一步加

強有關(guān)網(wǎng)絡(luò)安全運營監(jiān)控工作的標(biāo)準(zhǔn)規(guī)范、管理辦法，并確保細化相關(guān)

配套措施，構(gòu)建網(wǎng)絡(luò)安全運營監(jiān)控工作規(guī)范體系。

(2)統(tǒng)籌協(xié)調(diào)，職責(zé)明確

完善的網(wǎng)絡(luò)安全運營監(jiān)控工作協(xié)調(diào)機制有助于在網(wǎng)絡(luò)安全危機發(fā)

生時有效開展應(yīng)急協(xié)調(diào)和資源調(diào)度。借鑒美國及歐盟的網(wǎng)絡(luò)安全運營監(jiān)

控工作經(jīng)驗，輔助成立網(wǎng)絡(luò)安全運營監(jiān)控工作中心，作為應(yīng)對特別重大

網(wǎng)絡(luò)安全突發(fā)事件的網(wǎng)絡(luò)安全運營監(jiān)控工作機構(gòu)，統(tǒng)一指導(dǎo)、統(tǒng)一協(xié)調(diào)、

統(tǒng)一督促關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急、公共基礎(chǔ)設(shè)施惜息系統(tǒng)應(yīng)急、網(wǎng)絡(luò)內(nèi)

容管理應(yīng)急等網(wǎng)絡(luò)安全運營監(jiān)控工作，建立不同池區(qū)、部門、系統(tǒng)之間

網(wǎng)絡(luò)安全運營監(jiān)控工作的聯(lián)動機制。進一步明確行業(yè)監(jiān)管部門與地方機

構(gòu)之間的職責(zé)邊界，明確網(wǎng)絡(luò)網(wǎng)絡(luò)安全運營監(jiān)控工作任主體，梳理應(yīng)急

工作中的交叉環(huán)節(jié)和空白地帶，把目前仍然較為模糊和分散的網(wǎng)絡(luò)安全

應(yīng)急管理職能適當(dāng)加以整合。將不同業(yè)務(wù)部門所涉及到的不同類型的網(wǎng)

絡(luò)網(wǎng)絡(luò)安全運營監(jiān)控工作機制與系統(tǒng)有機地統(tǒng)籌、結(jié)合在一個體系中，

以避免形成多頭監(jiān)管的局面，提升網(wǎng)絡(luò)安全運營監(jiān)控工作體系與系統(tǒng)的

應(yīng)急指揮、協(xié)同部署的效率與效能。

(3)加強全民意識宣貫

網(wǎng)絡(luò)網(wǎng)絡(luò)安全運營監(jiān)控工作往往更加關(guān)注技術(shù)和資源建設(shè)，而忽略

了網(wǎng)絡(luò)安全運營監(jiān)控工作文化建設(shè)。普通民眾缺乏必要的安全觀念和危

機意識，對于網(wǎng)絡(luò)安全突發(fā)事件的預(yù)警、防范意識也較為缺乏，因此要

加強安全意識宣貫教育，可以通過多種方法、多種形式對我***人員進

行不同層面的網(wǎng)絡(luò)安全意識教育，提升必要的網(wǎng)絡(luò)安全觀念及意識。，

以“網(wǎng)絡(luò)安全運營監(jiān)控工作演練”的方式促進網(wǎng)絡(luò)安全應(yīng)急工作的發(fā)

展完善。

2.2.安全運營監(jiān)控支撐平臺規(guī)劃方案

安全運營監(jiān)控工作離不開平臺及技術(shù)手段的支撐，為了更好服務(wù)于

安全運營監(jiān)控工作實現(xiàn)對整個目標(biāo)環(huán)境的安全管理與運營。安全運營監(jiān)

控工作的支撐不是單純依靠某臺安全設(shè)備就能實現(xiàn)的，而是需要全局進

行統(tǒng)籌，對所有的設(shè)備進行聯(lián)動互通，形成一體化的安全運營服務(wù)平臺。

網(wǎng)絡(luò)安全運營服務(wù)平臺框架

I協(xié)會多維國頂7額藤分配

（AXWH-?

