網(wǎng)絡(luò)安全運(yùn)營(yíng)體系建設(shè)方案

目錄

第1章.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作整體構(gòu)想...........6

1.1.工作目標(biāo)及原則.................................................6

1.1.1.工作目標(biāo)..................................................6

1.1.2.工作原則..................................................7

1.2.安全運(yùn)營(yíng)流程分析...............................................9

1.2.1.安全預(yù)測(cè).................................................10

1.2.2.安全防御.................................................11

1.2.3.安全檢測(cè)................................................12

1.2.4.安全響應(yīng).................................................12

1.3.安全運(yùn)營(yíng)工作架構(gòu)..............................................13

1.3.1.安全防護(hù)框架.............................................14

1.3.2,安全運(yùn)維柩架.............................................15

1.3.3.安全驗(yàn)證框架.............................................16

1.3.4,安全度量框架.............................................17

1.4.安全運(yùn)營(yíng)支撐架構(gòu)..............................................18

1.4.1.安全運(yùn)營(yíng)管理中心........................................19

1.4.2.安全防護(hù)框架............................................19

1.4.3.安全管理體系............................................19

1.4.4.安全服務(wù)體系............................................20

1.5.安全運(yùn)營(yíng)運(yùn)行模式..............................................20

第2章.安全運(yùn)營(yíng)監(jiān)控工作詳細(xì)規(guī)劃方案............23

2.1.安全運(yùn)營(yíng)監(jiān)控工作規(guī)劃思路......................................24

2.1.1.提升網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控能力................................24

2.1.2.加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控手段.................................26

2.1.3.完善網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理.................................28

2.2.安全運(yùn)營(yíng)監(jiān)控支撐平臺(tái)規(guī)劃方案..................................29

2.2.1.大數(shù)據(jù)安全基礎(chǔ)平臺(tái).......................................30

2.2.2.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái).............................34

2.2.3.情報(bào)中心.................................................62

2.2.4.安全控制中心.............................................63

2.3.安全運(yùn)營(yíng)服務(wù)規(guī)劃方案.........................................65

2.3.1.威脅檢測(cè)服務(wù)............................................66

2.3.2.應(yīng)急響應(yīng)服務(wù)............................................69

2.3.3,滲透測(cè)試服務(wù)............................................74

2.3.4.紅藍(lán)對(duì)抗服務(wù)............................................77

2.3.5.安全風(fēng)險(xiǎn)評(píng)估............................................83

2.3.6.安全咨詢服務(wù)............................................97

2.4.安全運(yùn)營(yíng)管理規(guī)劃方案..........................................99

2.4.1.安全管理架構(gòu).............................................99

2.4.2.安全策略和管理制度......................................100

2.4.3.安全管理機(jī)構(gòu)和人員......................................102

2.4.4.安全網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作建設(shè)管理........................105

2.4.5,安全運(yùn)維管理............................................106

2.4.6.文件管理................................................109

第3章.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控保障工作實(shí)施方案...........................111

3.1.安全運(yùn)營(yíng)監(jiān)控工作實(shí)施框架......................................Ill

3.1.1.組織機(jī)構(gòu)優(yōu)化............................................Ill

3.1.2.安全運(yùn)營(yíng)梳理............................................112

3.1.3.安全運(yùn)營(yíng)試點(diǎn)示范........................................113

3.1.4.安全運(yùn)營(yíng)國(guó)際化路線......................................114

3.2.安全運(yùn)營(yíng)監(jiān)控工作的實(shí)施標(biāo)準(zhǔn)...................................114

3.3.安全運(yùn)營(yíng)監(jiān)控工作實(shí)施方案.....................................115

3.3.1.實(shí)施原則.................................................117

3.3.2.安全運(yùn)營(yíng)監(jiān)控工作體系.....................................117

第4章.網(wǎng)絡(luò)安全運(yùn)營(yíng)保障方案....................122

4.1.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理委員會(huì)....................................122

4.2.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理組........................................123

4.3.網(wǎng)絡(luò)安全運(yùn)營(yíng)執(zhí)行組............................................123

4.4.網(wǎng)絡(luò)安全運(yùn)營(yíng)審核組............................................124

4.5.網(wǎng)絡(luò)安全運(yùn)營(yíng)事件應(yīng)急響應(yīng)小組..................................125

4.6.網(wǎng)絡(luò)安全運(yùn)營(yíng)保障制度及流程....................................126

4.7.信息資產(chǎn)的安全管理............................................126

4.8.資產(chǎn)的安全等級(jí)分類(lèi)............................................126

4.9.信息的安全標(biāo)記和史理制度......................................126

4.10.信息資產(chǎn)使用的安全管理.......................................127

4.11.資產(chǎn)使用記錄清單.............................................127

4.12.資產(chǎn)責(zé)任人制度...............................................127

4.13.資產(chǎn)的合格使用管理規(guī)定.......................................127

4.14.資產(chǎn)管理制度及流程示例.......................................127

4.15.安服人力資源安全管理.........................................133

4.16.人員選擇的安全管理制度.......................................133

4.17.人員使用安全管理制度.........................................136

4.18.人員職責(zé)終結(jié)或變更的安全管理制度.............................138

4.19.人員離崗離職網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理規(guī)定示例.....................138

4.20.安全區(qū)域制度.................................................140

4.21.設(shè)備安全制度.................................................144

4.22.常規(guī)控制措施.................................................149

4.23.通訊及系統(tǒng)操作安全管理.......................................150

5.1.4.檢查過(guò)程控制.............................................181

5.2.保密控制和文檔交接............................................182

5.2.1.保密控制.................................................182

5.2.2.保密期限.................................................183

5.2.3.保密信息的歸還和銷(xiāo)毀.....................................183

524.保證183

5.2.5.文檔交接.................................................184

5.3.進(jìn)度控制措施..................................................184

5.3.1.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作進(jìn)度控制的前提......................184

5.3.2.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作進(jìn)度控制主要手段....................185

5.3.3.進(jìn)度控制內(nèi)容.............................................186

534.不同階段的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作進(jìn)度控制...................187

第6章.安全運(yùn)營(yíng)監(jiān)控工作實(shí)施保障措施...........188

6.1.***安全運(yùn)營(yíng)管理機(jī)制優(yōu)化......................................188

6.1.1.安全運(yùn)營(yíng)體系的起草制定.................................188

6.1.2.安全運(yùn)營(yíng)體系的推廣與實(shí)施................................188

6.1.3.安全運(yùn)營(yíng)體系使用過(guò)程中的反饋評(píng)估........................189

6.1.4.安全運(yùn)營(yíng)體系規(guī)范體系的修訂與完善........................189

6.2.安全運(yùn)營(yíng)監(jiān)控評(píng)價(jià)體系建立.....................................189

6.2.1.***安全運(yùn)營(yíng)評(píng)價(jià)總則.....................................189

6.2.2.***安全運(yùn)營(yíng)實(shí)施思路.....................................191

6.2.3.***安全運(yùn)營(yíng)評(píng)價(jià)框架模型.................................191

6.2.4.***安全運(yùn)營(yíng)評(píng)價(jià)總體框架.................................191

6.2.5.安全運(yùn)營(yíng)分項(xiàng)評(píng)價(jià)指標(biāo)體系................................192

第1章.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作整體構(gòu)想

1.1.工作目標(biāo)及原則

1.1.1.工作目標(biāo)

為切實(shí)落實(shí)強(qiáng)化公司網(wǎng)絡(luò)安全保障，有效地支撐公司數(shù)字化轉(zhuǎn)型戰(zhàn)

略，建立健全公司網(wǎng)省兩級(jí)協(xié)同的網(wǎng)絡(luò)安全運(yùn)行監(jiān)控機(jī)制，形成一體化

的網(wǎng)絡(luò)安全防御、監(jiān)測(cè)預(yù)警和應(yīng)急處置體系。主要實(shí)現(xiàn)以下工作目標(biāo)：

（一）堅(jiān)持統(tǒng)籌謀劃、整體推進(jìn)。統(tǒng)籌公司生產(chǎn)大區(qū)、管理大區(qū)安

全監(jiān)控重點(diǎn)，統(tǒng)籌資源配置和關(guān)鍵技術(shù)管理，構(gòu)建全網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)

警能力，推進(jìn)各項(xiàng)任務(wù)的有序開(kāi)展。

（二）堅(jiān)持協(xié)同性，強(qiáng)調(diào)分級(jí)管控。整合公司內(nèi)部資源，堅(jiān)持全網(wǎng)

網(wǎng)絡(luò)安全-盤(pán)棋，組建網(wǎng)省兩級(jí)運(yùn)行監(jiān)控隊(duì)伍，明確工作界面，形成分

級(jí)協(xié)同的安全運(yùn)行監(jiān)控體系。

（三）堅(jiān)持實(shí)戰(zhàn)性，強(qiáng)調(diào)安全運(yùn)營(yíng)。重點(diǎn)突出網(wǎng)絡(luò)安全運(yùn)行監(jiān)控體

系的實(shí)戰(zhàn)能力與保障能力，以安全事件發(fā)現(xiàn)、分析研判、通告預(yù)警、響

應(yīng)處置、追蹤調(diào)查為核心，構(gòu)建面向?qū)崙?zhàn)的安全運(yùn)營(yíng)體系，將技術(shù)、管

理、流程進(jìn)行有機(jī)整合，支撐業(yè)務(wù)實(shí)戰(zhàn)，形成能保障業(yè)務(wù)、促進(jìn)業(yè)務(wù)的

閉環(huán)安全運(yùn)營(yíng)。

（四）堅(jiān)持及時(shí)性，強(qiáng)調(diào)降低安全事件影響范圍。建立網(wǎng)絡(luò)安全運(yùn)

