搜索
搜索

平台

安全运营中心
全部分类
浏览量:
1637

安全运营中心

零售价
0.0
市场价
0.0
浏览量:
1637
产品编号
所属分类
平台
数量
-
+
库存:
0
1
产品描述
参数

运营中心

1、建设背景

 

党的十八大以来,在习近平总书记“网络强国”战略思想指引下,我国网络安全工作进入了加速发展的新阶段。《网络安全法》、《国家网络空间安全战略》等法规制度,以及《网络安全等级保护基本要求》等标准规范的出台,推动网络安全顶层设计日趋完善,关键信息基础设施安全保护日益健全,国家维护网络空间安全的能力显著增强。

目前网络安全体系建设已经取得初步成效,但是从总体上看,网络安全建设起步晚、基础弱、沉淀薄,顶层设计缺乏、专业人才不足、保障效能低下,与网络安全法有关强制条款不相适应,与主管部门提出的网络安全要求不相适应,与大规模信息化应用不相适应,与花样翻新的网络攻击形势不相适应,亟需开展专项网络安全工程建设任务,采用新模式、新方法、新技术,以快速提升整体安全能力,为业务应用提供有力安全保障。

网络安全运营是一种新安全效能倍增模式,本质是从用户实际业务发展目标和安全需求角度出发,聚焦特定网络安全能力形成,打通安全系统建设、使用、管理、培训等全周期,有机整合专业人才、技术、产品、服务、流程等全要素,串接网络安全预防、保障、监控、应急等全流程,构建面向用户的体系化安全能力交付的“交钥匙”工程,实现从被动、静态网络安全系统建设管理,到主动、动态网络安全赋能的转变,在保障业务安全可靠的同时,滚动提升整体防御能力。

网络安全运营体系建设思路是:创新采用集约化管理运营模式,集聚安全手段、安全能力、安全人员等资源,以扁平化方式面向用户统一提供安全服务、开展安全监管;以等级保护要求为基准建立标准化网络安全配置和运用模式,快速灵活交付各单位部署,填平补齐分散单位的防护水平;在安全运营中心的统筹下实现联合同步防御,打通风险评估、运维保障、监测预警、应急响应各环节,共享安全情报和知识库,协同执行防御任务,大幅度提升整体网络协同防御能力。

网络安全运营体系建设内容是:以安全运营中心建设为核心,以态势感知系统建设为抓手,以合规性安全要求为支撑,面向等级保护、安全管理制度和安全应急体系等建设任务,聚焦网络安全战斗力生成,整合机构人员、协调机制、管理制度、工作流程、安全服务管理和安全手段措施等方面,封装为统一接口的可交付安全能力,形成强后台、精前台的网络安全运营模式。

2、建设需求分析

2.1 网络安全现状

经过多年的网络和信息系统安全建设,当前用户网络中已经部署了包括防火墙、防病毒、入侵检测、漏洞扫描等一系列的安全产品和技术,发挥着各自应有的安全防护与保障价值,一定程度上满足了现有的安全需求。但面对复杂的、日趋严峻的网络安全形势,依然存在如下的问题和不足:

1)从技术层面看,不具备覆盖全网的安全监管和分析能力,无法对全网安全设备实现统一监管及安全问题的深度分析,具体表现有:

缺少全面的信息收集手段,不能实现网络外部环境和内部状态的综合感知和分析,无法了解当前IT系统的整体运行状况和安全状态,风险和运维管理全凭感觉;
对出现的网络问题习惯归结为可用性问题,但实际上很可能是由于安全问题导致的。由于缺少关联分析和深度挖掘能力,对复杂安全问题无法感知;
安全设备中积累的海量历史数据和实时产生的大量新数据都成为“死数据”,不能有效应用到对当前网络安全状态的判断和未来发展趋势的预测;
现有的安全设备往往是针对特定安全技术的、孤立的安全措施,但随着安全的持续复杂化,很难适应综合的安全事件,很难对全局安全设备进行统一的指挥和协调,也不能从资产价值、安全风险等方面进行整体的评估。

2)从运营操作层面看,未建立完善的安全运营流程体系,无法保证安全事件及时高效的处理,具体表现有:

习惯于“重技术、轻管理”、“重产品、轻服务”,把安全寄托于产品和技术上。不能意识到产品和技术只是手段,完善的服务体系和合理高效的运营流程才是应对严峻安全形势的关键;
传统安全运维习惯于片面强调发现安全问题的技术过程,而忽略处理安全问题的流程。把技术力量集中投入到了事件采集和分析上,而获悉安全问题后,无所适从,不知如何处理;
缺少标准化、规范化的分析、响应手段和流程,很难保证在发生安全事件后快速的响应和恢复。