（＞一

—、

安全信息采集安全分析響應(yīng)與處置

外

部

C^^gaT'y-

系

（主機/y——統(tǒng)

（數(shù)有￡:-It-------------------------11

（中間~阿"y-—

（業(yè)”系欣A

業(yè)務(wù)修理

（云祝均A-

C物理安享［）

（只它"3忘

目前***已經(jīng)部署了防火墻、IPS、SOC、IOS向天眼相關(guān)網(wǎng)絡(luò)安全設(shè)

備及平臺，但目前平臺之間數(shù)據(jù)都是單獨存在，無法實現(xiàn)對所有平臺的

有效聯(lián)動及采集分析，因此如何構(gòu)建一體化安全運營管理平臺是我們落

實網(wǎng)絡(luò)安全運營監(jiān)控工作的關(guān)鍵，因此我覺得可以參考上圖的網(wǎng)絡(luò)安全

運營平臺框架對平臺進行梳理及優(yōu)化，結(jié)合目前現(xiàn)狀提出如下模塊構(gòu)

想。其中包括網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺、安全控制中心、威脅情

報中心基于大數(shù)據(jù)安全基礎(chǔ)平臺之上部署。它們既可以作為獨立平臺

（含大數(shù)據(jù)安全基礎(chǔ)平臺部分）單獨部署，也可以部署在同一個大數(shù)據(jù)

安全基礎(chǔ)平臺集群上。在部署在同一個大數(shù)據(jù)安全基礎(chǔ)平臺集群時，三

者數(shù)據(jù)可按需共享或隔離訪問。

2.2.1.大數(shù)據(jù)安全基礎(chǔ)平臺

大數(shù)據(jù)安全基礎(chǔ)平臺，是整個安全運營監(jiān)控支撐平臺基礎(chǔ)平臺，為

在其上部署的應(yīng)用提供基礎(chǔ)運行環(huán)境，實現(xiàn)數(shù)據(jù)接入、數(shù)據(jù)存儲、應(yīng)用

管理等功能，并為上層應(yīng)用提供大數(shù)據(jù)分析所需的組件。

2.2.1.1.大數(shù)據(jù)安全基礎(chǔ)平臺架構(gòu)

公共業(yè)務(wù)模塊APPWW

APP停用啟用］APP升級］

也詢用索規(guī)M引，（畀，引*儀寰d工作及APP安裝卸口

數(shù)第存儲任務(wù)管理

依據(jù)訪問接口任務(wù)管理接口

文件在輔|疏息隊列|

任務(wù)正j

□任務(wù)執(zhí)行］

全以"T］KV存儲［

任務(wù)取態(tài)超控

大數(shù)據(jù)安全基礎(chǔ)平臺功能架溝

大數(shù)據(jù)安全基礎(chǔ)平臺包括所有安全設(shè)備的數(shù)據(jù)接入，北向接口，集

群管理、權(quán)限管理、系統(tǒng)管理、數(shù)據(jù)存儲及數(shù)據(jù)管理、數(shù)據(jù)計算、人物

管理、APP管理等功能?；诜植际酱髷?shù)據(jù)框架進行實現(xiàn)。

在大數(shù)據(jù)安全基礎(chǔ)平臺之上運行的應(yīng)用（如網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢

分析平臺），在基礎(chǔ)平臺進行安裝部署，并可按需卸載。

大數(shù)據(jù)安全基礎(chǔ)平臺支持分布式多節(jié)點部署，應(yīng)分為Master節(jié)點

與Worker節(jié)點兩種。其中Master節(jié)點實現(xiàn)對整個集群的管理與調(diào)度功

能，Worker節(jié)點提供大數(shù)據(jù)計算資源。

圖1.5大數(shù)據(jù)平臺部署圖

2.2.1.2.數(shù)據(jù)接入處理

大數(shù)據(jù)處理平臺一般的處理流程都包括，數(shù)據(jù)的解析、增強、規(guī)

范化、統(tǒng)一化處理，最終存入分布式文件系統(tǒng)，提供給其它業(yè)務(wù)處理模

塊使用。

框架中采用成熟的分布式消息隊列、分布式大數(shù)據(jù)處理框架、分布式流

處理和分布式檢索技術(shù)，提供海量基礎(chǔ)日志數(shù)據(jù)的處理、存儲和檢索能

力，還需要提供框架運行所需要的任務(wù)管理和系統(tǒng)監(jiān)控等功能。

分布式消息隊列

主要用途包括：消息異步處理，業(yè)務(wù)應(yīng)用解耦，數(shù)據(jù)流量削鋒以及進程

間消息通訊。在大數(shù)據(jù)處理平臺中，使用kafka實現(xiàn)分布式消息隊列。

其中Kafka利用順序10,保證了處理效率，并能夠持久化部分?jǐn)?shù)據(jù)，

在一定時間內(nèi)保證數(shù)據(jù)的安全性和可用性，通過分布式機制可以進行平

滑升級。在日志數(shù)據(jù)處理中是最優(yōu)選擇。

分布式流處理

使用SparkStreaming,實現(xiàn)分布式流處理，對無邊界數(shù)據(jù)集進行連續(xù)