行監(jiān)測(cè)值班機(jī)制，確保及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，形成網(wǎng)絡(luò)安全與系統(tǒng)運(yùn)

行協(xié)同的一體化監(jiān)控、應(yīng)急防護(hù)體系，統(tǒng)籌協(xié)調(diào)事件處置，全力降低安

全事件影響范圍。

1.1.2.工作原則

＞標(biāo)準(zhǔn)性原則

盡可能地遵循現(xiàn)有的與網(wǎng)絡(luò)安全運(yùn)營(yíng)相關(guān)的國(guó)際標(biāo)準(zhǔn)、國(guó)內(nèi)標(biāo)準(zhǔn)、

行業(yè)標(biāo)準(zhǔn)，包括在技術(shù)框架中與具體的網(wǎng)絡(luò)安全運(yùn)營(yíng)技術(shù)相關(guān)的標(biāo)準(zhǔn)，

以及在管理框架中與安全管理相關(guān)的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)性原則從根本上保證

***系統(tǒng)建設(shè)具有良好的全面性、標(biāo)準(zhǔn)性、和開(kāi)放性。

＞整體性原則

從宏觀的、整體的角度出發(fā)，系統(tǒng)地建設(shè)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作，

不僅僅局限于安全技術(shù)層面，或者技術(shù)層面中孤立的安全技術(shù)，而是全

面構(gòu)架網(wǎng)絡(luò)安全運(yùn)營(yíng)技術(shù)體系，覆蓋從***系統(tǒng)物理安全、通信和網(wǎng)絡(luò)

安全、主機(jī)系統(tǒng)安全、到數(shù)據(jù)和應(yīng)用系統(tǒng)安全各個(gè)層面。同時(shí)，建立全

面有效安全管理體系和運(yùn)行保障體系，使得安全技術(shù)體系發(fā)揮最佳的保

障效果。

＞實(shí)用性原則

建立網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作，必須針對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的特點(diǎn)，在

***系統(tǒng)現(xiàn)狀分析和風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上有的放矢地進(jìn)行，不能簡(jiǎn)單地照

抄照搬其它的網(wǎng)絡(luò)安全運(yùn)營(yíng)保障方案。同時(shí)，網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作中

的所有內(nèi)容，都被用來(lái)指導(dǎo)網(wǎng)絡(luò)安全運(yùn)營(yíng)系統(tǒng)的建設(shè)和管理維護(hù)等實(shí)際

工作，因此須堅(jiān)持可操作性和實(shí)用性原則，避免空洞和歧義現(xiàn)象。

實(shí)用性還體現(xiàn)在網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的建設(shè)過(guò)程中，由于內(nèi)容龐

雜，須堅(jiān)持分步驟的有序?qū)嵤┰瓌t，循序漸進(jìn)地進(jìn)行建設(shè)。

＞先進(jìn)性原則

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作中所涉及的安全技術(shù)和機(jī)制，應(yīng)該具有一定

的先進(jìn)性和前脂性，既能夠滿足當(dāng)前系統(tǒng)的安全要求，又能夠滿足

系統(tǒng)未來(lái)3到5年時(shí)間內(nèi)，網(wǎng)絡(luò)安全運(yùn)營(yíng)系統(tǒng)建設(shè)的需要，為網(wǎng)絡(luò)和信

息系統(tǒng)提供有效的安全服務(wù)保障。

1.2.安全運(yùn)營(yíng)流程分析

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作活動(dòng)應(yīng)該主要包括兩個(gè)方面：

第一、未雨綢繆，卻在事件發(fā)生前事先做好準(zhǔn)備，比如風(fēng)險(xiǎn)評(píng)估、

制定安全計(jì)劃、安全意識(shí)的培訓(xùn)I、以發(fā)布安全通告的方式進(jìn)行的預(yù)警、

以及各種防范措施；

第二、亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，其目的在于把事件

造成的損失降到最小。這些行動(dòng)措施可能來(lái)自于人，也可能來(lái)自系統(tǒng)，

不如發(fā)現(xiàn)事件發(fā)生后，系統(tǒng)備份、病毒檢測(cè)、后門(mén)檢測(cè)、清除病毒或后

門(mén)、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

以上兩個(gè)方面工作是相互補(bǔ)充的。首先，事前的計(jì)劃和準(zhǔn)備為事件

發(fā)生后的響應(yīng)動(dòng)作提供了指導(dǎo)框架，否則，響應(yīng)動(dòng)作將陷入混亂，而這

些毫無(wú)章法的響應(yīng)動(dòng)作有可能造成比事件本身更大的損失；其次，事后

的響應(yīng)可能發(fā)現(xiàn)事前計(jì)劃的不足，吸取教訓(xùn)，從而確保完善安全計(jì)劃。

因此，這兩個(gè)方面應(yīng)該形成一種正反饋的機(jī)制，逐步強(qiáng)化組織的安全防

范體系。

圖1.1安全運(yùn)營(yíng)流程分析

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作流程可參考上圖中的自適應(yīng)安全框架，以資

產(chǎn)為基礎(chǔ)，以持續(xù)監(jiān)控與分析為核心，整個(gè)安全運(yùn)營(yíng)流程可分為防御、

檢測(cè)、響應(yīng)、預(yù)測(cè)四個(gè)維度，自適應(yīng)于不同基礎(chǔ)架構(gòu)和業(yè)務(wù)變化，形成

統(tǒng)一的安全策略。

1.2.1.安全預(yù)測(cè)

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作流程中安全預(yù)測(cè)應(yīng)該基于資產(chǎn)進(jìn)行安全預(yù)

測(cè)，雖然***都明確要求進(jìn)行定期資產(chǎn)風(fēng)險(xiǎn)檢查，并頒布了明確的信息

系統(tǒng)安全資產(chǎn)檢查指導(dǎo)性文件。但目前還是存在一定的不足與缺陷，網(wǎng)

絡(luò)安全運(yùn)營(yíng)監(jiān)控工作最重要就是保障平臺(tái)資產(chǎn)安全，因此需要對(duì)平臺(tái)資

產(chǎn)管理定期管理，獲取并記錄資產(chǎn)中的主機(jī)及傳統(tǒng)服務(wù)器上系統(tǒng)的上的

各個(gè)端口、網(wǎng)站、Web容器、第三方組件、數(shù)據(jù)庫(kù)、進(jìn)程、賬號(hào)等信息,

進(jìn)行統(tǒng)一的管理和清點(diǎn)解決安全運(yùn)營(yíng)階段中網(wǎng)絡(luò)安全監(jiān)控能力和分析

能力不足的難題，尤其針對(duì)網(wǎng)絡(luò)新常態(tài)下，暴露資產(chǎn)監(jiān)控、入侵行為追

蹤、高級(jí)威脅監(jiān)控、失陷主機(jī)發(fā)現(xiàn)、漏洞閉環(huán)管理、攻擊鏈還原、威脅

情報(bào)管理等多種高價(jià)值安全業(yè)務(wù)和場(chǎng)景的監(jiān)控與管理。。

但只有通過(guò)統(tǒng)一資產(chǎn)管理從可實(shí)時(shí)掌握IT系統(tǒng)內(nèi)部的資產(chǎn)情況，支

持資產(chǎn)變更分析對(duì)各類(lèi)資產(chǎn)的變動(dòng)情況進(jìn)行記錄，便于審計(jì)歷史變動(dòng)，

自主發(fā)現(xiàn)異常行為；從而了解資產(chǎn)的風(fēng)險(xiǎn)，提前做出預(yù)測(cè)，從外部威脅

及系統(tǒng)自身脆弱性兩個(gè)維度進(jìn)行全面分析，站在威脅視角，以網(wǎng)絡(luò)入侵、

異常流量和僵木蠕為切入點(diǎn)，做到知彼；站在脆弱性視角，以系統(tǒng)漏洞

和網(wǎng)站安全為切入點(diǎn)，做到知己，提供全方位、全天候的感知能力。

1.2.2.安全防御

在網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控安全防御工作，我們可以根據(jù)安全預(yù)測(cè)的結(jié)果

及時(shí)調(diào)整安全防護(hù)措施，幫助解決網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)資產(chǎn)等各

類(lèi)形態(tài)IT資產(chǎn)，所產(chǎn)生的安全信息孤島難以形成威脅情報(bào)的難題。利

用數(shù)據(jù)采集、實(shí)時(shí)或準(zhǔn)實(shí)時(shí)等檢測(cè)技術(shù)手段，分析和發(fā)現(xiàn)攻擊行為、流

量異常等安全威脅，通過(guò)打通各系統(tǒng)間產(chǎn)生的安全數(shù)據(jù)，轉(zhuǎn)化為安全情

報(bào)，實(shí)現(xiàn)單一的安全信息能力轉(zhuǎn)化為自適應(yīng)安全，言息能力，彌補(bǔ)用戶在

網(wǎng)絡(luò)安全運(yùn)營(yíng)數(shù)據(jù)整合能力、威脅行為預(yù)判能力上可能存在的短板。平

臺(tái)各開(kāi)啟各類(lèi)監(jiān)控包括登錄監(jiān)控、完整性監(jiān)控、操作審計(jì)、進(jìn)程監(jiān)控、

資源監(jiān)控、性能監(jiān)控。從端點(diǎn)安全的角度，全天侯監(jiān)控服務(wù)器的運(yùn)行情

況，能確保第一時(shí)間發(fā)現(xiàn)服務(wù)器問(wèn)題，最大限度的縮小排除故障時(shí)間，

幫助單位快速發(fā)現(xiàn)安全風(fēng)險(xiǎn)和性能瓶頸。另外，通過(guò)安全預(yù)測(cè)發(fā)現(xiàn)的問(wèn)

