2024年网络安全运营体系建设方案

news2024/11/22 21:06:38

以下是部分WORD内容,请您参阅。如需下载完整WORD文件,请前往星球获取:

  1. 网络安全运营监控工作整体构想
    1. 工作目标及原则
      1. 工作目标

为进一步落实强化公司网络安全保障,有效支撑公司数字化转型战略,建立健全公司网省两级协同的网络安全运行监控机制,形成一体化的网络安全防御、监测预警和应急处置体系。主要实现以下工作目标:

(一)坚持统筹谋划、整体推进。统筹公司生产大区、管理大区安全监控重点,统筹资源配置和关键技术管理,构建全网网络安全监测预警能力,推进各项任务的有序开展。

(二)坚持协同性,强调分级管控。整合公司内部资源,坚持全网网络安全一盘棋,组建网省两级运行监控队伍,明确工作界面,形成分级协同的安全运行监控体系。

(三)坚持实战性,强调安全运营。重点突出网络安全运行监控体系的实战能力与保障能力,以安全事件发现、分析研判、通告预警、响应处置、追踪调查为核心,构建面向实战的安全运营体系,将技术、管理、流程进行有机整合,支撑业务实战,形成能保障业务、促进业务的闭环安全运营。

网络安全运营体系建设方案全文共197页,当前为第7页。

(四)坚持及时性,强调降低安全事件影响范围。建立网络安全运行监测值班机制,确保及时发现网络安全事件,形成网络安全与系统运行协同的一体化监控、应急防护体系,统筹协调事件处置,全力降低安全事件影响范围。

尽可能遵循现有的与网络安全运营相关的国际标准、国内标准、行业标准,包括在技术框架中与具体的网络安全运营技术相关的标准,以及在管理框架中与安全管理相关的标准。标准性原则从根本上保证了xxx系统建设具有良好的全面性、标准性、和开放性。

从宏观的、整体的角度出发,系统地建设网络安全运营监控工作,不仅仅局限于安全技术层面,或者技术层面中孤立的安全技术,而是全面构架网络安全运营技术体系,覆盖从xxx系统物理安全、通信和网络安全、主机系统安全、到数据和应用系统安全各个层面。同时,建立全面有效的安全管理体系和运行保障体系,使得安全技术体系发挥最佳的保障效果。

建立网络安全运营监控工作,必须针对网络和信息系统的特点,在xxx系统现状分析和风险评估的基础上有的放矢地进行,不能简单地照抄照搬其它的网络安全运营保障方案。同时,网络安全运营监控工作中的所有内容,都被用来指导网络安全运营系统的建设和管理维护等实际工作,因此必须坚持可操作性和实用性原则,避免空洞和歧义现象。

实用性还体现在网络安全运营监控工作的建设过程中,由于内容庞杂,必须坚持分步骤的有序实施原则,循序渐进地进行建设。

网络安全运营体系建设方案全文共197页,当前为第8页。

网络安全运营监控工作中所涉及的安全技术和机制,应该具有一定的先进性和前瞻性,既能够满足当前系统的安全要求,又能够满足xxx系统未来3到5年时间内,网络安全运营系统建设的需要,为网络和信息系统提供有效的安全服务保障。

网络安全运营体系建设方案全文共197页,当前为第9页。

    1. 安全运营流程分析

网络安全运营监控工作活动应该主要包括两个方面:

第一、未雨绸缪,即在事件发生前事先做好准备,比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施;

第二、亡羊补牢,即在事件发生后采取的措施,其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人,也可能来自系统,不如发现事件发生后,系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

网络安全运营体系建设方案全文共197页,当前为第10页。

以上两个方面的工作是相互补充的。首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则,响应动作将陷入混乱,而这些毫无章法的响应动作有可能造成比事件本身更大的损失;其次,事后的响应可能发现事前计划的不足,吸取教训,从而进一步完善安全计划。因此,这两个方面应该形成一种正反馈的机制,逐步强化组织的安全防范体系。

