引言
在网络安全环境复杂又严峻的当前,国内各大企业已开始组建自己的网络安全团队,加强企业自身安全能力建设,朝着网络安全运营一体化迈进。但企业安全运营也已逐步从被动式转变为主动式,成为将人、管理与技术结合,全面覆盖网络安全监测、预警、防护、检测、响应和处置的一个动态过程。企业要完整实现这个过程,就必然需要将管理体系、技术体系和人员体系相结合,通过"管理与技术并重,预防与保护并举"开展企业安全运营体系建设。近年来,许多关于安全运营体系的研究多集中在安全人员保障技术平台上,这将为体系建设完成后实现安全运营管理的自动化和智能化上带来局限。本文从可信任、全场景与实战化为基础的"安全运营"理念开始,结合企业实际情况和业内安全运营的最佳实践,提出了安全运营体系总体框架,并详述了安全运营能力特点、标准化流程和支撑保障,为实现企业网络安全运营一体化提供指引。
1 安全运营体系总框架
从技术、管理及人员三个维度开展企业安全运营体系建设。利用大数据、人工智能、SOAR等技术,通过云地专家协同,提供全天候、持续化、实战化及自动化的"八类安全能力"。从常态、全局、监管与合规等多个角度出发,通过"从内到外"的方式建设安全运营中心,为企业提供"八项安全支撑"。
2 安全运营建设的目标
企业应从自身现状出发,针对当前安全运营技术、人员与管理存在的问题,有针对性地设计企业一体化安全运营建设方案,达到以下目标:
-
使企业安全运营工作符合国家、行业相关法律法规的防护要求,同时实现安全监控"动态感知、智能监控、主动响应、全景可视"的业务目标,确保网络安全事件看得见、看得准、看得深。
-
能够对企业各业务模块面临的网络安全风险进行持续管控,降低安全风险。构建"技术先进、安全可靠、服务完备"的安全运营体系,更好的保障网络、通讯和信息系统安全、稳定、可靠地运行。
-
要覆盖企业"基础运营保障、资产安全管理、威胁风险检测控制、脆弱性检测控制、安全风险通报处置、安全风险验证度量、安全检查与风险防范"全链条,形成企业安全运营全生命周期的管理闭环,使企业完全具备"威胁预警、协同对抗、可管可控、智能防御"的运营保障能力。
3 安全运营的能力特点
企业安全运营应具有以下四个方面的关键能力:
3.1 云端与本地威胁情报能力
应能及时跟踪网络空间发生的热点事件并进行威胁信誉评级,随时检索热点漏洞等安全事件并了解专家级安全趋势分析,尤其可进行深度关联和多元分析。要能针对安全事件进行追踪溯源,锁定事件元凶,最终通过可视化平台进行展示。
3.2 网络安全态势的感知能力
应能实现对企业业务系统安全的整体展示、态势感知、攻击事件溯源和对潜在威胁的预警功能。能做到感知现在,掌握当前安全态势;能调查过去,还原历史攻击过程;能预测未来,预警未来的威胁隐患。
3.3 全天候威胁监测分析能力
应具备当安全事件发生时,通过事件监测或审计及时发现安全威胁,第一时间提供操作建议,降低损失和影响;在安全事件发生后,能进行攻击溯源,确认引发安全事件的根源并采取措施消除安全隐患,避免事件重复发生。
3.4 全方位协同安全运营能力
应能通过基础安全防护和系统安全运营,实现人、云、地、机的有效结合。云端的安全团队应具备主动防御、威胁感知、漏洞分析、风险预警、情报共享和信息传递的能力,与企业本地安全团队一起实现全方位的协同安全运营。
4 安全运营标准化流程
4.1 安全运营规划