題系統(tǒng)能自動(dòng)進(jìn)行問(wèn)題歸類(lèi)到漏洞風(fēng)險(xiǎn)及入侵威脅模塊中，方便管理人

員做針對(duì)性是理。

1.2.3.安全檢測(cè)

日常安全檢測(cè)是不可缺少的工作，能夠?qū)崟r(shí)掌握安全風(fēng)險(xiǎn)狀況，極

大的降低突發(fā)事件出現(xiàn)的概率，從安全維護(hù)成本上考慮非常有利。通過(guò)

安全檢測(cè)對(duì)信息系統(tǒng)配置操作是否安全，是安全風(fēng)險(xiǎn)控制的重要方面，

安全配置錯(cuò)誤一般是人員操作失誤導(dǎo)致，而滿足大量信息系統(tǒng)設(shè)備的安

全配置要求，對(duì)人員業(yè)務(wù)水平、技術(shù)水平要求相對(duì)較高，所以一些行業(yè)

和大型企業(yè)制定了針對(duì)自身業(yè)務(wù)系統(tǒng)特點(diǎn)的配置檢查Checklist和操作

指南，而國(guó)務(wù)院《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》（147

號(hào)令）以及公安部頒布的一系列網(wǎng)絡(luò)安全運(yùn)營(yíng)等級(jí)保護(hù)標(biāo)準(zhǔn)，也明確了

信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的綱領(lǐng)性要求。

但行業(yè)規(guī)范和等級(jí)保護(hù)綱領(lǐng)性規(guī)范要求讓運(yùn)維人員有了安全檢測(cè)風(fēng)

險(xiǎn)的標(biāo)準(zhǔn)，但是面對(duì)網(wǎng)絡(luò)中種類(lèi)繁雜、數(shù)量眾多的服務(wù)器，如何快速、

有效的檢查，又如何集中收集核查的結(jié)果，以及制作風(fēng)險(xiǎn)審核報(bào)告，并

且最終識(shí)別那些與安全規(guī)范不符合的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作，以達(dá)到整

改合規(guī)的要求，這些是安全檢測(cè)面臨的難題。

1.2.4.安全響應(yīng)

網(wǎng)絡(luò)安全響應(yīng)是指在對(duì)網(wǎng)絡(luò)安全事件的事前預(yù)防、事發(fā)應(yīng)對(duì)、事中

處置和善后恢復(fù)過(guò)程中，通過(guò)建立必要的應(yīng)對(duì)機(jī)制，采取一系列必要措

施，應(yīng)用科學(xué)、技術(shù)、規(guī)劃與管理等手段，保障公眾財(cái)產(chǎn)、基礎(chǔ)設(shè)施、

應(yīng)用系統(tǒng)、信息數(shù)據(jù)等安令，促進(jìn)社會(huì)和諧健康發(fā)展的有關(guān)活動(dòng)，因?yàn)?/p>

安全響應(yīng)是無(wú)規(guī)律可尋找的，因此我們?cè)谌粘０踩憫?yīng)工作中要制定規(guī)

范的應(yīng)急響應(yīng)預(yù)案。

應(yīng)急響應(yīng)預(yù)案是指針對(duì)可能發(fā)生的事故，為迅速、有序地開(kāi)展

應(yīng)急行動(dòng)而預(yù)先制定的行動(dòng)方案。網(wǎng)絡(luò)安全應(yīng)急預(yù)案應(yīng)形成體系，針對(duì)

各級(jí)各類(lèi)可能發(fā)生的網(wǎng)絡(luò)安全事件和所有風(fēng)險(xiǎn)源制定專(zhuān)項(xiàng)應(yīng)急預(yù)案和

處置方案，并明確事前、事發(fā)、事中、事后的各個(gè)過(guò)程中相關(guān)部門(mén)和有

關(guān)人員的職責(zé)。要明確了各類(lèi)網(wǎng)絡(luò)安全事件分級(jí)分類(lèi)和預(yù)案框架體系，

規(guī)定了應(yīng)對(duì)網(wǎng)絡(luò)安全事件的組織體系、工作機(jī)制等內(nèi)容，是指導(dǎo)預(yù)防和

處置各類(lèi)網(wǎng)絡(luò)安全事件的規(guī)范性文件。綜合應(yīng)急預(yù)案是從總體上闡述處

理網(wǎng)絡(luò)安全事件的應(yīng)急方針、政策，應(yīng)急組織結(jié)閡及相關(guān)應(yīng)急職責(zé)，應(yīng)

急行動(dòng)、措施和保障等基本要求和程序，是應(yīng)對(duì)各類(lèi)網(wǎng)絡(luò)安全事件的綜

合性文件。

1.3.安全運(yùn)營(yíng)工作架構(gòu)

為確保安全運(yùn)營(yíng)工作架構(gòu)能夠靈活擴(kuò)展，方案將安全運(yùn)營(yíng)架構(gòu)按業(yè)

務(wù)功能分為四個(gè)模塊進(jìn)行描述：安全防護(hù)框架、安全運(yùn)維框架、安全驗(yàn)

證框架、安全度量框架，

y

圖1.3安全運(yùn)營(yíng)框架

1.3.1.安全防護(hù)框架

安全防護(hù)框架包括檢測(cè)與防護(hù)兩部分，主要通過(guò)在網(wǎng)絡(luò)不同層次不

同域部署各類(lèi)安全監(jiān)測(cè)探針，提供實(shí)時(shí)檢測(cè)能力，為安全運(yùn)維框架提供

可視化信息采集，并通過(guò)安全防護(hù)設(shè)備策略設(shè)置，實(shí)現(xiàn)安全防護(hù)。安全

運(yùn)維框架主要是統(tǒng)一采集安全防護(hù)框架各探針的撿測(cè)數(shù)據(jù)，并做進(jìn)一步

的處理及關(guān)聯(lián)分析，通過(guò)統(tǒng)一展示平臺(tái)輸出事件告警數(shù)據(jù)，進(jìn)入事件處

理平臺(tái)和流程，人工介入處理。安全運(yùn)維框架還包括安全事件的定期

review和向管理層匯報(bào).安全驗(yàn)證框架主要是綜合通過(guò)黑盒白盒瞼證措

施，確保安全防護(hù)框架和安全運(yùn)維框架有效性。安全度量框架通過(guò)一系

列的安全度量指標(biāo)，衡量評(píng)價(jià)安全運(yùn)營(yíng)質(zhì)量水平，并針對(duì)性持續(xù)過(guò)程改

進(jìn)，實(shí)現(xiàn)質(zhì)量的螺旋上升。

系統(tǒng)安全保護(hù)環(huán)境由安全計(jì)算環(huán)境，安全區(qū)域邊界，安全通信網(wǎng)絡(luò)

和（或）安全管理中心組成。相應(yīng)的，我們認(rèn)為安全防護(hù)框架由安全計(jì)

算環(huán)境，安全區(qū)域邊界和安全通信網(wǎng)絡(luò)組成。由于目標(biāo)環(huán)境主要由傳統(tǒng)

數(shù)據(jù)中心環(huán)境及云計(jì)算環(huán)境組成，我們?cè)诜雷o(hù)框架上也主要考慮通用安

全計(jì)算環(huán)境及云計(jì)算環(huán)境的需要。

其中，通用安全計(jì)算環(huán)境主要包括用戶身份鑒別、訪問(wèn)控制、安全

審計(jì)、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)保密性保護(hù)、客體安全重用、入侵檢測(cè)、

惡意代碼防范等要求。針對(duì)云安全計(jì)算環(huán)境，除上述要求在云計(jì)算環(huán)境

的體現(xiàn)外，還需要包括數(shù)據(jù)備份與恢復(fù)、虛擬化安全、鏡像和快照安全

等要求。

通用安全區(qū)域邊界包括區(qū)域邊界訪問(wèn)控制、區(qū)域邊界包過(guò)濾、區(qū)域

邊界安全審計(jì)、區(qū)域邊界完整性保護(hù)等要求。云安全計(jì)算環(huán)境出上述要

求的體現(xiàn)外，還包括區(qū)域邊界結(jié)構(gòu)安全。

通用安全通信網(wǎng)絡(luò)要求包括通信網(wǎng)絡(luò)安全審計(jì)，通信網(wǎng)絡(luò)數(shù)據(jù)傳輸完整

性保護(hù)，通信網(wǎng)絡(luò)數(shù)據(jù)傳輸保密性保護(hù)等要求，對(duì)云安全通信網(wǎng)絡(luò)設(shè)計(jì),

還需要考慮通信網(wǎng)絡(luò)可信接入保護(hù)。

安全防護(hù)設(shè)備通常可兼做安全管理平臺(tái)的探針，把各類(lèi)檢測(cè)數(shù)據(jù)、

防護(hù)日志、安全審計(jì)記錄等傳輸?shù)桨踩芾砥脚_(tái)做進(jìn)一步的處理分析。

亦可部署專(zhuān)用數(shù)據(jù)探針，采集環(huán)境數(shù)據(jù)并上傳到安全管理平臺(tái)。安全運(yùn)

維框架的數(shù)據(jù)上傳，需要考慮到底是發(fā)送原始檢測(cè)信息還是處理后的監(jiān)