              • 1.1 安全运营流程分析

网络安全运营监控工作流程可以参考上图中的自适应安全框架,以资产为基础,以持续监控与分析为核心,整个安全运营流程可以分为防御、检测、响应、预测四个维度,自适应于不同基础架构和业务变化,形成统一的安全策略。

      1. 安全预测

网络安全运营体系建设方案全文共197页,当前为第11页。

网络安全运营监控工作流程中安全预测应该基于资产进行安全预测,虽然xxx都明确要求进行定期资产风险检查,并颁布了明确的信息系统安全资产检查指导性文件。但目前还是存在一定的不足与缺陷, 网络安全运营监控工作最重要就是保障平台资产安全,因此需要对平台资产管理定期管理,获取并记录资产中的主机及传统服务器上系统的上的各个端口、网站、Web容器、第三方组件、数据库、进程、账号等信息,进行统一的管理和清点解决安全运营阶段中网络安全监控能力和分析能力不足的难题,尤其针对网络新常态下,暴露资产监控、入侵行为追踪、高级威胁监控、失陷主机发现、漏洞闭环管理、攻击链还原、威胁情报管理等多种高价值安全业务和场景的监控与管理。。

但只有通过统一资产管理从可实时掌握IT系统内部的资产情况,支持资产变更分析对各类资产的变动情况进行记录,便于审计历史变动,自主发现异常行为;从而了解资产的风险,提前做出预测,从外部威胁及系统自身脆弱性两个维度进行全面分析,站在威胁视角,以网络入侵、异常流量和僵木蠕为切入点,做到知彼;站在脆弱性视角,以系统漏洞和网站安全为切入点,做到知己,提供全方位、全天候的感知能力。

      1. 安全防御

网络安全运营体系建设方案全文共197页,当前为第12页。

在网络安全运营监控安全防御工作,我们可以根据安全预测的结果及时调整安全防护措施,帮助解决网络设备、安全设备、主机资产等各类形态IT资产,所产生的安全信息孤岛难以形成威胁情报的难题。利用数据采集、实时或准实时等检测技术手段,分析和发现攻击行为、流量异常等安全威胁,通过打通各系统间产生的安全数据,转化为安全情报,实现单一的安全信息能力转化为自适应安全信息能力,弥补用户在网络安全运营数据整合能力、威胁行为预判能力上可能存在的短板。平台各开启各类监控包括登录监控、完整性监控、操作审计、进程监控、资源监控、性能监控。从端点安全的角度,全天候监控服务器的运行情况,能确保第一时间发现服务器问题,最大限度的缩小排除故障时间,帮助单位快速发现安全风险和性能瓶颈。另外,通过安全预测发现的问题系统能自动进行问题归类到漏洞风险及入侵威胁模块中,方便管理人员做针对性处理。

      1. 安全检测

日常安全检测是不可缺少的工作,能够实时掌握安全风险状况,极大的降低突发事件出现的概率,从安全维护成本上考虑非常有利。通过安全检测对信息系统配置操作是否安全,是安全风险控制的重要方面,安全配置错误一般是人员操作失误导致,而满足大量信息系统设备的安全配置要求,对人员业务水平、技术水平要求相对较高,所以一些行业和大型企业制定了针对自身业务系统特点的配置检查Checklist和操作指南,而国务院《中华人民共和国计算机信息系统安全保护条例》(147号令)以及公安部颁布的一系列网络安全运营等级保护标准,也明确了信息系统安全等级保护测评的纲领性要求。

但行业规范和等级保护纲领性规范要求让运维人员有了安全检测风险的标准,但是面对网络中种类繁杂、数量众多的服务器,如何快速、有效的检查,又如何集中收集核查的结果,以及制作风险审核报告,并且最终识别那些与安全规范不符合的网络安全运营监控工作,以达到整改合规的要求,这些是安全检测面临的难题。