所谓"凡事预则立,不预则废",有规划的安全运营,才能忙而不乱,事半功倍。安全运营规划既要有逻辑思维,又要虚实结合,切记堆砌。总体安全运营目标和方向上可务虚,眼光要看远,目标要定高,但具体措施和行动上必须务实,脚踏实地,分解成一项项的行动计划,才可确保最终规划的效果,保障企业安全运营的适用性。安全运营规划的整体思路可以分为需求分析、现状调研、安全成熟度评判、风险分析、蓝图描绘五个阶段:
需求分析阶段:依据不同行业和监管标准要求,在调研前期进行充分沟通,梳理需求调研表。
现状调研阶段:对企业安全运营现状进行调研分析,梳理现有安全风险和安全控制策略等。
安全成熟度评判:结合行业现状与最佳实践,对比分析评估出企业的网络安全成熟度等级。
风险分析:对企业现有风险点进行总结,优先处理高中风险点,并提出整体安全优化方案。
蓝图描绘:对企业未来发展及要求进行展望,描绘符合国家号召、行业要求、未来发展的整体安全运营规划蓝图。
4.2 安全运营方案设计
安全运营体系包括人、技术和流程三个基本要素, "人"是核心,"技术"是基础架构和载体,"流程"是导向,三个基本要素相辅相成,互相影响和制约,共同决定了安全运营体系运行的成效。基本元素"人"强调人员组织,突出了任何一个体系中人的重要作用,确立人员的职责并制订安全策略,安全规范和安全职能。"技术"覆盖了安全运营体系建设的全生命周期,以业务视角为起点,对企业资产进行归类,梳理关键业务流,确定风险控制的关键环节,最终实现具体的安全功能。"流程"是"人"和"技术"之间的桥梁,赋予每个流程特定的目标、范围和职责,可为后续安全运营管理提供有利保障。企业安全运营方案必须围绕人、技术和流程这三个基本要素展开设计。
4.3 安全运营管理
根据安全管理活动中的各类管理内容建立安全管理制度,并最终落实体现到日常的管理操作规程上,形成由安全策略、管理制度和操作规程等构成的全方位网络安全运营制度体系,从而指导并有效地规范企业内各级部门的网络安全运营管理工作。企业不仅应制订严格的管理制度规定与发布流程、方式和范围等,还需定期对安全运营管理制度进行评审和修订。
5 安全运营的运营指标
5.1 安全基线指标
结合企业安全考核、评价指标和网络安全法、数据安全法、等保2.0等法律法规要求,制定企业系统、网络及安全设备和安全管理基线规范。借助安全基线自动化工具,达到企业业务环境中的特定安全配置要求并做到闭环管理:初次评估->加固->再次评估->再次加固->审核,提升改进审核的工作流程。
5.2 漏洞管理指标
要充分利用漏洞情报信息,情报触发漏洞管理流程运转,情报参与漏洞修复响应级别分析,建立快速响应机制。能按时、按要求完成安全扫描、设备漏洞库升级、漏洞排查和补丁修复等工作,确保漏洞修复率100%。漏洞披露后,应能在规定时间内完成整改并反馈企业信息化管理部门,如,高危漏洞要求3个工作日内完成、中危漏洞要求7个工作日完成、低危漏洞要求一个月内完成,形成漏洞闭环管理。
5.3 日常安全值守
对企业所有上线运行的系统、网络及安全设备的运行状态进行定期巡检并出具报告。结合企业信息化管理部门通告、行业通告、安全厂商的安全通告等,第一时间配合业务部门开展各项安全加固工作,将漏洞、病毒和木马的影响降到最低,保证企业关键业务持续、安全稳定的运行。
5.4 设备监控与管理
制定日常巡检计划,通过安全运营管理中心关注重要设备的运行日志信息,分析设备运行状况,及时处理各类安全设备和重要业务系统的安全事件告警;配合业务部门完成各风险项的整改和复查,对于补丁管理、日志管理、策略管理等存在的常见技术问题要主动提出整改建议。
5.5 设备安全管理
定期进行企业安全设备台账梳理,明确各级管理职责。严格按照安全运营管理体系要求,每年至少进行一次安全设备管理制度更新,明细划分资产管理责任,同步更新设备责任人标签,做到谁主管谁负责。