測(cè)告警信息。在需要對(duì)事件進(jìn)行取證溯源的情況下，需要盡量發(fā)送原始

信息，以便于安全管理平臺(tái)進(jìn)行分析。

1.3.2.安全運(yùn)維框架

安全運(yùn)維框架的建設(shè)目標(biāo)是成為企業(yè)安全的大腦、神經(jīng)中樞、耳

目和手腳。安全運(yùn)維框架包括安全管理中心、人與流程三部分。

安全管理中心是企業(yè)安全的大腦及神經(jīng)中樞，通常基于大數(shù)據(jù)分

析平臺(tái)基礎(chǔ)上進(jìn)行建設(shè),安全運(yùn)營(yíng)管理中心應(yīng)當(dāng)包括系統(tǒng)管理、安全管

理、審計(jì)管理。對(duì)系統(tǒng)管理，可通過(guò)系統(tǒng)管理員對(duì)系統(tǒng)的資源和運(yùn)行進(jìn)

行配置和控制。對(duì)安全管理，需具有對(duì)攻擊行為回溯分析及對(duì)網(wǎng)絡(luò)安全

事件進(jìn)行預(yù)測(cè)和預(yù)警的能力；需具有對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行感知、預(yù)測(cè)和

預(yù)判的能力。

安全運(yùn)維框架的耳目是安全情報(bào)、安全監(jiān)視和偵察系統(tǒng)。通過(guò)安全

防護(hù)框架中的探針數(shù)據(jù)采集，實(shí)現(xiàn)異常行為的實(shí)時(shí)監(jiān)測(cè)。通過(guò)介入安全

情報(bào)，讓安全運(yùn)維框架看的更遠(yuǎn)。

安全運(yùn)維框架的建設(shè)，需要建設(shè)事件處理安全運(yùn)營(yíng)監(jiān)控流程，納入ITIL

事件管理流程，通過(guò)下發(fā)工單和發(fā)送告警郵件、短信等方式進(jìn)行安全提

醒。而安全事件的確認(rèn)和溯源分析及處置常常通過(guò)自動(dòng)化結(jié)合人工分析

和確認(rèn)的方式進(jìn)行。對(duì)于100%確定異常的安全攻擊可以通過(guò)自動(dòng)化方式

進(jìn)行阻斷。通過(guò)安全事件日?qǐng)?bào)、周報(bào)、月報(bào)等方式對(duì)安全事件進(jìn)行閉環(huán)

管理。

1.3.3.安全驗(yàn)證框架

安全驗(yàn)證框架解決安全有效性問(wèn)題，承擔(dān)對(duì)安全防護(hù)和安全運(yùn)維

兩個(gè)框架的功能驗(yàn)證。安全驗(yàn)證框架是企業(yè)安全的藍(lán)軍，在和平時(shí)期，

藍(lán)軍扮演著對(duì)手角色，利于及時(shí)發(fā)現(xiàn)、評(píng)估、修復(fù)、確認(rèn)和改進(jìn)安全防

護(hù)和運(yùn)維框架中的脆弱點(diǎn)。包括白盒檢測(cè)（過(guò)程驗(yàn)證）和黑和檢測(cè)（結(jié)

果驗(yàn)證）兩部分。

白盒檢測(cè)（過(guò)程驗(yàn)證）是指建立自動(dòng)化驗(yàn)證平臺(tái)，對(duì)安全防護(hù)框架

的管控措施實(shí)現(xiàn)100%的全面驗(yàn)證，并可視化集成至安全管理平臺(tái)中，管

控措施失效能夠在指定時(shí)間內(nèi)發(fā)現(xiàn)。通過(guò)自動(dòng)化驗(yàn)證平臺(tái)達(dá)到：

1）驗(yàn)證探針安全監(jiān)測(cè)功能有效；

2）驗(yàn)證探針?biāo)a(chǎn)生監(jiān)測(cè)信息到安全管理平臺(tái)的信息采集有效；

3）驗(yàn)證安全管理中心的安全檢測(cè)規(guī)則有效；

4）驗(yàn)證告警方式（郵件、短信與可視化展示）有效。

基于上述目標(biāo)，自動(dòng)化驗(yàn)證要求所驗(yàn)證事件必須為自動(dòng)化模擬真實(shí)事件

產(chǎn)生，不能使用插入記錄方式產(chǎn)生，同時(shí)自動(dòng)化驗(yàn)證事件應(yīng)提供判斷是

否為驗(yàn)證事件的唯一標(biāo)識(shí)。安全管理平臺(tái)應(yīng)能檢測(cè)到驗(yàn)證未通過(guò)的系統(tǒng)

和規(guī)則，并產(chǎn)生告警信息，通知運(yùn)維人員介入處理。

黑盒檢測(cè)（結(jié)果臉證）是通過(guò)多渠道安全滲透機(jī)制和紅藍(lán)對(duì)抗演

習(xí)等，先于對(duì)手發(fā)現(xiàn)自己的漏洞和弱點(diǎn)。滲透測(cè)試及紅藍(lán)對(duì)抗演習(xí)需要

企業(yè)具有較高攻防技能的安全人員，也可聘請(qǐng)專(zhuān)業(yè)安全服務(wù)機(jī)構(gòu)完成，

用于檢測(cè)安全防護(hù)框架和安全運(yùn)維框架的有效性。

1.3.4.安全度量框架

安全度量框架主要用于衡量評(píng)價(jià)安全有效性。安全度量框架可以分

為如下幾個(gè)層次：

一是技術(shù)維度。通過(guò)配置核查系統(tǒng)對(duì)資產(chǎn)合規(guī)性進(jìn)行檢測(cè)，包括防病毒

軟件的安袋率、正常率，各類(lèi)策略配置是否符合合規(guī)性要求：入侵檢測(cè)

的檢測(cè)率，防護(hù)有效性、誤報(bào)率；安全事件的發(fā)生頻率，響應(yīng)時(shí)長(zhǎng)、處

理時(shí)長(zhǎng)；高危預(yù)警漏洞排查所需時(shí)間和完全修復(fù)時(shí)間?；谫Y產(chǎn)脆弱性

及所受威脅進(jìn)行資產(chǎn)風(fēng)驗(yàn)評(píng)估?；诟黝?lèi)響應(yīng)及處置情況及事件發(fā)生趨

勢(shì)進(jìn)行安全運(yùn)維狀況評(píng)估。部分?jǐn)?shù)據(jù)指標(biāo)可由安全管理平臺(tái)直接計(jì)算得

出；部分指標(biāo)需要通過(guò)管理平臺(tái)數(shù)據(jù)結(jié)合人工分析得到。

一是安全運(yùn)營(yíng)成效3包括覆蓋率、檢出率、攻防對(duì)抗成功率。有多

少業(yè)務(wù)和系統(tǒng)處于安全保護(hù)之下，有多少無(wú)人問(wèn)津的灰色地帝。檢出率

和攻防對(duì)抗成功率都是衡量安全有效性的有效指標(biāo)。安全運(yùn)營(yíng)成效的度

量，可以結(jié)合安全驗(yàn)證框架進(jìn)行。

三是安全滿意度和安全價(jià)值。安全價(jià)值反映在安全對(duì)業(yè)務(wù)支撐的能

力，TCO/ROI,安全用多少資源，支撐了多少業(yè)務(wù)，支撐的程度。安全

價(jià)值還體現(xiàn)在內(nèi)部的影響力以及對(duì)業(yè)務(wù)的影響力，是做微觀安全還是廣

義安全，是為業(yè)務(wù)帶來(lái)正面影響還是負(fù)分拖后腿。安全滿意度是綜合維

度指標(biāo)，可理解為是對(duì)安全團(tuán)隊(duì)和人員的最高要求，既要滿足上級(jí)領(lǐng)導(dǎo)

和業(yè)務(wù)部門(mén)對(duì)安全的利益訴求，又要滿足同級(jí)橫向其他IT團(tuán)隊(duì)對(duì)安全

的利益訴求，還要滿足團(tuán)隊(duì)內(nèi)部成員的利益訴求，要提供最佳的安全服

務(wù)，讓安全的用戶成為安全的客戶，讓使用者滿意，真的是非常非常有

挑戰(zhàn)的一件事情。這種度量往往結(jié)合使用者訪談等方式進(jìn)行。

1.4.安全運(yùn)營(yíng)支撐架構(gòu)

結(jié)合上述運(yùn)營(yíng)流程分析及安全運(yùn)營(yíng)架構(gòu)，設(shè)計(jì)如下運(yùn)營(yíng)支撐體系

組成架構(gòu)：

態(tài)勢(shì)感知與運(yùn)維平臺(tái)?安全控制中心■ITIL平臺(tái)

安

全

驗(yàn)

證

抵

安

全

架

度7安全域與邊界安全防護(hù)

梅

梨

安全防護(hù)框架

運(yùn)營(yíng)支撐體系組成架構(gòu)

運(yùn)營(yíng)支撐體系主要由安全運(yùn)營(yíng)管理中心、安全防護(hù)框架、安全管理

體系，安全服務(wù)體系組成。

安全運(yùn)維架構(gòu)中的安全運(yùn)維框架、安全驗(yàn)證庵架、安全度量框架三

大模塊，由安全運(yùn)營(yíng)管里中心、安全管理體系、安全服務(wù)體系共同實(shí)現(xiàn)。

1.4.1.安全運(yùn)營(yíng)管理中心

安全運(yùn)營(yíng)管埋中心是整個(gè)運(yùn)營(yíng)支撐體系的大胸和神經(jīng)中樞。包括網(wǎng)

絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)、4A平臺(tái)、情報(bào)中心、安全控制中心、ITIL

平臺(tái)五部分。其中網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)實(shí)現(xiàn)整體網(wǎng)絡(luò)安全態(tài)

勢(shì)感知和運(yùn)維管理功能。4A平臺(tái)對(duì)整個(gè)網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)及用戶實(shí)現(xiàn)集中賬

號(hào)管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計(jì)管理的功能。安全控

制中心實(shí)現(xiàn)封堵、下發(fā)防護(hù)策略、SDN流表策略控制等的功能。ITIL平

臺(tái)主要實(shí)現(xiàn)事件處置流程處理，如工單管理等功能。情報(bào)中心接入多源

情報(bào)信息，并提供給安全管理平臺(tái)進(jìn)行關(guān)聯(lián)使用。

1.4.2.安全防護(hù)框架

安全防護(hù)框架包括安全域建設(shè)及邊界安全防護(hù)，傳統(tǒng)數(shù)據(jù)中心防

護(hù)，私有云安全防護(hù)，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的防沙措施，以及為安全管

理平臺(tái)提供探針功能，進(jìn)行安全數(shù)據(jù)及審計(jì)數(shù)據(jù)的采集。

1.4.3.安全管理體系

安全管理體系通過(guò)機(jī)構(gòu)和人員管理、制度和規(guī)范管理實(shí)現(xiàn)安全組織

保障，并指導(dǎo)安全建設(shè)、安全運(yùn)維從流程運(yùn)行的角度開(kāi)展系統(tǒng)全生命周

期的管理實(shí)施工作。

1.4.4.安全服務(wù)體系

安全服務(wù)體系引入專(zhuān)家服務(wù)的視角。本著“讓專(zhuān)業(yè)的人做專(zhuān)業(yè)的

事”的原則，通過(guò)安全專(zhuān)家，提供威脅檢測(cè)與響應(yīng)服務(wù)、應(yīng)急響應(yīng)服務(wù)、

安全評(píng)估服務(wù)、滲透測(cè)試、紅藍(lán)對(duì)抗服務(wù)，滿足安全運(yùn)維、安全驗(yàn)證、

安全度量等的需要。

1.5.安全運(yùn)營(yíng)運(yùn)行模式

安全運(yùn)營(yíng)支撐體系包括三個(gè)基本元素和一個(gè)目標(biāo)。

三個(gè)基本元素分別對(duì)應(yīng)于人、技術(shù)和流程，這三個(gè)要素互相關(guān)聯(lián)、

互相制約，共同決定安全防護(hù)體系運(yùn)行的成效。

基本元素“人”強(qiáng)調(diào)人員組織，突出了任何一個(gè)體系中人的重要作

用。對(duì)于“人”的建設(shè)不僅僅是安全組織機(jī)構(gòu)的建設(shè)，確立人員的職責(zé)，

更重要的是制定安全策略，安全管理規(guī)范和安全指南。安全策略詳細(xì)描

述了網(wǎng)絡(luò)安全運(yùn)營(yíng)各方面的目標(biāo)，用于指導(dǎo)安全管理規(guī)范和安全指南的

建設(shè)和修改；安全規(guī)范為“人”提供了安全行為的規(guī)范和制度，安全指

南為實(shí)施安全的管理人員或者最終用戶提供了安全操作的具體指南和

手冊(cè)。同時(shí)，安全建設(shè)由于其復(fù)雜性和全面性的要求，一個(gè)完整的安全

組織架構(gòu)還必須有外部安全服務(wù)體系作為有力支撐。此外，對(duì)于安全管

理規(guī)范的制定只是安全管理的第一步，更為重要的是如何將安全管理規(guī)

范有效地推廣和實(shí)施，真正成為的安全標(biāo)準(zhǔn)和人員的行為準(zhǔn)則。

基本元素“技術(shù)”涉及運(yùn)營(yíng)支撐體系建設(shè)的整個(gè)生命周期，“創(chuàng)造

價(jià)值的不是技術(shù)本身，而是通過(guò)技術(shù)的部署和實(shí)現(xiàn)有效地滿足了網(wǎng)絡(luò)的

需求”，同樣，安全技術(shù)的價(jià)值也是體現(xiàn)在通過(guò)安全技術(shù)的部署和實(shí)現(xiàn),

推動(dòng)安全服務(wù)提高水平，滿足業(yè)務(wù)需求。

因此，“技術(shù)”體系以業(yè)務(wù)視角為起點(diǎn)，對(duì)資產(chǎn)進(jìn)行歸類(lèi)，梳理關(guān)

鍵業(yè)務(wù)流，分析評(píng)估風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)控制的環(huán)節(jié)，最終實(shí)現(xiàn)具體的安全

功能。

以網(wǎng)絡(luò)安全運(yùn)營(yíng)評(píng)估為切入點(diǎn)和著手點(diǎn)，識(shí)別評(píng)價(jià)當(dāng)前的網(wǎng)絡(luò)安全

運(yùn)營(yíng)風(fēng)險(xiǎn)，作為安全設(shè)計(jì)和規(guī)劃的依據(jù)。同時(shí)，風(fēng)險(xiǎn)會(huì)不斷變化，風(fēng)險(xiǎn)

的管理也必然是動(dòng)態(tài)和長(zhǎng)期的，整個(gè)技術(shù)體系都應(yīng)當(dāng)不斷地根據(jù)新的風(fēng)

險(xiǎn)的引入響應(yīng)變化。動(dòng)徐的安全風(fēng)險(xiǎn)管理思想指導(dǎo)用戶關(guān)注、監(jiān)控風(fēng)險(xiǎn),

在風(fēng)險(xiǎn)累積到一定程度，危害業(yè)務(wù)安全時(shí)，及時(shí)進(jìn)行安全策路的調(diào)整和

新一輪的安全體系完善建設(shè)。

基本元素“流程”漠塊不但是技術(shù)和人之間的橋梁，也是安全運(yùn)營(yíng)

支撐體系與整個(gè)IT服務(wù)管理體系的界面。等級(jí)保護(hù)支持的各個(gè)流程：

安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維

管理等流程規(guī)范了安全管理活動(dòng)，按照流程的方式加以組織，并且賦予

每個(gè)流程以特定的目標(biāo)、范圍和職能，安全管理對(duì)組織業(yè)務(wù)的支持更為

徹底和有效。等級(jí)保護(hù)管理流程為安全管理提供了最佳的操作實(shí)踐。安

全事件可以作為事故管理流程的輸入，安全知識(shí)庫(kù)可以作為問(wèn)題管理流

程的輸入，任何安全操作必須按照變更管理和配置管理流程進(jìn)行。

“一個(gè)目標(biāo)”體現(xiàn)了安全運(yùn)營(yíng)支撐體系建立的最終目的，是為了保障

網(wǎng)絡(luò)安全運(yùn)行。而衡量是否達(dá)到目標(biāo)的方法就是定義、評(píng)價(jià)和管理服務(wù)

級(jí)別。因此，安全的目標(biāo)的量化體現(xiàn)就是安全體系框架所描述的安全服

務(wù)提供水平。之所以要在安全體系框架中引入ITIL服務(wù)提供，一個(gè)重

要的原因是：ITIL要求在服務(wù)中設(shè)計(jì)并制定出一致的、可衡量的網(wǎng)絡(luò)安

全運(yùn)營(yíng)指標(biāo)，而不是事后著手。

安全體系框架人、技術(shù)、流程本身是互相關(guān)秩，相互作用的關(guān)系。

人是核心，技術(shù)是基礎(chǔ)架構(gòu)和載體，流程是導(dǎo)向。三要素共同支撐實(shí)現(xiàn)

了最終的目標(biāo)：保障系統(tǒng)安全，安全服務(wù)滿足業(yè)務(wù)所要求的服務(wù)提供水

平。

綜上，無(wú)論技術(shù)和流程，都應(yīng)遵循持續(xù)改進(jìn)的永恒定律，逐步培育

出自適應(yīng)的安全運(yùn)營(yíng)支撐體系。

圖L4持續(xù)改進(jìn)的體系運(yùn)行模式

第2章.安全運(yùn)營(yíng)監(jiān)控工作詳細(xì)規(guī)劃方案

安全運(yùn)營(yíng)監(jiān)控工作的形成并非一蹴而就，單位管理者應(yīng)重視安全體

系建設(shè)，建立起“以人員為核心、以數(shù)據(jù)為基礎(chǔ)、以運(yùn)營(yíng)為手段”的安

全運(yùn)營(yíng)模式，逐步形成威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置的閉

環(huán)安全工作流程，打造“四位一體”的閉環(huán)安全運(yùn)營(yíng)體系，通過(guò)日常網(wǎng)

絡(luò)安全建設(shè)和安全運(yùn)營(yíng)的日積月累，建立起相應(yīng)的安全技術(shù)、管理、運(yùn)

營(yíng)體系，形成面向?qū)崙?zhàn)的安全防御能力，主要方式可以通過(guò)以下方面進(jìn)

行：

（一）進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控的規(guī)范與管理辦法的建設(shè)，并進(jìn)一

步細(xì)化相關(guān)配套措施，優(yōu)化安全運(yùn)營(yíng)管理全程規(guī)范體系；

（二）優(yōu)化統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控中心，統(tǒng)一指導(dǎo)、統(tǒng)一協(xié)調(diào)、統(tǒng)一