      1. 安全响应

网络安全运营体系建设方案全文共197页,当前为第13页。

网络安全响应是指在对网络安全事件的事前预防、事发应对、事中处置和善后恢复过程中,通过建立必要的应对机制,采取一系列必要措施,应用科学、技术、规划与管理等手段,保障公众财产、基础设施、应用系统、信息数据等安全,促进社会和谐健康发展的有关活动,因为安全响应是无规律可寻找的,因此我们在日常安全响应工作中要制定规范的应急响应预案。

    应急响应预案是指针对可能发生的事故,为迅速、有序地开展应急行动而预先制定的行动方案。网络安全应急预案应形成体系,针对各级各类可能发生的网络安全事件和所有风险源制定专项应急预案和处置方案,并明确事前、事发、事中、事后的各个过程中相关部门和有关人员的职责。要明确了各类网络安全事件分级分类和预案框架体系,规定了应对网络安全事件的组织体系、工作机制等内容,是指导预防和处置各类网络安全事件的规范性文件。综合应急预案是从总体上阐述处理网络安全事件的应急方针、政策,应急组织结构及相关应急职责,应急行动、措施和保障等基本要求和程序,是应对各类网络安全事件的综合性文件。

    1. 安全运营工作架构

网络安全运营体系建设方案全文共197页,当前为第14页。

为确保安全运营工作架构能够灵活扩展,方案将安全运营架构按业务功能分为四个模块进行描述:安全防护框架、安全运维框架、安全验证框架、安全度量框架。

安全防护框架包括检测与防护两部分,主要通过在网络不同层次不同域部署各类安全监测探针,提供实时检测能力,为安全运维框架提供可视化信息采集,并通过安全防护设备策略设置,实现安全防护。安全运维框架主要是统一采集安全防护框架各探针的检测数据,并做进一步的处理及关联分析,通过统一展示平台输出事件告警数据,进入事件处理平台和流程,人工介入处理。安全运维框架还包括安全事件的定期review和向管理层汇报。安全验证框架主要是综合通过黑盒白盒验证措施,确保安全防护框架和安全运维框架有效性。安全度量框架通过一系列的安全度量指标,衡量评价安全运营质量水平,并针对性持续过程改进,实现质量的螺旋上升。

网络安全运营体系建设方案全文共197页,当前为第15页。

系统安全保护环境由安全计算环境,安全区域边界,安全通信网络和(或)安全管理中心组成。相应的,我们认为安全防护框架由安全计算环境,安全区域边界和安全通信网络组成。由于目标环境主要由传统数据中心环境及云计算环境组成,我们在防护框架上也主要考虑通用安全计算环境及云计算环境的需要。

其中,通用安全计算环境主要包括用户身份鉴别、访问控制、安全审计、数据完整性保护、数据保密性保护、客体安全重用、入侵检测、恶意代码防范等要求。针对云安全计算环境,除上述要求在云计算环境的体现外,还需要包括数据备份与恢复、虚拟化安全、镜像和快照安全等要求。

通用安全区域边界包括区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等要求。云安全计算环境出上述要求的体现外,还包括区域边界结构安全。

通用安全通信网络要求包括通信网络安全审计,通信网络数据传输完整性保护,通信网络数据传输保密性保护等要求,对云安全通信网络设计,还需要考虑通信网络可信接入保护。

安全防护设备通常可兼做安全管理平台的探针,把各类检测数据、防护日志、安全审计记录等传输到安全管理平台做进一步的处理分析。亦可部署专用数据探针,采集环境数据并上传到安全管理平台。安全运维框架的数据上传,需要考虑到底是发送原始检测信息还是处理后的监测告警信息。在需要对事件进行取证溯源的情况下,需要尽量发送原始信息,以便于安全管理平台进行分析。