3)从安全人员层面看,网络安全技术人员数量少、分工组织不合理、能力水平参差不齐,无法有效应对复杂的网络安全问题,具体表现有:

安全人员数量少,且多数为兼职。安全设备众多且每天产生数千到数万条事件,相关的设备运维及事件告警的汇总和过滤等这些重复性的工作已经占据了安全人员大部分的时间,使他们没有足够的时间和精力去进行深度分析以及掌握各类实时更新的安全专业知识和信息;
传统的安全运维习惯于以系统定管理员,根据系统数量确定人员数量,并讲究自主运维,从接线到巡检都自己干。没有做到人员分工细化和合理组织,造成分工高度重叠,人力资源错配消耗,服务效能低;
网络安全工作对专业人员技术要求较高,例如:网络需要通过定期的风险评估和渗透测试等工作,实现安全风险整体管理,提出全局性建议,复杂的安全事件需要进行深入分析并提出加固和整改建议。面对这些问题很多单位技术人员无法胜任。

2.2 法规政策要求

在习近平总书记“网络强国”战略思想指引下,网络安全工作已经上升到国家战略高度。因此,在法规政策层面,网络安全工作,尤其是网络安全运营类工作,在相关的法规政策中都有明确的要求,具体包括:

1)加强网络安全态势感知建设

习近平总书记在4.19《网络安全和信息化工作座谈会上的讲话》中明确指出“全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。”“要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势”。

2016年12月, 国务院发布的《“十三五”国家信息化规划》要求“加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势。建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析,更好感知网络安全态势,做好风险防范工作。”

态势感知,作为网络安全的基础能力,成为网络安全建设的首要任务。

2)加强网络安全运营管理和能力建设

《中华人民共和国网络安全法》中明确规定“监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏”。

全新发布的等保2.0相关要求,将技术和管理深度融合,对“安全运维”和“安全管理中心”提出了更高的要求,这意味着等保2.0的推荐规划方式变更为“自顶向下、自面而点”的体系规划,保护思路也变更为“以安全管理中心为支撑、安全运维为保障的安全防护架构”,尤其对漏洞和风险管理、安全事件处置、应急预案管理等多个方面提出了明确的要求,深刻体现了整体安全运营的思路。

安全运营管理,作为网络安全工作的重要保障,成为网络安全建设的重点任务。

3)加强网络安全人才队伍建设

早在2016年,习近平总书记就提出“网络空间的竞争,归根结底是人才的竞争”。拥有网络安全人才,才能进一步将核心技术掌握在自己手中,才能更好实现自主可控。

全新发布的等保2.0明确要求“应配备一定数量的系统管理员、审计管理员和安全管理员等;应配备专职安全管理员,不可兼任;关键事务岗位应配备多人共同管理”。

网络安全人才,作为网络安全工作的主体,成为网络安全建设的关键任务;

因此,安全运营体系建设也符合国家法律、法规、政策、标准的要求,在保证安全技术体系建设的合规性要求同时,也是实现网络安全工作顺利开展的重要抓手。

2.3 技术发展趋势

一方面,随着云计算、大数据、物联网等新技术越来越多地应用, 在带来了技术便利的同时,也带来了新的安全问题。另一方面,APT攻击、0day漏洞等高级威胁的不断出现,由于其未知性和隐蔽性的特点,成为当前安全工作的难点。

面对全新的安全形势,以防火墙、IPS、IDS、防病毒软件等安全产品为核心构建的传统防御体系遇到巨大的挑战。为了有效应对安全威胁的新形势,在安全防御思路和安全技术上,也需要持续的革新和发展。

1)安全运营向集约化方向发展

Gartner发布的2019年七大新兴的安全和风险管理趋势中提出:“随着安全警报的复杂性和频率增加,安全投资从威胁防御向威胁检测转变,需要对安全运营中心进行投资。预计到2022年,50%的安全运营中心将转变为具有集成事件响应、威胁情报和威胁搜索能力的现代安全运营模式。”、“领导者需要建立或外包集成威胁情报、整合安全警报和自动响应的安全运营中心,这个过程不容小觑。”

同时,目前美国很多企业在完成安全系统建设后,都会选用由专业安全厂商提供的安全服务。现在美国网络安全产业中安全服务的比重已经达到43.8%,超过了安全硬件(16.6%)和安全软件(39.7%)采购。安全服务体现了网络安全的内在要求,网络安全专业性要求非常高,绝不是安全产品的简单堆砌,离开了高素质专业安全力量往往难以发挥作用,而需求方由于资源限制,往往难以有高素质专业人员专门从事安全管理工作。