督促關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急管理、公共基礎(chǔ)設(shè)施信息系統(tǒng)網(wǎng)絡(luò)安全運(yùn)營(yíng)

管理等工作；

（三）關(guān)注網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理文化建設(shè)，通過(guò)多種方法、多種形式

對(duì)人員進(jìn)行不同層面的網(wǎng)絡(luò)安全意識(shí)教育，提高全民網(wǎng)絡(luò)安全意識(shí)；

建立完善的預(yù)警檢測(cè)和通報(bào)機(jī)制，及時(shí)分析安全，’言息，發(fā)布警報(bào)信息和

制訂預(yù)警預(yù)案，做到有備無(wú)患；

（四）應(yīng)密切跟蹤網(wǎng)絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)領(lǐng)域新技術(shù)和新應(yīng)用的發(fā)展，開(kāi)展

新的網(wǎng)絡(luò)框架下網(wǎng)絡(luò)安全問(wèn)題的研究，以有效應(yīng)對(duì)網(wǎng)絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)面

臨的各種挑戰(zhàn)；

（五）積極支持網(wǎng)絡(luò)安全學(xué)科專(zhuān)業(yè)和培訓(xùn)機(jī)構(gòu)建設(shè)，努力培養(yǎng)一支管理

能力強(qiáng)、業(yè)務(wù)水平高、技術(shù)素質(zhì)過(guò)硬的安全運(yùn)營(yíng)管理人才和網(wǎng)絡(luò)安全應(yīng)

急處置人才隊(duì)伍：

（六）建立健全網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作評(píng)估機(jī)制，由定性走向定量，建

立統(tǒng)一規(guī)范的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控規(guī)則、工具、方法和評(píng)價(jià)標(biāo)準(zhǔn)體系，確

保網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的安全運(yùn)營(yíng)監(jiān)控和規(guī)范化；

（七）建立全方位的、開(kāi)放的、統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作經(jīng)驗(yàn)

交流，推進(jìn)行業(yè)、地區(qū)相互觀摩，以加強(qiáng)橫向交流和溝通，通過(guò)總結(jié)經(jīng)

驗(yàn)，把網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的最佳實(shí)踐及時(shí)進(jìn)行推廣。

2.1.安全運(yùn)營(yíng)監(jiān)控工作規(guī)劃思路

2.1.1.提升網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控能力

（1）建立安全運(yùn)營(yíng)監(jiān)控支撐平臺(tái)

借鑒國(guó)際相關(guān)成立網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控中心的建設(shè)經(jīng)驗(yàn)，可以選擇安

全設(shè)備及桌面軟件及相關(guān)決策支持系統(tǒng)為突破口，不斷提高網(wǎng)絡(luò)安全運(yùn)

營(yíng)監(jiān)控信息化水平和實(shí)用性。通過(guò)自主創(chuàng)新和外交合作，加快平臺(tái)化建

設(shè)，建立基于云計(jì)算的，集預(yù)警通報(bào)、信息共享、應(yīng)急指揮協(xié)調(diào)于一體

的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控模擬中心。在線模擬突發(fā)事件處置流程和實(shí)際操作

檢驗(yàn)，通過(guò)系統(tǒng)進(jìn)行任務(wù)設(shè)定和模擬演練，演練結(jié)束后，也由系統(tǒng)進(jìn)行

電子測(cè)評(píng)。最終形成演練全程記錄及報(bào)告，對(duì)演練過(guò)程作出評(píng)估。建議

成立網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控中心，建立統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理平臺(tái)工

作機(jī)制和指引，集中力量重點(diǎn)建設(shè)一批具有世界先進(jìn)水平的國(guó)家級(jí)、區(qū)

域性、行業(yè)性網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控中心，使其成為網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控的科

研、訓(xùn)練、保障和國(guó)際交流的重要基地，并通過(guò)成果示范提升行業(yè)整體

水平。網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控中心的建立，也將偏流程的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控

工作轉(zhuǎn)變?yōu)槿嫜菥?，真正提高網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的管理

和技術(shù)水平。

(2)提高網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控水平

立足我***實(shí)際情況，堅(jiān)持理論先行和標(biāo)準(zhǔn)先行，通過(guò)技術(shù)攻關(guān)和

實(shí)驗(yàn)試點(diǎn)，盡快建立統(tǒng)一規(guī)范的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)空規(guī)則、網(wǎng)絡(luò)安全運(yùn)營(yíng)

監(jiān)控平臺(tái)、網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控方法和評(píng)價(jià)標(biāo)準(zhǔn)體系及其定期修編制度，

確保網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控的安全運(yùn)營(yíng)監(jiān)控和規(guī)范化。其中建立健全網(wǎng)絡(luò)安

全運(yùn)營(yíng)監(jiān)控績(jī)效評(píng)估機(jī)制，由定性走向定量，由僅注重實(shí)施環(huán)節(jié)走向覆

蓋全過(guò)程，是網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控評(píng)估工作的發(fā)展趨勢(shì)。建立明確方法，

量化指標(biāo)，通過(guò)系統(tǒng)的全過(guò)程全方位的評(píng)估總結(jié)，將網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控

工作過(guò)程中的感性認(rèn)識(shí)提升為理性認(rèn)識(shí)，并進(jìn)而轉(zhuǎn)化為預(yù)期的應(yīng)急能

力。

與此同時(shí)，加大行業(yè)地區(qū)的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控力度，通過(guò)多層次、

多角度、全方位的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控實(shí)踐持續(xù)改進(jìn)方法和流程，廣泛征

求意見(jiàn)并深入論證，力求在充分實(shí)踐與優(yōu)化相結(jié)合的基礎(chǔ)之上，摸索出

一套能夠指導(dǎo)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作高效開(kāi)展的成熟的網(wǎng)絡(luò)安全運(yùn)營(yíng)

監(jiān)控管理和評(píng)估流程，形成完整的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控程序循環(huán)系統(tǒng)，從

規(guī)劃、設(shè)計(jì)、實(shí)施到評(píng)估和改進(jìn)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的全方

位管理，從而為各地市電網(wǎng)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作實(shí)施提供有效指導(dǎo)，

提高網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的科學(xué)性、可行性、有效性。

(3)推廣網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作實(shí)施

應(yīng)要求行業(yè)及地區(qū)根據(jù)各自特點(diǎn)實(shí)行精細(xì)化網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工

作管理，因地制宜，結(jié)合電網(wǎng)行業(yè)、***的情況，探索最有效的網(wǎng)絡(luò)安

全運(yùn)營(yíng)監(jiān)控形式。按照系統(tǒng)重要性、時(shí)效性等進(jìn)行等級(jí)劃分，預(yù)案分級(jí),

安排分級(jí)，定期，不斷提高網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作質(zhì)量與水平，結(jié)合行

業(yè)實(shí)際情況，對(duì)行業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作提出要求并落實(shí)，及時(shí)更新。

同時(shí)，進(jìn)一步整合電網(wǎng)部門(mén)、科研機(jī)構(gòu)、企業(yè)等多方網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控

資源，建立全方位的、開(kāi)放的、統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作經(jīng)驗(yàn)交流

和信息共享平臺(tái)，推進(jìn)各行業(yè)、地區(qū)相互觀摩，以加強(qiáng)橫向交流、溝通,

總結(jié)經(jīng)驗(yàn)，并對(duì)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作做最佳實(shí)踐推廣。

2.1.2.加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控手段

（1）完善預(yù)警機(jī)制建設(shè)

在網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作中科學(xué)完善的預(yù)警機(jī)制不僅能夠在突發(fā)

事件發(fā)生前監(jiān)控、預(yù)防災(zāi)難的發(fā)生，而且在突發(fā)事件發(fā)生后能夠有條不

紊的實(shí)施處理，最大程度降低突發(fā)事件帶來(lái)的損失。目前***在預(yù)警機(jī)

制還比較落后，存在的問(wèn)題較多，使得這個(gè)層面在應(yīng)對(duì)突發(fā)事件時(shí)往往

較為被動(dòng)和滯后。因此，盡快完善網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控應(yīng)對(duì)突發(fā)事件的預(yù)

警機(jī)制，提升應(yīng)急響應(yīng)能力，也是***現(xiàn)階段面臨的重要工作。

在條件允許的情況下，可以考慮建立網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控中心，負(fù)

責(zé)協(xié)調(diào)關(guān)鍵基礎(chǔ)設(shè)施擁有者和經(jīng)營(yíng)者，保障在業(yè)務(wù)連續(xù)性、危害管理、

信息系統(tǒng)攻擊、網(wǎng)絡(luò)犯罪、保護(hù)關(guān)鍵場(chǎng)所免受破壞等方面的信息共享，

并與相關(guān)部門(mén)建立密切聯(lián)系，共享網(wǎng)絡(luò)威脅情報(bào)，提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)形

勢(shì)研判能力。

(2)加大技術(shù)研發(fā)應(yīng)用

加強(qiáng)在網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作及平臺(tái)方面的研發(fā)，密切跟蹤網(wǎng)絡(luò)網(wǎng)

絡(luò)安全運(yùn)營(yíng)領(lǐng)域新技術(shù)、新應(yīng)用的發(fā)展，加強(qiáng)相關(guān)技術(shù)特別是關(guān)鍵核心

技術(shù)的攻關(guān)力度，著力開(kāi)展新的網(wǎng)絡(luò)框架下網(wǎng)絡(luò)安全問(wèn)題的研究，推動(dòng)

網(wǎng)絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)產(chǎn)業(yè)的發(fā)展，以有效應(yīng)對(duì)網(wǎng)絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)面臨的各