      1. 安全运维框架

安全运维框架的建设目标是成为企业安全的大脑、神经中枢、耳目和手脚。安全运维框架包括安全管理中心、人与流程三部分。

网络安全运营体系建设方案全文共197页,当前为第16页。

安全管理中心是企业安全的大脑及神经中枢,通常基于大数据分析平台基础上进行建设。安全运营管理中心应当包括系统管理、安全管理、审计管理。对系统管理,可通过系统管理员对系统的资源和运行进行配置和控制。对安全管理,需具有对攻击行为回溯分析及对网络安全事件进行预测和预警的能力;需具有对网络安全态势进行感知、预测和预判的能力。

安全运维框架的耳目是安全情报、安全监视和侦察系统。通过安全防护框架中的探针数据采集,实现异常行为的实时监测。通过介入安全情报,让安全运维框架看的更远。

安全运维框架的建设,需要建设事件处理安全运营监控流程,纳入ITIL事件管理流程,通过下发工单和发送告警邮件、短信等方式进行安全提醒。而安全事件的确认和溯源分析及处置常常通过自动化结合人工分析和确认的方式进行。对于100%确定异常的安全攻击可以通过自动化方式进行阻断。通过安全事件日报、周报、月报等方式对安全事件进行闭环管理。

      1. 安全验证框架

安全验证框架解决安全有效性问题,承担对安全防护和安全运维两个框架的功能验证。安全验证框架是企业安全的蓝军,在和平时期,蓝军扮演着对手角色,利于及时发现、评估、修复、确认和改进安全防护和运维框架中的脆弱点。包括白盒检测(过程验证)和黑和检测(结果验证)两部分。

网络安全运营体系建设方案全文共197页,当前为第17页。

白盒检测(过程验证)是指建立自动化验证平台,对安全防护框架的管控措施实现100%的全面验证,并可视化集成至安全管理平台中,管控措施失效能够在指定时间内发现。通过自动化验证平台达到:

1)验证探针安全监测功能有效;

2)验证探针所产生监测信息到安全管理平台的信息采集有效;

3)验证安全管理中心的安全检测规则有效;

4)验证告警方式(邮件、短信与可视化展示)有效。

基于上述目标,自动化验证要求所验证事件必须为自动化模拟真实事件产生,不能使用插入记录方式产生,同时自动化验证事件应提供判断是否为验证事件的唯一标识。安全管理平台应能检测到验证未通过的系统和规则,并产生告警信息,通知运维人员介入处理。

黑盒检测(结果验证)是通过多渠道安全渗透机制和红蓝对抗演习等,先于对手发现自己的漏洞和弱点。渗透测试及红蓝对抗演习需要企业具有较高攻防技能的安全人员,也可聘请专业安全服务机构完成,用于检测安全防护框架和安全运维框架的有效性。

      1. 安全度量框架

安全度量框架主要用于衡量评价安全有效性。安全度量框架可以分为如下几个层次:

一是技术维度。通过配置核查系统对资产合规性进行检测,包括防病毒软件的安装率、正常率,各类策略配置是否符合合规性要求;入侵检测的检测率,防护有效性、误报率;安全事件的发生频率,响应时长、处理时长;高危预警漏洞排查所需时间和完全修复时间。基于资产脆弱性及所受威胁进行资产风险评估。基于各类响应及处置情况及事件发生趋势进行安全运维状况评估。部分数据指标可由安全管理平台直接计算得出;部分指标需要通过管理平台数据结合人工分析得到。

网络安全运营体系建设方案全文共197页,当前为第18页。

二是安全运营成效。包括覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下,有多少无人问津的灰色地带。检出率和攻防对抗成功率都是衡量安全有效性的有效指标。安全运营成效的度量,可以结合安全验证框架进行。

