搜索
搜索

平臺

安全運營中心
全部分類
瀏覽量:
4261

安全運營中心

零售價
0.0
市場價
0.0
瀏覽量:
4261
產品編號
所屬分類
平臺
數量
-
+
庫存:
0
1
產品描述

運營中心

1、建設背景

 

黨的十八大以來,在習近平總書記“網絡強國”戰略思想指引下,我國網絡安全工作進入了加速發展的新階段?!毒W絡安全法》、《國家網絡空間安全戰略》等法規制度,以及《網絡安全等級保護基本要求》等標準規范的出臺,推動網絡安全頂層設計日趨完善,關鍵信息基礎設施安全保護日益健全,國家維護網絡空間安全的能力顯著增強。

目前網絡安全體系建設已經取得初步成效,但是從總體上看,網絡安全建設起步晚、基礎弱、沉淀薄,頂層設計缺乏、專業人才不足、保障效能低下,與網絡安全法有關強制條款不相適應,與主管部門提出的網絡安全要求不相適應,與大規模信息化應用不相適應,與花樣翻新的網絡攻擊形勢不相適應,亟需開展專項網絡安全工程建設任務,采用新模式、新方法、新技術,以快速提升整體安全能力,為業務應用提供有力安全保障。

網絡安全運營是一種新安全效能倍增模式,本質是從用戶實際業務發展目標和安全需求角度出發,聚焦特定網絡安全能力形成,打通安全系統建設、使用、管理、培訓等全周期,有機整合專業人才、技術、產品、服務、流程等全要素,串接網絡安全預防、保障、監控、應急等全流程,構建面向用戶的體系化安全能力交付的“交鑰匙”工程,實現從被動、靜態網絡安全系統建設管理,到主動、動態網絡安全賦能的轉變,在保障業務安全可靠的同時,滾動提升整體防御能力。

網絡安全運營體系建設思路是:創新采用集約化管理運營模式,集聚安全手段、安全能力、安全人員等資源,以扁平化方式面向用戶統一提供安全服務、開展安全監管;以等級保護要求為基準建立標準化網絡安全配置和運用模式,快速靈活交付各單位部署,填平補齊分散單位的防護水平;在安全運營中心的統籌下實現聯合同步防御,打通風險評估、運維保障、監測預警、應急響應各環節,共享安全情報和知識庫,協同執行防御任務,大幅度提升整體網絡協同防御能力。

網絡安全運營體系建設內容是:以安全運營中心建設為核心,以態勢感知系統建設為抓手,以合規性安全要求為支撐,面向等級保護、安全管理制度和安全應急體系等建設任務,聚焦網絡安全戰斗力生成,整合機構人員、協調機制、管理制度、工作流程、安全服務管理和安全手段措施等方面,封裝為統一接口的可交付安全能力,形成強后臺、精前臺的網絡安全運營模式。

2、建設需求分析

2.1 網絡安全現狀

經過多年的網絡和信息系統安全建設,當前用戶網絡中已經部署了包括防火墻、防病毒、入侵檢測、漏洞掃描等一系列的安全產品和技術,發揮著各自應有的安全防護與保障價值,一定程度上滿足了現有的安全需求。但面對復雜的、日趨嚴峻的網絡安全形勢,依然存在如下的問題和不足:

1)從技術層面看,不具備覆蓋全網的安全監管和分析能力,無法對全網安全設備實現統一監管及安全問題的深度分析,具體表現有:

缺少全面的信息收集手段,不能實現網絡外部環境和內部狀態的綜合感知和分析,無法了解當前IT系統的整體運行狀況和安全狀態,風險和運維管理全憑感覺;
對出現的網絡問題習慣歸結為可用性問題,但實際上很可能是由于安全問題導致的。由于缺少關聯分析和深度挖掘能力,對復雜安全問題無法感知;
安全設備中積累的海量歷史數據和實時產生的大量新數據都成為“死數據”,不能有效應用到對當前網絡安全狀態的判斷和未來發展趨勢的預測;
現有的安全設備往往是針對特定安全技術的、孤立的安全措施,但隨著安全的持續復雜化,很難適應綜合的安全事件,很難對全局安全設備進行統一的指揮和協調,也不能從資產價值、安全風險等方面進行整體的評估。