種挑戰(zhàn)。隨著科學(xué)技術(shù)的飛速發(fā)展，越來(lái)越多的新型技術(shù)設(shè)備和宣傳手

段被開(kāi)發(fā)并運(yùn)用到應(yīng)急工作中。在應(yīng)急工作中，有條件的機(jī)構(gòu)可考慮運(yùn)

用新型技術(shù)和設(shè)備，依照自身實(shí)際情況開(kāi)發(fā)操作性和可用性更強(qiáng)的系統(tǒng)

或軟件，并在網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作中投入使用。應(yīng)當(dāng)注意的是，應(yīng)不

斷測(cè)試系統(tǒng)、檢驗(yàn)性能，及時(shí)改良。在使用過(guò)程中，提高人與設(shè)備、系

統(tǒng)的磨合度，熟練操作方法，提高實(shí)際應(yīng)用中的操作水平。

(3)加強(qiáng)人才能力培養(yǎng)

近年來(lái)，網(wǎng)絡(luò)安全形勢(shì)的日趨嚴(yán)峻也對(duì)網(wǎng)絡(luò)安全人才、網(wǎng)絡(luò)安全

應(yīng)急處置人才提出了更高要求。因此，建議從對(duì)資源投入給予相應(yīng)支撐,

加強(qiáng)人才隊(duì)伍建設(shè)，完善相關(guān)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作教育培訓(xùn)，發(fā)揮科

學(xué)研究部門(mén)和高等院校的優(yōu)勢(shì)，積極支持網(wǎng)絡(luò)安全學(xué)科專(zhuān)業(yè)和培訓(xùn)機(jī)構(gòu)

建設(shè)，努力培養(yǎng)一支管理能力強(qiáng)、業(yè)務(wù)水平高、技術(shù)素質(zhì)過(guò)硬的復(fù)合型

人才隊(duì)伍，為加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急管理提供堅(jiān)實(shí)的人才保障和智力支持。

要不斷提高網(wǎng)絡(luò)安全應(yīng)急人才隊(duì)伍素質(zhì)，定期組織對(duì)網(wǎng)絡(luò)安全人員的能

力培訓(xùn)，強(qiáng)化和補(bǔ)充新的網(wǎng)絡(luò)安全威脅知識(shí)，切實(shí)加強(qiáng)對(duì)有關(guān)網(wǎng)絡(luò)安全

應(yīng)急一線工作人員技術(shù)業(yè)務(wù)培訓(xùn)。同時(shí)，注重培養(yǎng)專(zhuān)門(mén)的應(yīng)急教育人員，

使之有效發(fā)揮危機(jī)傳遞的重要紐帶作用。此外，還要充分利用發(fā)揮網(wǎng)絡(luò)

安全行業(yè)企業(yè)在網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作中的作用，科學(xué)調(diào)配企業(yè)中的人

才資源，為網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作提供多元的人力資源支持。

2.1.3.完善網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控管理

(1)建立健全安全運(yùn)營(yíng)管理制度

當(dāng)前，***雖然有開(kāi)展應(yīng)急演練等關(guān)于網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的框

架性要求和指導(dǎo)意見(jiàn)。但***應(yīng)從戰(zhàn)略全局的高度，盡量完善網(wǎng)絡(luò)安全

運(yùn)營(yíng)監(jiān)控工作體系與應(yīng)急機(jī)制、制定工作，將網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作全

面納入系統(tǒng)化的軌道中來(lái)。與此同時(shí)，輔助有關(guān)部門(mén)制定網(wǎng)絡(luò)安全運(yùn)營(yíng)

監(jiān)控工作及網(wǎng)絡(luò)安全事件應(yīng)急演練業(yè)務(wù)流程和相關(guān)業(yè)務(wù)標(biāo)準(zhǔn)，進(jìn)一步加

強(qiáng)有關(guān)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的標(biāo)準(zhǔn)規(guī)范、管理辦法，并確保細(xì)化相關(guān)

配套措施，構(gòu)建網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作規(guī)范體系。

(2)統(tǒng)籌協(xié)調(diào)，職責(zé)明確

完善的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作協(xié)調(diào)機(jī)制有助于在網(wǎng)絡(luò)安全危機(jī)發(fā)

生時(shí)有效開(kāi)展應(yīng)急協(xié)調(diào)和資源調(diào)度。借鑒美國(guó)及歐盟的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)

控工作經(jīng)驗(yàn)，輔助成立網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作中心，作為應(yīng)對(duì)特別重大

網(wǎng)絡(luò)安全突發(fā)事件的網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作機(jī)構(gòu)，統(tǒng)一指導(dǎo)、統(tǒng)一協(xié)調(diào)、

統(tǒng)一督促關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)急、公共基礎(chǔ)設(shè)施惜息系統(tǒng)應(yīng)急、網(wǎng)絡(luò)內(nèi)

容管理應(yīng)急等網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作，建立不同池區(qū)、部門(mén)、系統(tǒng)之間

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的聯(lián)動(dòng)機(jī)制。進(jìn)一步明確行業(yè)監(jiān)管部門(mén)與地方機(jī)

構(gòu)之間的職責(zé)邊界，明確網(wǎng)絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作任主體，梳理應(yīng)急

工作中的交叉環(huán)節(jié)和空白地帶，把目前仍然較為模糊和分散的網(wǎng)絡(luò)安全

應(yīng)急管理職能適當(dāng)加以整合。將不同業(yè)務(wù)部門(mén)所涉及到的不同類(lèi)型的網(wǎng)

絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作機(jī)制與系統(tǒng)有機(jī)地統(tǒng)籌、結(jié)合在一個(gè)體系中，

以避免形成多頭監(jiān)管的局面，提升網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作體系與系統(tǒng)的

應(yīng)急指揮、協(xié)同部署的效率與效能。

(3)加強(qiáng)全民意識(shí)宣貫

網(wǎng)絡(luò)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作往往更加關(guān)注技術(shù)和資源建設(shè)，而忽略

了網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作文化建設(shè)。普通民眾缺乏必要的安全觀念和危

機(jī)意識(shí)，對(duì)于網(wǎng)絡(luò)安全突發(fā)事件的預(yù)警、防范意識(shí)也較為缺乏，因此要

加強(qiáng)安全意識(shí)宣貫教育，可以通過(guò)多種方法、多種形式對(duì)我***人員進(jìn)

行不同層面的網(wǎng)絡(luò)安全意識(shí)教育，提升必要的網(wǎng)絡(luò)安全觀念及意識(shí)。，

以“網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作演練”的方式促進(jìn)網(wǎng)絡(luò)安全應(yīng)急工作的發(fā)

展完善。

2.2.安全運(yùn)營(yíng)監(jiān)控支撐平臺(tái)規(guī)劃方案

安全運(yùn)營(yíng)監(jiān)控工作離不開(kāi)平臺(tái)及技術(shù)手段的支撐，為了更好服務(wù)于

安全運(yùn)營(yíng)監(jiān)控工作實(shí)現(xiàn)對(duì)整個(gè)目標(biāo)環(huán)境的安全管理與運(yùn)營(yíng)。安全運(yùn)營(yíng)監(jiān)

控工作的支撐不是單純依靠某臺(tái)安全設(shè)備就能實(shí)現(xiàn)的，而是需要全局進(jìn)

行統(tǒng)籌，對(duì)所有的設(shè)備進(jìn)行聯(lián)動(dòng)互通，形成一體化的安全運(yùn)營(yíng)服務(wù)平臺(tái)。

網(wǎng)絡(luò)安全運(yùn)營(yíng)服務(wù)平臺(tái)框架

I協(xié)會(huì)多維國(guó)頂7額藤分配

（AXWH-?

（＞一

—、

安全信息采集安全分析響應(yīng)與處置

外

部

C^^gaT'y-

系

（主機(jī)/y——統(tǒng)

（數(shù)有￡:-It-------------------------11

（中間~阿"y-—

（業(yè)”系欣A

業(yè)務(wù)修理

（云祝均A-

C物理安享［）

（只它"3忘

目前***已經(jīng)部署了防火墻、IPS、SOC、IOS向天眼相關(guān)網(wǎng)絡(luò)安全設(shè)

備及平臺(tái)，但目前平臺(tái)之間數(shù)據(jù)都是單獨(dú)存在，無(wú)法實(shí)現(xiàn)對(duì)所有平臺(tái)的

有效聯(lián)動(dòng)及采集分析，因此如何構(gòu)建一體化安全運(yùn)營(yíng)管理平臺(tái)是我們落

實(shí)網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控工作的關(guān)鍵，因此我覺(jué)得可以參考上圖的網(wǎng)絡(luò)安全

運(yùn)營(yíng)平臺(tái)框架對(duì)平臺(tái)進(jìn)行梳理及優(yōu)化，結(jié)合目前現(xiàn)狀提出如下模塊構(gòu)

想。其中包括網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)、安全控制中心、威脅情

報(bào)中心基于大數(shù)據(jù)安全基礎(chǔ)平臺(tái)之上部署。它們既可以作為獨(dú)立平臺(tái)

（含大數(shù)據(jù)安全基礎(chǔ)平臺(tái)部分）單獨(dú)部署，也可以部署在同一個(gè)大數(shù)據(jù)

安全基礎(chǔ)平臺(tái)集群上。在部署在同一個(gè)大數(shù)據(jù)安全基礎(chǔ)平臺(tái)集群時(shí)，三

者數(shù)據(jù)可按需共享或隔離訪問(wèn)。

2.2.1.大數(shù)據(jù)安全基礎(chǔ)平臺(tái)

