网御星云行业智能安全运营中心之——云化安全运营中心建设

概述

当前，云计算与安全运营两大产业方向在我国蓬勃发展，市场规模不断扩大，多行业用户陆续将管理系统与核心业务系统向云端迁移，逐步打破原有“烟囱林立”形态，为数据集中、开放、共享提供了有利条件。而如何利用池化安全能力，构建全新的基于云架构的行业智能安全运营中心则是满足企业安全保障能力需求，建设可弹性扩展、敏捷交付的安全体系，实现云内云外统筹管理的必由之路。

云架构下智能安全运营中心建设思路

网御星云智能安全运营中心（以下简称“中心”）以安全云为载体，以安全运营为抓手，全面落实行业网络安全工作常态化、体系化、实战化要求，从“人员”、“平台”、“技术”、“管理”四个方面着手，形成集预防预测、监控监测、应急响应、攻防对抗于一体的安全运营体系。同时结合云计算技术，重构安全运营体系，打破网络安全本地化固有模式，将安全能力池化、安全服务资源化、安全运营流程化，弹性敏捷的将安全能力交付于包括行业本部和下级单位在内的各接入单位，打造“网络安全即服务”模式。

图 1 网御星云智能安全运营中心总体架构图

（一）专业团队支撑

中心搭建一线安全监测、运维、应急，二线安全分析研判，三线安全研究及管理考评的梯队式安全保障团队，支撑各接入单位网络安全工作，实现专家远程/本地赋能。

（二）流程闭环可控

依托网御星云专业的技术团队，建立安全监测组、安全预警组、安全分析组、安全处置组，实现对接入单位的监控、预警、分析、处置、考核、辅助闭环运营流程。

（三）平台一体多元

融合态势感知、威胁分析、溯源取证、网站监测、自动化攻击、攻防竞赛、威胁情报于一体的多元化网络安全运营指挥平台，实现平时网络安全可视化，战时安全攻防精准指挥。

（四）技术灵活可靠

将安全基础设施云化后按需提供，网御星云可为用户提供云检测、云监测、云审计、云清洗等安全能力，同时提供包括咨询规划、安全评估、安全检测、风险排查、事件处置、漏洞扫描、安全基线加固、代码审计、APP安全检测与加固等安全服务，全面提升各接入单位的安全保障能力。

安全能力建设与管理

运营保障对象全面覆盖企业信息系统，基础设施包括传统数据中心及云计算中心。传统数据中心与云平台的安全能力主要体现在传统安全防护措施，云内安全则依赖于各类虚拟化的安全组件。中心从技术视角，对云内安全组件实现资源池化，并构建多云安全管理平台对池化资源进行统一调度，以达成弹性分配、按需部署、联动防御的目标。同时打破云内云外安全系统壁垒，依托标准安全接口，实现传统安全防护措施与云内安全组件的统一策略定制与管理。从管理视角，将网络安全工作从不同云厂商、安全设备厂商中剥离并整合，统一交付独立安全运营中心，以实现云内云外安全建设标准化、安全能力集中化。基于云架构实现的中心应从以下几个方面对云内外安全能力建设并管理：

（一）风险管理能力

通过中心的一体化平台，实现包括安全风险的自动化发现、风险监控与评估、加固及其他风险降低措施，实现对系统漏洞、配置疏漏、策略失当等风险的及时发现与整改，并可作为绩效评价依据。

（二）安全巡视能力

实现对运营对象的常态化安全巡视与监控，对业务系统、数据资产、承载的云或非云计算环境、网络流量等对象进行监控，及时发现安全事件和基线偏离情况，并提交后续处置环节。

（三）安全管控能力

中心具备整合各项安全组件/系统能力，通过标准安全接口，实现运营平台与各接入安全组件/系统的对接。运营平台对云内云外各安全组件/系统进行统一管控与策略下发。

（四）情报联动能力

基于情报联动共享机制，建立集“情报收集、情报处理、威胁分析、风险通报、情报生产”为一体的威胁情报体系。

（五）协同处理能力

随着安全与业务的愈发紧密，在业务的开发、测试、上线、运维、销毁，数据的产生、传输、使用、共享、销毁等各类不同业务环节场景下，均可向中心申请云化安全能力协同保障、处理。

（六）流程标准化能力

将云内外各项工作制定标准化流程，并形成正式的运营工作制度体系。中心将通过与运营对象的深度融合，利用业务API和自动化工具，逐步取代人工方式落实各项流程中的重要技术环节。