2)從運營操作層面看,未建立完善的安全運營流程體系,無法保證安全事件及時高效的處理,具體表現有:

習慣于“重技術、輕管理”、“重產品、輕服務”,把安全寄托于產品和技術上。不能意識到產品和技術只是手段,完善的服務體系和合理高效的運營流程才是應對嚴峻安全形勢的關鍵;
傳統安全運維習慣于片面強調發現安全問題的技術過程,而忽略處理安全問題的流程。把技術力量集中投入到了事件采集和分析上,而獲悉安全問題后,無所適從,不知如何處理;
缺少標準化、規范化的分析、響應手段和流程,很難保證在發生安全事件后快速的響應和恢復。

3)從安全人員層面看,網絡安全技術人員數量少、分工組織不合理、能力水平參差不齊,無法有效應對復雜的網絡安全問題,具體表現有:

安全人員數量少,且多數為兼職。安全設備眾多且每天產生數千到數萬條事件,相關的設備運維及事件告警的匯總和過濾等這些重復性的工作已經占據了安全人員大部分的時間,使他們沒有足夠的時間和精力去進行深度分析以及掌握各類實時更新的安全專業知識和信息;
傳統的安全運維習慣于以系統定管理員,根據系統數量確定人員數量,并講究自主運維,從接線到巡檢都自己干。沒有做到人員分工細化和合理組織,造成分工高度重疊,人力資源錯配消耗,服務效能低;
網絡安全工作對專業人員技術要求較高,例如:網絡需要通過定期的風險評估和滲透測試等工作,實現安全風險整體管理,提出全局性建議,復雜的安全事件需要進行深入分析并提出加固和整改建議。面對這些問題很多單位技術人員無法勝任。

2.2 法規政策要求

在習近平總書記“網絡強國”戰略思想指引下,網絡安全工作已經上升到國家戰略高度。因此,在法規政策層面,網絡安全工作,尤其是網絡安全運營類工作,在相關的法規政策中都有明確的要求,具體包括:

1)加強網絡安全態勢感知建設

習近平總書記在4.19《網絡安全和信息化工作座談會上的講話》中明確指出“全天候全方位感知網絡安全態勢。知己知彼,才能百戰不殆。沒有意識到風險是最大的風險?!薄耙⒔y一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢”。

2016年12月, 國務院發布的《“十三五”國家信息化規劃》要求“加強網絡安全態勢感知、監測預警和應急處置能力建設。建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制,準確把握網絡安全風險發生的規律、動向、趨勢。建立政府和企業網絡安全信息共享機制,加強網絡安全大數據挖掘分析,更好感知網絡安全態勢,做好風險防范工作?!?/span>

態勢感知,作為網絡安全的基礎能力,成為網絡安全建設的首要任務。

2)加強網絡安全運營管理和能力建設

《中華人民共和國網絡安全法》中明確規定“監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞”。

全新發布的等保2.0相關要求,將技術和管理深度融合,對“安全運維”和“安全管理中心”提出了更高的要求,這意味著等保2.0的推薦規劃方式變更為“自頂向下、自面而點”的體系規劃,保護思路也變更為“以安全管理中心為支撐、安全運維為保障的安全防護架構”,尤其對漏洞和風險管理、安全事件處置、應急預案管理等多個方面提出了明確的要求,深刻體現了整體安全運營的思路。

安全運營管理,作為網絡安全工作的重要保障,成為網絡安全建設的重點任務。

3)加強網絡安全人才隊伍建設

早在2016年,習近平總書記就提出“網絡空間的競爭,歸根結底是人才的競爭”。擁有網絡安全人才,才能進一步將核心技術掌握在自己手中,才能更好實現自主可控。

全新發布的等保2.0明確要求“應配備一定數量的系統管理員、審計管理員和安全管理員等;應配備專職安全管理員,不可兼任;關鍵事務崗位應配備多人共同管理”。

網絡安全人才,作為網絡安全工作的主體,成為網絡安全建設的關鍵任務;