因此,安全运营作为有效应对网络安全新形势的重要手段,将是未来安全发展的必然方向,而由专业安全公司提供的集约化安全运营服务也将成为更优选择。

2)态势感知技术向智能化、动态化方向发展

网络安全态势感知是指在大规模网络环境中,对能够引起网络安全状况发生变化的安全要素进行获取、分析、可视化, 并预测发展趋势,为决策和后续处置提供依据。现阶段的网络安全态势感知是通过机器学习、大数据分析等技术,实现基于逻辑和知识的推理结果,从已知威胁推演未知威胁, 实现对安全威胁事件的预测和判断,这是当前大多数安全厂商在探索和研发的重点内容。

由于态势感知系统从建立起来到良好运行,需要有持续不断的资源投入,不仅需要采集器、威胁情报、大数据分析平台等投入,还需要一定的使用环境限制,如时间、空间及数据质量等,还需要大量的专家使用态势感知系统进行核心的人工分析工作, 建立不同场景的算法模型。

可以预见,在未来的几年里,态势感知将深度融合大数据和人工智能技术,通过大数据分析算法和人工智能模型实现态势感知智能化,通过精准预测实现随着保护对象的变化而变化的动态化。

3)人才培养向实战化方向发展

网络安全人才是当前网络空间安全竞争的关键。对于人才的培养机制,当前已呈现出“培训体系实战导向”的积极转变。在网络安全行业,大量的实战经验和和博弈训练比理论性学习和认证更为重要。《网络安全法》正式实施后,各个行业都在积极组织攻防竞赛,以求通过竞赛和实战模式达到以赛促学、选拔人才的目的。

网络安全人才的培养,需要让他们进入实战的学习阶段,接触实际的攻防场景和安全问题,才有利于安全人才的成长。

2.4 安全能力需求

通过对企业安全需求的多维度分析,要实现安全运营体系的合理、合规性建设,同时保证安全建设的科学性和先进性,需要满足安全态势感知能力、安全运营团队组织和建设、以及安全运营操作体系建设,3个维度的能力需求。具体包括:

1)安全态势感知能力需求

以宏观的纬度与指标化的手段来呈现当前网络的运行态势与信息化工作的完成情况,从而为管理层呈现当前管理要求的实现状况,为执行层提供安全运营的方向指引。具体包括:

信息采集能力需求

建设信息集中采集能力,来实现当前网络中的设备日志的采集与汇总工作。

资产管理能力需求

通过实现安管和网管能力,帮助企业信息化部门管理当前资产,评估和分析在遭受安全威胁的情况下资产的受影响程度,并实现整体调度和安全自动化响应。

资产运行状态监控能力需求

通过对资产运行状态的全方位细粒度监控,以及对比分析,及时发现设备故障和异常并及时处理的问题。

快速故障定位能力需求

快速的故障定位是体现企业内部信息工作能力的直接体现,包括:拓扑逻辑位置和机房物理位置。

安全事件实时监控能力需求

安全事件实时监控能够帮助安全人员及时发现安全隐患。同时,借助安全事件的可视化展示,能大大提升安全人员的工作效率,使日常工作实现从认知到感知的跨越。

安全事件报警能力需求

为了快速、准确定位安全事件来源,及时处理安全事件,需要具备实时报警能力。

安全事件关联分析需求

外部入侵和内部违规行为从来都不是单一的行为,都是有时序或者逻辑上的联系的。为了解决日益严重的复合型风险威胁,需要具有关联分析功能,实现深层次分析和处理。

威胁情报需求

威胁情报可为威胁响应提供决策依据。需要引入内部和外部的威胁情报辅助管理员更快更好的发现网络中的安全风险。

异常流量监控能力需求

通过流量监测技术去分析发现当前流量中的攻击行为,与传统的检测和监测方式形成互补。

风险管理功能需求

风险是资产价值、弱点度量值与威胁度量值根据量化算法而得到的一个量化的安全检测结果。能够协助安全人员进行定量的风险评估。

2)安全运营团队组织和建设需求

作为安全运营工作的实施主体,高素质人才队伍建设和有效组织,是保证安全运营工作顺利看展的关键,具体需求包括:

完备的人员组织架构需求

合理、完备的组织架构,能保证整个组织分工明确,职责清晰,实现整个组织管理流程的畅通,保证较高的执行效率。

高素质安全人才需求

安全人才是实现网络安全的关键和主体,人才的知识结构和专业技术在安全工作中发挥着极其重要的作用。加强安全人才的培养,是实现企业安全的第一战略。

持续的人员能力提升机制需求

网络安全的一个最大特性是其变化性,这就要求我们在应对安全问题的过程中,无论是人员能力还是技术手段,都要时刻紧跟安全形势的持续变化。因此,持续的人员能力提升机制是保证安全工作有效开展的重要支撑。

实战化的模拟训练环境需求

实战化训练,是实现人员安全技术能力提升的有效手段。因此,高仿真的模拟实战环境以及配套的实战和竞赛机制是实现人才培养的重要基础。

3)安全运营操作体系建设需求

标准化的运营操作内容,是实现相关安全技术手段有效落地的基础。规范化的运营操作流程,是实现安全运营相关工作有序、高效开展的重要保障。具体包括:

标准化的安全运营操作内容需求

网络安全不是单纯的技术问题,安全产品和技术只是安全能力的内化形式。要实现安全工作的外化,也就是将内化的安全能力合理、高效的落实到安全运营工作中,则需要对相关工作内容进行标准化。清晰的工作内容分工、明确的工作职责定位、规范的工作衡量标准等标准化工作,是杜绝盲目作业、减少工作风险、和保证细节实施到位的重要基础。

需要针对信息系统安全现状和特点,制定标准化的操作规程,明确操作的时效、方法、步骤、要求等内容,使操作的过程有所依据,使操作的结果能够被跟踪,提高安全运营工作的规范性和质量。

规范化的安全运营操作流程需求

规范、合理的操作流程,能够有效去除工作过程中多余的工作环节、节省工作成本和提升工作效率。在安全运营工作中,建设规范化的安全运营操作流程,能够实现人员、技术等要素的深度融合和高效运转、充分发挥人员和技术效能、全面提高安全水平,是实现安全运营体系稳定运行的重要保障。

需要针对信息系统安全现状和特点,制定完善的流程方案,充分考虑各种可能发生的情况,确定接口管理、事件管理、变更管理、问题管理等处理流程,明确操作接口和各方职责,通过规范的流程降低人为处理的随意性,提高处理的效率和效果。

3、安全运营体系总体设计

3.1 总体框架

 

 

图1 安全运营体系总体框架

 

 

综合考虑安全运营中心的建设需求和能力输出,总体框架可归纳为:“1+2+4”结构,即1个平台,2个支撑,4种能力。

“1个平台”

“1个平台”指态势感知平台。

首先,作为安全运营的平台工具,能够收集海量多维的安全信息,进行多方位的关联及发掘分析,呈现多种形式的安全态势。态势感知平台将安全态势涉及的各类安全要素和监视角度进行梳理归纳,可形成由六个维度组合构成的态势感知体系,分别是资产感知、攻击感知、漏洞感知、运行感知、威胁感知和风险感知,综合这六个感知形成面向综合态势监视的态势总览。

同时,两类云安全服务能力,“云防护”和“云监测”,可对整体态势感知形成有力补充。企事业单位的WEB网站是对外服务的门户,很多时候也是关键信息基础设施的重要组成部分,成为安全运营重点关注的对象。

“云防护”能够从云端实时保护WEB网站安全,保障用户WEB系统安全稳定运行。“云监测”能够为企业提供持续的云端WEB系统监测服务,让企业实时了解WEB系统安全状况。监控内容包括:网站漏洞扫描、网页挂马监测、网页敏感内容监测、网站可用性监测、网页篡改监测、网站域名解析监测等。最终,通过态势感知平台可视化地展现WEB系统运行过程中的外部攻击态势和安全防护状况,对WEB安全风险实现快速响应。

“2个支撑”

“2个支撑”分别指安全运营团队和运营操作体系。

综合参考成熟的安全模型,如PPT模型、信息保障技术框架(IATF)等,都是强调人员、操作(流程)和技术的统一,通过操作(流程)这根纽带将人员和技术紧密结合起来,形成整体运营体系,共同发挥作用,共同实现用户的安全目标。

因此,安全运营体系建设中,在态势感知平台作为核心技术平台的基础上,人作为安全运营的主体,需要实现合理的组织和能力的保证,运营操作体系作为运营体系高效运作的保障,需要规划完善的操作内容和操作流程。

最终,以平台能力建设为基础,以安全运营团队、运营操作体系为支撑,共同实现整个安全运营体系的高效运转。

 “4种能力”

自适应安全框架(ASA)是Gartner提出的面向下一代的安全体系框架,以应对云大物移智时代所面临的安全新形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调网络安全体系是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。