不斷的處理、聚合和分析，利用Hadoop的YARN資源調(diào)度框架實現(xiàn)自動

調(diào)度處理任務(wù)，有效利用集群中服務(wù)器資源。

2.2.1.3.數(shù)據(jù)存儲

利用分布式文件系統(tǒng)提供高性能數(shù)據(jù)存儲，提供多備份冗余機

制保證數(shù)據(jù)安全性。對所存儲的數(shù)據(jù)，分為熱數(shù)據(jù)和冷數(shù)據(jù)部分。依據(jù)

所存儲的數(shù)據(jù)的特點，分別存儲在Hive,Ilbase,關(guān)系數(shù)據(jù)庫等數(shù)據(jù)庫

或分布式文件系統(tǒng)中。為提升海量數(shù)據(jù)檢索能力，提供ElasticScarch,

支持分布式索引及存儲，

圖1.6數(shù)據(jù)存儲模式

為了兼顧數(shù)據(jù)的存儲和檢索效率，必須根據(jù)業(yè)務(wù)數(shù)據(jù)的特征對數(shù)據(jù)存儲

進行分區(qū)操作。

對于列式存儲模式：

每種日志數(shù)據(jù)以二維表的形式進行定義，每種日志系列每天都會構(gòu)建一

個分表，該表會以小時為單位進行分區(qū)(Partition)；相同類別的日志

以數(shù)據(jù)庫(Schema)的形式進行組織。

對于索引存儲模式：

每種日志以類型的形式進行定義，相同類別的日志以索弓I(Index)的形

式進行組織，每個索引系列每天都會構(gòu)建一個新的實例。

2.2.2.網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺

網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺從大的方面，包括態(tài)勢感知與運維

兩大部分，網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺是安全運維框架的重要組成

部分，同時，為安全驗證框架提供數(shù)據(jù)，為安全度量框架提供數(shù)據(jù)及計

算支持。對網(wǎng)絡(luò)安全態(tài)勢進行感知分析，是網(wǎng)絡(luò)安全運營的基礎(chǔ)。

2.2.2.1.網(wǎng)絡(luò)安全杰勢分析模型

網(wǎng)絡(luò)安全態(tài)勢感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)

生變化的安全要素進行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預(yù)

測，而最終的目的是要進行決策與行動。

傳統(tǒng)的態(tài)勢感知層次模型，包括察覺、理解與預(yù)測三個環(huán)節(jié)。

資產(chǎn)識別運行狀態(tài)態(tài)勢演化

網(wǎng)絡(luò)玨撲攻擊狀態(tài)

攻擊預(yù)測

漏洞狀態(tài)后果用5害

影響預(yù)測

配置狀態(tài)

多

多

源

類

異

杳

構(gòu)

勢

環(huán)K

境

合

數(shù)

S視

度

攻擊趨勢與意圖分析

攻擊溯源/因果分析

攻擊過程;路徑分析

攻擊者行為雁力/由圉

脆弱性/殷晌/態(tài)勢評估

圖1.7網(wǎng)絡(luò)安全態(tài)勢感知層次圖

態(tài)勢察覺層主要實現(xiàn)要素提取，攻擊識別和痂認(rèn)（發(fā)現(xiàn)有攻擊，確

認(rèn)攻擊類型，攻擊源和攻擊目標(biāo)），狀態(tài)確認(rèn)（從現(xiàn)象抽象成狀態(tài)，比

如說內(nèi)存使用超過80冊忙碌狀態(tài)，可用性受損），網(wǎng)絡(luò)拓?fù)渥兓?。理?/p>

層對相同類型及不同類型的要素進行關(guān)聯(lián)，比如說把狀態(tài)變化與具體攻

擊進行關(guān)聯(lián)；把攻擊與漏洞進行關(guān)聯(lián)，或把不同的攻擊進行關(guān)聯(lián)形成攻

擊過程。并且對態(tài)勢進行量化評估。預(yù)測層是對未來趨勢及可能性的預(yù)

測。

而隨著態(tài)勢感知應(yīng)用的發(fā)展，目前在產(chǎn)業(yè)界與學(xué)術(shù)界，越來越多的把

態(tài)勢感知與運維閉環(huán)結(jié)合在一起，強調(diào)對態(tài)勢的感知分析，以及其后所

采取的決策閉環(huán)。

在本方案中，把網(wǎng)絡(luò)安全態(tài)勢感知與運維揉在一起，形成網(wǎng)絡(luò)安全

運營監(jiān)控態(tài)勢分析平臺。

2.2.2.2.網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺整體架構(gòu)