因此,安全運營體系建設也符合國家法律、法規、政策、標準的要求,在保證安全技術體系建設的合規性要求同時,也是實現網絡安全工作順利開展的重要抓手。

2.3 技術發展趨勢

一方面,隨著云計算、大數據、物聯網等新技術越來越多地應用, 在帶來了技術便利的同時,也帶來了新的安全問題。另一方面,APT攻擊、0day漏洞等高級威脅的不斷出現,由于其未知性和隱蔽性的特點,成為當前安全工作的難點。

面對全新的安全形勢,以防火墻、IPS、IDS、防病毒軟件等安全產品為核心構建的傳統防御體系遇到巨大的挑戰。為了有效應對安全威脅的新形勢,在安全防御思路和安全技術上,也需要持續的革新和發展。

1)安全運營向集約化方向發展

Gartner發布的2019年七大新興的安全和風險管理趨勢中提出:“隨著安全警報的復雜性和頻率增加,安全投資從威脅防御向威脅檢測轉變,需要對安全運營中心進行投資。預計到2022年,50%的安全運營中心將轉變為具有集成事件響應、威脅情報和威脅搜索能力的現代安全運營模式?!?、“領導者需要建立或外包集成威脅情報、整合安全警報和自動響應的安全運營中心,這個過程不容小覷?!?/span>

同時,目前美國很多企業在完成安全系統建設后,都會選用由專業安全廠商提供的安全服務?,F在美國網絡安全產業中安全服務的比重已經達到43.8%,超過了安全硬件(16.6%)和安全軟件(39.7%)采購。安全服務體現了網絡安全的內在要求,網絡安全專業性要求非常高,絕不是安全產品的簡單堆砌,離開了高素質專業安全力量往往難以發揮作用,而需求方由于資源限制,往往難以有高素質專業人員專門從事安全管理工作。

因此,安全運營作為有效應對網絡安全新形勢的重要手段,將是未來安全發展的必然方向,而由專業安全公司提供的集約化安全運營服務也將成為更優選擇。

2)態勢感知技術向智能化、動態化方向發展

網絡安全態勢感知是指在大規模網絡環境中,對能夠引起網絡安全狀況發生變化的安全要素進行獲取、分析、可視化, 并預測發展趨勢,為決策和后續處置提供依據?,F階段的網絡安全態勢感知是通過機器學習、大數據分析等技術,實現基于邏輯和知識的推理結果,從已知威脅推演未知威脅, 實現對安全威脅事件的預測和判斷,這是當前大多數安全廠商在探索和研發的重點內容。

由于態勢感知系統從建立起來到良好運行,需要有持續不斷的資源投入,不僅需要采集器、威脅情報、大數據分析平臺等投入,還需要一定的使用環境限制,如時間、空間及數據質量等,還需要大量的專家使用態勢感知系統進行核心的人工分析工作, 建立不同場景的算法模型。

可以預見,在未來的幾年里,態勢感知將深度融合大數據和人工智能技術,通過大數據分析算法和人工智能模型實現態勢感知智能化,通過精準預測實現隨著保護對象的變化而變化的動態化。

3)人才培養向實戰化方向發展

網絡安全人才是當前網絡空間安全競爭的關鍵。對于人才的培養機制,當前已呈現出“培訓體系實戰導向”的積極轉變。在網絡安全行業,大量的實戰經驗和和博弈訓練比理論性學習和認證更為重要?!毒W絡安全法》正式實施后,各個行業都在積極組織攻防競賽,以求通過競賽和實戰模式達到以賽促學、選拔人才的目的。

網絡安全人才的培養,需要讓他們進入實戰的學習階段,接觸實際的攻防場景和安全問題,才有利于安全人才的成長。

2.4 安全能力需求

通過對企業安全需求的多維度分析,要實現安全運營體系的合理、合規性建設,同時保證安全建設的科學性和先進性,需要滿足安全態勢感知能力、安全運營團隊組織和建設、以及安全運營操作體系建設,3個維度的能力需求。具體包括:

1)安全態勢感知能力需求

以宏觀的緯度與指標化的手段來呈現當前網絡的運行態勢與信息化工作的完成情況,從而為管理層呈現當前管理要求的實現狀況,為執行層提供安全運營的方向指引。具體包括:

信息采集能力需求

建設信息集中采集能力,來實現當前網絡中的設備日志的采集與匯總工作。

資產管理能力需求

通過實現安管和網管能力,幫助企業信息化部門管理當前資產,評估和分析在遭受安全威脅的情況下資產的受影響程度,并實現整體調度和安全自動化響應。

資產運行狀態監控能力需求

通過對資產運行狀態的全方位細粒度監控,以及對比分析,及時發現設備故障和異常并及時處理的問題。

快速故障定位能力需求

快速的故障定位是體現企業內部信息工作能力的直接體現,包括:拓撲邏輯位置和機房物理位置。

安全事件實時監控能力需求

安全事件實時監控能夠幫助安全人員及時發現安全隱患。同時,借助安全事件的可視化展示,能大大提升安全人員的工作效率,使日常工作實現從認知到感知的跨越。

安全事件報警能力需求

為了快速、準確定位安全事件來源,及時處理安全事件,需要具備實時報警能力。

安全事件關聯分析需求

外部入侵和內部違規行為從來都不是單一的行為,都是有時序或者邏輯上的聯系的。為了解決日益嚴重的復合型風險威脅,需要具有關聯分析功能,實現深層次分析和處理。

威脅情報需求

威脅情報可為威脅響應提供決策依據。需要引入內部和外部的威脅情報輔助管理員更快更好的發現網絡中的安全風險。

異常流量監控能力需求

通過流量監測技術去分析發現當前流量中的攻擊行為,與傳統的檢測和監測方式形成互補。

風險管理功能需求

風險是資產價值、弱點度量值與威脅度量值根據量化算法而得到的一個量化的安全檢測結果。能夠協助安全人員進行定量的風險評估。

2)安全運營團隊組織和建設需求

作為安全運營工作的實施主體,高素質人才隊伍建設和有效組織,是保證安全運營工作順利看展的關鍵,具體需求包括:

完備的人員組織架構需求

合理、完備的組織架構,能保證整個組織分工明確,職責清晰,實現整個組織管理流程的暢通,保證較高的執行效率。

高素質安全人才需求

安全人才是實現網絡安全的關鍵和主體,人才的知識結構和專業技術在安全工作中發揮著極其重要的作用。加強安全人才的培養,是實現企業安全的第一戰略。

持續的人員能力提升機制需求

網絡安全的一個最大特性是其變化性,這就要求我們在應對安全問題的過程中,無論是人員能力還是技術手段,都要時刻緊跟安全形勢的持續變化。因此,持續的人員能力提升機制是保證安全工作有效開展的重要支撐。

實戰化的模擬訓練環境需求

實戰化訓練,是實現人員安全技術能力提升的有效手段。因此,高仿真的模擬實戰環境以及配套的實戰和競賽機制是實現人才培養的重要基礎。

3)安全運營操作體系建設需求

標準化的運營操作內容,是實現相關安全技術手段有效落地的基礎。規范化的運營操作流程,是實現安全運營相關工作有序、高效開展的重要保障。具體包括:

標準化的安全運營操作內容需求

網絡安全不是單純的技術問題,安全產品和技術只是安全能力的內化形式。要實現安全工作的外化,也就是將內化的安全能力合理、高效的落實到安全運營工作中,則需要對相關工作內容進行標準化。清晰的工作內容分工、明確的工作職責定位、規范的工作衡量標準等標準化工作,是杜絕盲目作業、減少工作風險、和保證細節實施到位的重要基礎。

需要針對信息系統安全現狀和特點,制定標準化的操作規程,明確操作的時效、方法、步驟、要求等內容,使操作的過程有所依據,使操作的結果能夠被跟蹤,提高安全運營工作的規范性和質量。