三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能力,TCO/ROI,安全用多少资源,支撑了多少业务,支撑的程度。安全价值还体现在内部的影响力以及对业务的影响力,是做微观安全还是广义安全,是为业务带来正面影响还是负分拖后腿。安全满意度是综合维度指标,可理解为是对安全团队和人员的最高要求,既要满足上级领导和业务部门对安全的利益诉求,又要满足同级横向其他IT团队对安全的利益诉求,还要满足团队内部成员的利益诉求,要提供最佳的安全服务,让安全的用户成为安全的客户,让使用者满意,真的是非常非常有挑战的一件事情。这种度量往往结合使用者访谈等方式进行。

    1. 安全运营支撑架构

结合上述运营流程分析及安全运营架构,设计如下运营支撑体系组成架构:

网络安全运营体系建设方案全文共197页,当前为第19页。

运营支撑体系组成架构

运营支撑体系主要由安全运营管理中心、安全防护框架、安全管理体系,安全服务体系组成。

安全运维架构中的安全运维框架、安全验证框架、安全度量框架三大模块,由安全运营管里中心、安全管理体系、安全服务体系共同实现。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1562306.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Tomcat调优总结

Tomcat自身的调优是针对conf/server.xml中的几个参数的调优设置。首先是对这几个参数的含义要有深刻而清楚的理解。以tomcat8.5为例,讲解参数。 同时也得认识到一点,tomcat调优也受制于linux内核。linux内核对tcp连接也有几个参数可以调优。 因此可以将…

无锡国家集成电路设计中心某公司的单锂小电机直流电机H桥驱动电路

H桥驱动 L9110S是一款直流电机驱动电路,适合单节锂电池应用。输出电流0.4A。价格约3毛。 推荐原因: 某些人应该知道这个地方,大多数人应该不知道这个地方,所以推荐一下。 这个地方去过几次,某公司与某方走的“近”&…

用Wireshark解码H.264

H264,你不知道的小技巧-腾讯云开发者社区-腾讯云 这篇文章写的非常好 这里仅做几点补充 init.lua内容: -- Set enable_lua to false to disable Lua support. enable_lua trueif not enable_lua thenreturn end-- If false and Wireshark was start…

31.2k star, 免费开源的白板绘图工具 tldraw

31.2k star, 免费开源的白板绘图工具 tldraw 分类 开源分享 项目名: tldraw -- 无限画布白板 Github 开源地址: https://github.com/tldraw/tldraw 在线测试地址: tldraw 文档地址: tldraw SDK tldraw 是一款开源免费的无限画布白板&…

【NC14326】Rails

题目 Rails 栈 翻译 由于原题是英文的,所以这里先翻译一下: PopPush市有一个著名的火车站。那里的山地多得令人难以置信。这个车站建于上个世纪。不幸的是,当时资金极为有限。只能建立一条地面轨道。此外,事实证明,火…

PurpleKeep:提供Azure管道以创建基础设施并执行Atomic测试

关于PurpleKeep PurpleKeep是一款功能强大的安全测试自动化工具,该工具能够通过提供Azure管道以创建基础设施,并帮助广大研究人员执行Atomic测试。 随着攻击技术种类的迅速增加,以及EDR(端点检测和响应)和自定义检测规…

[leetcode] 637. 二叉树的层平均值

给定一个非空二叉树的根节点 root , 以数组的形式返回每一层节点的平均值。与实际答案相差 10-5 以内的答案可以被接受。 示例 1: 输入:root [3,9,20,null,null,15,7] 输出:[3.00000,14.50000,11.00000] 解释:第 0 层的平均值…

FMEA引领智能家居安全革新,打造无忧智能生活新纪元!