为了保证安全运营体系建设的先进性,保证面对安全发展形势不断变化的有效性,在安全运营体系建设规划过程中,我们充分参考自适应安全框架(ASA),实现预测能力、防御能力、检测能力和响应能力的输出。

通过内外部数据的全局分析实现精准预测,通过安全态势的研判实现主动防御,通过数据的深度关联分析实现未知攻击的监测,通过追踪溯源实现动态响应。最终实现网络安全的闭环管理。

3.2 功能设计

从功能设计角度考虑,安全运营体系包含的功能可以分成三层:感知层、运营层和执行层。

 

 

                                                       图2 安全运营体系功能设计

 

感知层主要实现全网的安全态势感知功能,并基于安全态势情况提出安全策略、指导安全发展。

运营层实现“人、流程、技术”三要素的体系化运营。针对人的要素实现的功能包括:安全运营团队组织建设功能和安全运营团队能力保障提升功能;针对流程要素实现的功能包括:安全运营操作内容(具体包括风险评估、运维保障、监测预警和应急响应功能)和针对安全运营操作的流程保障;针对技术要素实现的功能包括:全网信息的集中采集和监控功能、信息的集中分析和挖掘功能,并通过策略联动和策略管理实现执行层管理功能。

执行层主要是在运营层的管理和指导下,基于网络中部署的网络系统、安全系统和业务应用系统,以及云端安全能力等,实现安全策略的落地、执行功能。

 

3.3 体系构成

                                                图3 安全运营体系构成

 

安全运营体系整体构成主要分为5个部分:

1.态势感知平台:主要实现全网设备安全数据、运行数据及第三方情报数据的收集、存储、分析和展示,并通过策略联动实现对安全事件的闭环管理;同时,支持以云端安全能力的形式,实现针对WEB网站等关键信息基础设施的安全监测和防护;

2.安全运营操作内容和流程:作为安全运营体系的重要保障,连接安全运营团队和态势感知平台及安全防护基础设施。安全团队依据标准化的运营内容和规范化的运营流程,实现安全运营操作的体系化落地;

3.安全运营团队:作为安全运营体系的操作主体,依据安全运营操作流程,实现体系化运营的实施;

4.第三方安全厂商:作为支撑单位,向企业提供安全专家团队支持、培训师资支持等服务;

5.安全防护基础设施:指用户网络中部署的网络安全防护设备,实现对用户网络的基础防护及策略落地执行;

4、 预期效能分析

 

为了保证安全运营体系建设的先进性,保证面对安全发展形势不断变化的有效性,在安全运营体系建设规划过程中,我们充分参考Gartner提出的面向下一代的自适应安全框架(ASA)能力需求,实现体系化、动态自适应效能,具体包括:

4.1 预测:全局分析、精准预测

通过态势感知平台,安全运营体系能够利用威胁情报充分学习外部威胁环境信息,通过全网数据采集感知内部系统的脆弱性信息,并结合人工服务主动对企业资产进行风险评估和威胁预测,主动锁定对现有系统和信息具有威胁的新型攻击。同时,能够将情报反馈到防御和检测功能,持续更新安全基线,构成完整的处理流程闭环。

4.2 防御:态势预判、主动防御

通过一系列策略集、产品、服务实现攻击防御,通过减少被攻击面提升攻击门槛。通过态势感知平台建设,能够在攻击发生之前进行态势预判,提前主动进行适应性、针对性防护准备,实现从事后被动应对到事前主动防范的转型。通过全网持续监控,有效应对持续攻击时代,从应急响应到动态响应的转变,利用威胁情报持续升级安全策略。

4.3 检测:深度分析、未知检测

通过态势感知平台对内部和外部信息进行关联分析和深度挖掘,实现对那些逃过防御网络攻击,尤其是未知威胁的检测,缩短威胁造成的“宕机”时间,并通过自动化手段或人工服务形式,采取有效措施(如:隔离被感染系统)防止威胁进一步扩散,快速止损。

4.4 响应:追踪溯源、动态响应

通过人工服务和态势感知平台的配合,对隔离后的系统和账户进行事件过程的回溯分析。利用持续监控的数据,动态更改某些策略和控制,如关闭网络端口、升级系统配置、修改用户权限或防护强度等,有效预防新的攻击。确定响应模型,利用安全联动能力,实现全网自动化响应。响应结果反馈给预测环节,从而不断修改和完善基线系统,最终实现提升系统主动评估风险并预测新型攻击能力。

 

 

扫二维码用手机看
未找到相应参数组,请于后台属性模板中添加
下一个
这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博

版权所有:北京网御星云信息技术有限公司    京ICP备1124454号     网站建设:中企动力  北京