規范化的安全運營操作流程需求

規范、合理的操作流程,能夠有效去除工作過程中多余的工作環節、節省工作成本和提升工作效率。在安全運營工作中,建設規范化的安全運營操作流程,能夠實現人員、技術等要素的深度融合和高效運轉、充分發揮人員和技術效能、全面提高安全水平,是實現安全運營體系穩定運行的重要保障。

需要針對信息系統安全現狀和特點,制定完善的流程方案,充分考慮各種可能發生的情況,確定接口管理、事件管理、變更管理、問題管理等處理流程,明確操作接口和各方職責,通過規范的流程降低人為處理的隨意性,提高處理的效率和效果。

3、安全運營體系總體設計

3.1 總體框架

 

 

圖1 安全運營體系總體框架

 

 

綜合考慮安全運營中心的建設需求和能力輸出,總體框架可歸納為:“1+2+4”結構,即1個平臺,2個支撐,4種能力。

“1個平臺”

“1個平臺”指態勢感知平臺。

首先,作為安全運營的平臺工具,能夠收集海量多維的安全信息,進行多方位的關聯及發掘分析,呈現多種形式的安全態勢。態勢感知平臺將安全態勢涉及的各類安全要素和監視角度進行梳理歸納,可形成由六個維度組合構成的態勢感知體系,分別是資產感知、攻擊感知、漏洞感知、運行感知、威脅感知和風險感知,綜合這六個感知形成面向綜合態勢監視的態勢總覽。

同時,兩類云安全服務能力,“云防護”和“云監測”,可對整體態勢感知形成有力補充。企事業單位的WEB網站是對外服務的門戶,很多時候也是關鍵信息基礎設施的重要組成部分,成為安全運營重點關注的對象。

“云防護”能夠從云端實時保護WEB網站安全,保障用戶WEB系統安全穩定運行?!霸票O測”能夠為企業提供持續的云端WEB系統監測服務,讓企業實時了解WEB系統安全狀況。監控內容包括:網站漏洞掃描、網頁掛馬監測、網頁敏感內容監測、網站可用性監測、網頁篡改監測、網站域名解析監測等。最終,通過態勢感知平臺可視化地展現WEB系統運行過程中的外部攻擊態勢和安全防護狀況,對WEB安全風險實現快速響應。

“2個支撐”

“2個支撐”分別指安全運營團隊和運營操作體系。

綜合參考成熟的安全模型,如PPT模型、信息保障技術框架(IATF)等,都是強調人員、操作(流程)和技術的統一,通過操作(流程)這根紐帶將人員和技術緊密結合起來,形成整體運營體系,共同發揮作用,共同實現用戶的安全目標。

因此,安全運營體系建設中,在態勢感知平臺作為核心技術平臺的基礎上,人作為安全運營的主體,需要實現合理的組織和能力的保證,運營操作體系作為運營體系高效運作的保障,需要規劃完善的操作內容和操作流程。

最終,以平臺能力建設為基礎,以安全運營團隊、運營操作體系為支撐,共同實現整個安全運營體系的高效運轉。

 “4種能力”

自適應安全框架(ASA)是Gartner提出的面向下一代的安全體系框架,以應對云大物移智時代所面臨的安全新形勢。自適應安全框架(ASA)從預測、防御、檢測、響應四個維度,強調網絡安全體系是一個持續處理的、循環的過程,細粒度、多角度、持續化的對安全威脅進行實時動態分析,自動適應不斷變化的網絡和威脅環境,并不斷優化自身的安全防御機制。

為了保證安全運營體系建設的先進性,保證面對安全發展形勢不斷變化的有效性,在安全運營體系建設規劃過程中,我們充分參考自適應安全框架(ASA),實現預測能力、防御能力、檢測能力和響應能力的輸出。

通過內外部數據的全局分析實現精準預測,通過安全態勢的研判實現主動防御,通過數據的深度關聯分析實現未知攻擊的監測,通過追蹤溯源實現動態響應。最終實現網絡安全的閉環管理。

3.2 功能設計

從功能設計角度考慮,安全運營體系包含的功能可以分成三層:感知層、運營層和執行層。

 

 

                                                       圖2 安全運營體系功能設計

 