5.6 安全风险检测
应能识别企业运行系统中潜在的安全威胁,用漏洞检测、威胁检测、可疑事件监测等多种方法对可能的威胁进行安全风险检测,并在此基础上进行威胁分析(包括安全威胁分析、安全隐患分析、重要信息系统安全状况分析等),形成威胁分析报告。对企业新上线的业务应用系统应能进行安全检测,包括主机漏洞检测、安全基线核查等,输出系统上线安全检测报告,并协助业务责任人进行整改。
5.7 安全风险控制
应能针对企业的业务要求,定期开展漏洞扫描、安全检测及安全评估工作。依据企业实际情况提供必要的升级建议和配置优化建议,以及相关加固建议的优化方案。结合企业业务模块的重要度,资产防护度等多种因素进行综合评估,快速给出漏洞修复的优先级建议,最大程度降低安全风险。
6 安全运营的支撑保障
为保障业务系统长期稳定的运行及业务数据的安全性,应提高安全运营及人员管理的安全保障机制,让信息安全管理不断完善。其中包括制定信息安全工作的总体安全方针和策略,明确安全管理工作的总体目标、范围、原则和安全框架等。根据安全管理活动中的各类管理内容建立安全管理制度,并为操作人员执行的日常管理操作建立规程。形成由安全策略、管理制度、操作规程等构成的全面的安全管理制度体系,指导和规范企业内的信息安全管理工作。安全管理制度应按照严格的管理制度规定与发布流程、方式和范围等,并定期进行评审和修订。
6.1 流程制度保障
建设一整套适用于企业环境各个层面的安全流程、制定、运行维护作业计划和检查标准,使目标环境网络安全运营工作规范化、流程化,长期稳定的保障各业务系统安全运行。安全流程保障的实现应具有相对固定的模式,即"人在安全策略指导下借助于一定的安全技术手段进行持续的运作"。如果安全管理手段不能被清晰地表达,那么安全技术手段也很难得到有效的利用。因此,必须先将安全管理思想和手段以策略文件的形式进行阐明,然后根据策略恰当制定安全流程。安全管理要坚持责任明确、分工负责、统一管理的原则,在集中指挥的管理机制下统筹协调不同层次、不同管理范围的安全管理工作。具体应包括但不限于策略管理类、管理机构和人员类、系统运营类、系统建设类等。
6.2 技术平台能力支撑
安全运营平台能力保障主要包含两类,一类是大幅度提升漏洞管理、威胁管理、事件管理的覆盖能力,另一类是提升安全运营效率的技术能力。前一类主要是指安全设备联动,通过设备实现漏洞、威胁、事件监测的自动化,提升有效监控的覆盖度。后一类是指安全运营理管理平台,主要实现漏洞、威胁、事件的自动化管理能力。
6.3 人员能力支撑
人员能力是安全运营体系的核心要素,高效的运营体系离不开高素质的运营服务团队。企业内部应具备完善的岗位设置、必要的人员配备和合理的组织架构,要培养既精通业务知识又具备解决复杂问题的综合型运营人才梯队,提升运营人员的组织管理、应急响应、沟通协调等联动能力,着力锻造一支专业化、标准化、准军事化的运营支撑队伍,为企业网络安全运营保驾护航。
7 结语
本文介绍了企业安全运营体系的总体框架,详述了安全运营体系的建设目标、安全运营能力四大特点和标准化流程。并对安全运营体系背后的运营指标和支撑保障进行了归纳总结,帮助企业有效突破建设后实现安全运营管理自动化和智能化上的局限,为企业真正构建智能化、一体化的安全运营体系提供方向。
安全运营体系是企业网络安全建设的底座,支撑并指引企业未来安全建设的需求和方向,如何将其持续完善,赋予业务更高的安全能力,为企业创造更多价值,将是网络安全运营持续思考、优化的命题。