在智能家居日益普及的今天,如何确保家居安全成为消费者关注的焦点。本文将探讨如何通过FMEA(故障模式与影响分析)这一强大的质量管理工具,为智能家居赋能,打造安全无忧的智能生活新体验。 一、FMEA在智能家居领域的应用…

Electron的学习

目录 项目初始化可以看官网非常详细根路径创建.vscode文件夹主进程和渲染进程之前的通信ipcRenderer.send和ipcMain.on的使用ipcRenderer.invoke和ipcMain.handle的使用 切换主题模式文件拖放保存消息通知进度展示图标闪烁自定义菜单自定义右键菜单 项目初始化可以看官网非常详…

基于ArgoCD和Testkube打造GitOps驱动的Kubernetes测试环境

本文介绍了一项新工具,可以基于Gitops手动或者自动实现Kubernetes集群应用测试,确保集群的健康状态与Git仓库定义的一致。原文: GitOps-Powered Kubernetes Testing Machine: ArgoCD Testkube 简介:GitOps 云原生测试面临的挑战 现代云原生应…

Qt中出现中文乱码的原因以及解决方法

Qt专栏:http://t.csdnimg.cn/C2SDN 目录 1.引言 2.原因分析 3.源文件的编码格式修改方法 4.程序内部使用的默认编码格式修改方法 5.QString转std::string的方法 6.总结 1.引言 在编写Qt程序的时候,或多或少都可能遇到用QString时候,明明…

游戏APP如何提高广告变现收益的同时,保证用户留存率?

APP广告变现对接第三方聚合广告平台主要通过SDK文档对接,一些媒体APP不具备专业运营广告变现的对接能力和资源沉淀,导致APP被封控,设置列入黑名单,借助第三方聚合广告平台进行商业化变现是最佳选择。#APP广告变现# 接入第三方平台…

51单片机入门:认识开发板

认识开发板 板载资源: 数码管模块 说明: 2个四位一体共阴数码管 详细: 2个四位一体:两个独立的四位数码管,每个四位数码管都是“一体”的设计,也就是说,每个数码管内部集成了四个独立的七段LE…

Stable Diffusion WebUI 附加功能/图片放大(Extras):单张图片/批量处理/从目录进行批量处理

本文收录于《AI绘画从入门到精通》专栏,专栏总目录:点这里,订阅后可阅读专栏内所有文章。 大家好,我是水滴~~ 篇文章主要讲解 Stable Diffusion WebUI 的附加功能/图片放大(Extras)的使用,主要…

JAV八股--redis

如何保证Redis和数据库数据一致性 关于异步通知中消息队列和Canal的内容。 redisson实现的分布式锁的主从一致性 明天继续深入看这个系列问题 介绍IO复用模型

WebSocket用户验证

在WebSocket中,如何携带用户的验证信息 一、在OnMessage中进行验证 客户端在连接到服务器后,客户端通过发送消息,服务器端在OnMessage方法中,进行信息验证,这种方式需要将用户身份验证及接收用户消息进行混合处理&am…

什么是原生IP?原生IP的作用是什么?

原生IP(Native IP)是指直接从互联网服务提供商(ISP)获得的IP地址,而非通过代理服务器、VPN或其他中间层方式获取。这种IP地址直接与用户的设备或网络关联,无需经过任何中间服务器或代理的转发或隐藏&#x…

体验OceanBase 的binlog service

OceanBase对MySQL具备很好的兼容性。目前,已经发布了开源版的binlog service工具,该工具能够将OceanBase特有的clog模式转换成binlog模式,以便下游工具如canal、flink cdc等使用。今天,我们就来简单体验一下这个binlog service的功…

Educational Codeforces Round 163 (Rated for Div. 2) E. Clique Partition

题目 思路&#xff1a; #include <bits/stdc.h> using namespace std; #define int long long #define pb push_back #define fi first #define se second #define lson p << 1 #define rson p << 1 | 1 const int maxn 1e6 5, inf 1e9, maxm 4e4 5; co…

MacBook 访达使用技巧【mac 入门】

快捷键 打开访达搜索窗口默认快捷键【⌥ ⌘ 空格键】可以在键盘【系统偏好设置 -> 键盘->快捷键->聚焦】修改 但是我不会去修改它&#xff0c;因为我不常用访达的搜索窗口&#xff0c;更多的是想快速打开访达文件夹窗口&#xff0c;可以通过第三方软件定义访达的快…