感知層主要實現全網的安全態勢感知功能,并基于安全態勢情況提出安全策略、指導安全發展。

運營層實現“人、流程、技術”三要素的體系化運營。針對人的要素實現的功能包括:安全運營團隊組織建設功能和安全運營團隊能力保障提升功能;針對流程要素實現的功能包括:安全運營操作內容(具體包括風險評估、運維保障、監測預警和應急響應功能)和針對安全運營操作的流程保障;針對技術要素實現的功能包括:全網信息的集中采集和監控功能、信息的集中分析和挖掘功能,并通過策略聯動和策略管理實現執行層管理功能。

執行層主要是在運營層的管理和指導下,基于網絡中部署的網絡系統、安全系統和業務應用系統,以及云端安全能力等,實現安全策略的落地、執行功能。

 

3.3 體系構成

                                                圖3 安全運營體系構成

 

安全運營體系整體構成主要分為5個部分:

1.態勢感知平臺:主要實現全網設備安全數據、運行數據及第三方情報數據的收集、存儲、分析和展示,并通過策略聯動實現對安全事件的閉環管理;同時,支持以云端安全能力的形式,實現針對WEB網站等關鍵信息基礎設施的安全監測和防護;

2.安全運營操作內容和流程:作為安全運營體系的重要保障,連接安全運營團隊和態勢感知平臺及安全防護基礎設施。安全團隊依據標準化的運營內容和規范化的運營流程,實現安全運營操作的體系化落地;

3.安全運營團隊:作為安全運營體系的操作主體,依據安全運營操作流程,實現體系化運營的實施;

4.第三方安全廠商:作為支撐單位,向企業提供安全專家團隊支持、培訓師資支持等服務;

5.安全防護基礎設施:指用戶網絡中部署的網絡安全防護設備,實現對用戶網絡的基礎防護及策略落地執行;

4、 預期效能分析

 

為了保證安全運營體系建設的先進性,保證面對安全發展形勢不斷變化的有效性,在安全運營體系建設規劃過程中,我們充分參考Gartner提出的面向下一代的自適應安全框架(ASA)能力需求,實現體系化、動態自適應效能,具體包括:

4.1 預測:全局分析、精準預測

通過態勢感知平臺,安全運營體系能夠利用威脅情報充分學習外部威脅環境信息,通過全網數據采集感知內部系統的脆弱性信息,并結合人工服務主動對企業資產進行風險評估和威脅預測,主動鎖定對現有系統和信息具有威脅的新型攻擊。同時,能夠將情報反饋到防御和檢測功能,持續更新安全基線,構成完整的處理流程閉環。

4.2 防御:態勢預判、主動防御

通過一系列策略集、產品、服務實現攻擊防御,通過減少被攻擊面提升攻擊門檻。通過態勢感知平臺建設,能夠在攻擊發生之前進行態勢預判,提前主動進行適應性、針對性防護準備,實現從事后被動應對到事前主動防范的轉型。通過全網持續監控,有效應對持續攻擊時代,從應急響應到動態響應的轉變,利用威脅情報持續升級安全策略。

4.3 檢測:深度分析、未知檢測

通過態勢感知平臺對內部和外部信息進行關聯分析和深度挖掘,實現對那些逃過防御網絡攻擊,尤其是未知威脅的檢測,縮短威脅造成的“宕機”時間,并通過自動化手段或人工服務形式,采取有效措施(如:隔離被感染系統)防止威脅進一步擴散,快速止損。

4.4 響應:追蹤溯源、動態響應

通過人工服務和態勢感知平臺的配合,對隔離后的系統和賬戶進行事件過程的回溯分析。利用持續監控的數據,動態更改某些策略和控制,如關閉網絡端口、升級系統配置、修改用戶權限或防護強度等,有效預防新的攻擊。確定響應模型,利用安全聯動能力,實現全網自動化響應。響應結果反饋給預測環節,從而不斷修改和完善基線系統,最終實現提升系統主動評估風險并預測新型攻擊能力。

 

 

掃二維碼用手機看
未找到相應參數組,請于后臺屬性模板中添加
下一個
這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网