態(tài)勢感知門戶運維門戶

業(yè)務(wù)應(yīng)用綜合資產(chǎn)分類追蹤重點運維工設(shè)備云疏

態(tài)勢態(tài)勢態(tài)勢溯源場鼠ii作臺SB監(jiān)控

攻擊識別引擎態(tài)勢推理引擎

分析組件

態(tài)勢評估引擎

11

支撐組件北向接口報表引擎地理組件漏洞庫知識庫

圖1.8網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺整體架構(gòu)

網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺整體邏輯架構(gòu)如上圖所示。網(wǎng)絡(luò)安全運

營監(jiān)控態(tài)勢分析平臺接收云、網(wǎng)站、終端、中間件、服務(wù)器、安全設(shè)備

的各類探針數(shù)據(jù)進行分析，對網(wǎng)絡(luò)安全態(tài)勢進行感知預(yù)測，并作分析展

示。同時，對整體網(wǎng)絡(luò)安全環(huán)境進行統(tǒng)一管理，對態(tài)勢狀況進行處置，

形成閉環(huán)運營。

從邏輯架構(gòu)看，網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺分為基礎(chǔ)平臺、支撐組

件、分析組件、運維組件、業(yè)務(wù)應(yīng)用等部分。

基礎(chǔ)平臺即大數(shù)據(jù)安全基礎(chǔ)平臺，為網(wǎng)絡(luò)安全運營監(jiān)控態(tài)勢分析平臺提

供基礎(chǔ)運行環(huán)境，提供數(shù)據(jù)存儲、數(shù)據(jù)計算、任務(wù)管理、集群管理、運

行容器、APP管理、系統(tǒng)管理等基礎(chǔ)支撐服務(wù)。

支撐組件層提供非業(yè)務(wù)層面或能力支撐性的公用組件。包括數(shù)據(jù)接入、

北向接口、報表引擎、工作流引擎、地理組件、漏洞庫、知識庫等。

分析組件指的是面向威脅分析、脆弱性分析等態(tài)勢分析型的組件。包括

攻擊識別引擎、脆弱性分析銀器、態(tài)勢推理引擎、態(tài)勢評估引擎等。

運維組件是面向運維管理的組件。包括策略管理、資產(chǎn)管理、云資源調(diào)

度、掃描管理、設(shè)備管理等。

業(yè)務(wù)應(yīng)用分為態(tài)勢感知門戶和運維兩大門戶，提供用戶監(jiān)控及運維可視

化接口。

2.2.2.3.支撐組件

2.2.2.3.1.數(shù)據(jù)接入

圖1.9數(shù)據(jù)接入

數(shù)據(jù)接入組件所接收處理的數(shù)據(jù)，包括安全日志、流量數(shù)據(jù)、Flow數(shù)據(jù)

等多種異構(gòu)環(huán)境數(shù)據(jù)，司時也包括平臺級聯(lián)時的級聯(lián)數(shù)據(jù)。數(shù)據(jù)接入流

程包括數(shù)據(jù)接收、數(shù)據(jù)解析、口志去噪、數(shù)據(jù)增強、數(shù)據(jù)規(guī)范化、數(shù)據(jù)

入庫等步驟。其中，數(shù)據(jù)增強由業(yè)務(wù)插件實現(xiàn)，數(shù)據(jù)入庫不在數(shù)據(jù)接入

組件范圍內(nèi)。

數(shù)據(jù)接收：監(jiān)聽或主動請求方式獲取數(shù)據(jù)。

數(shù)據(jù)解析：把數(shù)據(jù)識別轉(zhuǎn)換成內(nèi)部使用的數(shù)據(jù)結(jié)構(gòu)。

數(shù)據(jù)去噪：過濾去掉錯誤或無用的噪聲數(shù)據(jù)。

數(shù)據(jù)增強：按照業(yè)務(wù)需要增加額外字段或?qū)Σ糠秩罩緮?shù)據(jù)字段進行改

寫

數(shù)據(jù)規(guī)范化：依照日志規(guī)范調(diào)整日志字段，增加一些標(biāo)準(zhǔn)日志字段。

數(shù)據(jù)接入組件支持直通網(wǎng)絡(luò)、異構(gòu)網(wǎng)絡(luò)、單向網(wǎng)閘等多種網(wǎng)絡(luò)接入環(huán)境。

其中對異構(gòu)網(wǎng)絡(luò)及單向網(wǎng)閘使用轉(zhuǎn)發(fā)器實現(xiàn)對數(shù)據(jù)的轉(zhuǎn)發(fā)，以適配不同

網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)接入能力。

2?2?2?3.2.北向接口

北向接口提供平臺對外的數(shù)據(jù)傳輸或