大數(shù)據(jù)安全基礎(chǔ)平臺(tái)，是整個(gè)安全運(yùn)營(yíng)監(jiān)控支撐平臺(tái)基礎(chǔ)平臺(tái)，為

在其上部署的應(yīng)用提供基礎(chǔ)運(yùn)行環(huán)境，實(shí)現(xiàn)數(shù)據(jù)接入、數(shù)據(jù)存儲(chǔ)、應(yīng)用

管理等功能，并為上層應(yīng)用提供大數(shù)據(jù)分析所需的組件。

2.2.1.1.大數(shù)據(jù)安全基礎(chǔ)平臺(tái)架構(gòu)

公共業(yè)務(wù)模塊APPWW

APP停用啟用］APP升級(jí)］

也詢用索規(guī)M引，（畀，引*儀寰d工作及APP安裝卸口

數(shù)第存儲(chǔ)任務(wù)管理

依據(jù)訪問(wèn)接口任務(wù)管理接口

文件在輔|疏息隊(duì)列|

任務(wù)正j

□任務(wù)執(zhí)行］

全以"T］KV存儲(chǔ)［

任務(wù)取態(tài)超控

大數(shù)據(jù)安全基礎(chǔ)平臺(tái)功能架溝

大數(shù)據(jù)安全基礎(chǔ)平臺(tái)包括所有安全設(shè)備的數(shù)據(jù)接入，北向接口，集

群管理、權(quán)限管理、系統(tǒng)管理、數(shù)據(jù)存儲(chǔ)及數(shù)據(jù)管理、數(shù)據(jù)計(jì)算、人物

管理、APP管理等功能?；诜植际酱髷?shù)據(jù)框架進(jìn)行實(shí)現(xiàn)。

在大數(shù)據(jù)安全基礎(chǔ)平臺(tái)之上運(yùn)行的應(yīng)用（如網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)

分析平臺(tái)），在基礎(chǔ)平臺(tái)進(jìn)行安裝部署，并可按需卸載。

大數(shù)據(jù)安全基礎(chǔ)平臺(tái)支持分布式多節(jié)點(diǎn)部署，應(yīng)分為Master節(jié)點(diǎn)

與Worker節(jié)點(diǎn)兩種。其中Master節(jié)點(diǎn)實(shí)現(xiàn)對(duì)整個(gè)集群的管理與調(diào)度功

能，Worker節(jié)點(diǎn)提供大數(shù)據(jù)計(jì)算資源。

圖1.5大數(shù)據(jù)平臺(tái)部署圖

2.2.1.2.數(shù)據(jù)接入處理

大數(shù)據(jù)處理平臺(tái)一般的處理流程都包括，數(shù)據(jù)的解析、增強(qiáng)、規(guī)

范化、統(tǒng)一化處理，最終存入分布式文件系統(tǒng)，提供給其它業(yè)務(wù)處理模

塊使用。

框架中采用成熟的分布式消息隊(duì)列、分布式大數(shù)據(jù)處理框架、分布式流

處理和分布式檢索技術(shù)，提供海量基礎(chǔ)日志數(shù)據(jù)的處理、存儲(chǔ)和檢索能

力，還需要提供框架運(yùn)行所需要的任務(wù)管理和系統(tǒng)監(jiān)控等功能。

分布式消息隊(duì)列

主要用途包括：消息異步處理，業(yè)務(wù)應(yīng)用解耦，數(shù)據(jù)流量削鋒以及進(jìn)程

間消息通訊。在大數(shù)據(jù)處理平臺(tái)中，使用kafka實(shí)現(xiàn)分布式消息隊(duì)列。

其中Kafka利用順序10,保證了處理效率，并能夠持久化部分?jǐn)?shù)據(jù)，

在一定時(shí)間內(nèi)保證數(shù)據(jù)的安全性和可用性，通過(guò)分布式機(jī)制可以進(jìn)行平

滑升級(jí)。在日志數(shù)據(jù)處理中是最優(yōu)選擇。

分布式流處理

使用SparkStreaming,實(shí)現(xiàn)分布式流處理，對(duì)無(wú)邊界數(shù)據(jù)集進(jìn)行連續(xù)

不斷的處理、聚合和分析，利用Hadoop的YARN資源調(diào)度框架實(shí)現(xiàn)自動(dòng)

調(diào)度處理任務(wù)，有效利用集群中服務(wù)器資源。

2.2.1.3.數(shù)據(jù)存儲(chǔ)

利用分布式文件系統(tǒng)提供高性能數(shù)據(jù)存儲(chǔ)，提供多備份冗余機(jī)

制保證數(shù)據(jù)安全性。對(duì)所存儲(chǔ)的數(shù)據(jù)，分為熱數(shù)據(jù)和冷數(shù)據(jù)部分。依據(jù)

所存儲(chǔ)的數(shù)據(jù)的特點(diǎn)，分別存儲(chǔ)在Hive,Ilbase,關(guān)系數(shù)據(jù)庫(kù)等數(shù)據(jù)庫(kù)

或分布式文件系統(tǒng)中。為提升海量數(shù)據(jù)檢索能力，提供ElasticScarch,

支持分布式索引及存儲(chǔ)，

圖1.6數(shù)據(jù)存儲(chǔ)模式

為了兼顧數(shù)據(jù)的存儲(chǔ)和檢索效率，必須根據(jù)業(yè)務(wù)數(shù)據(jù)的特征對(duì)數(shù)據(jù)存儲(chǔ)

進(jìn)行分區(qū)操作。

對(duì)于列式存儲(chǔ)模式：

每種日志數(shù)據(jù)以二維表的形式進(jìn)行定義，每種日志系列每天都會(huì)構(gòu)建一

個(gè)分表，該表會(huì)以小時(shí)為單位進(jìn)行分區(qū)(Partition)；相同類(lèi)別的日志

以數(shù)據(jù)庫(kù)(Schema)的形式進(jìn)行組織。

對(duì)于索引存儲(chǔ)模式：

每種日志以類(lèi)型的形式進(jìn)行定義，相同類(lèi)別的日志以索弓I(Index)的形

式進(jìn)行組織，每個(gè)索引系列每天都會(huì)構(gòu)建一個(gè)新的實(shí)例。

2.2.2.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)從大的方面，包括態(tài)勢(shì)感知與運(yùn)維

兩大部分，網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)是安全運(yùn)維框架的重要組成

部分，同時(shí)，為安全驗(yàn)證框架提供數(shù)據(jù)，為安全度量框架提供數(shù)據(jù)及計(jì)

算支持。對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行感知分析，是網(wǎng)絡(luò)安全運(yùn)營(yíng)的基礎(chǔ)。

2.2.2.1.網(wǎng)絡(luò)安全杰勢(shì)分析模型

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)

生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)

測(cè)，而最終的目的是要進(jìn)行決策與行動(dòng)。

傳統(tǒng)的態(tài)勢(shì)感知層次模型，包括察覺(jué)、理解與預(yù)測(cè)三個(gè)環(huán)節(jié)。

資產(chǎn)識(shí)別運(yùn)行狀態(tài)態(tài)勢(shì)演化

網(wǎng)絡(luò)玨撲攻擊狀態(tài)

攻擊預(yù)測(cè)

漏洞狀態(tài)后果用5害

影響預(yù)測(cè)

配置狀態(tài)

多

多

源

類(lèi)

異

杳

構(gòu)

勢(shì)

環(huán)K

境

合

數(shù)

S視

度

攻擊趨勢(shì)與意圖分析

攻擊溯源/因果分析

攻擊過(guò)程;路徑分析

攻擊者行為雁力/由圉

脆弱性/殷晌/態(tài)勢(shì)評(píng)估

圖1.7網(wǎng)絡(luò)安全態(tài)勢(shì)感知層次圖

態(tài)勢(shì)察覺(jué)層主要實(shí)現(xiàn)要素提取，攻擊識(shí)別和痂認(rèn)（發(fā)現(xiàn)有攻擊，確

認(rèn)攻擊類(lèi)型，攻擊源和攻擊目標(biāo)），狀態(tài)確認(rèn)（從現(xiàn)象抽象成狀態(tài)，比

如說(shuō)內(nèi)存使用超過(guò)80冊(cè)忙碌狀態(tài)，可用性受損），網(wǎng)絡(luò)拓?fù)渥兓＠斫?/p>

層對(duì)相同類(lèi)型及不同類(lèi)型的要素進(jìn)行關(guān)聯(lián)，比如說(shuō)把狀態(tài)變化與具體攻

擊進(jìn)行關(guān)聯(lián)；把攻擊與漏洞進(jìn)行關(guān)聯(lián)，或把不同的攻擊進(jìn)行關(guān)聯(lián)形成攻

擊過(guò)程。并且對(duì)態(tài)勢(shì)進(jìn)行量化評(píng)估。預(yù)測(cè)層是對(duì)未來(lái)趨勢(shì)及可能性的預(yù)

測(cè)。

而隨著態(tài)勢(shì)感知應(yīng)用的發(fā)展，目前在產(chǎn)業(yè)界與學(xué)術(shù)界，越來(lái)越多的把

態(tài)勢(shì)感知與運(yùn)維閉環(huán)結(jié)合在一起，強(qiáng)調(diào)對(duì)態(tài)勢(shì)的感知分析，以及其后所

采取的決策閉環(huán)。

在本方案中，把網(wǎng)絡(luò)安全態(tài)勢(shì)感知與運(yùn)維揉在一起，形成網(wǎng)絡(luò)安全

運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)。

2.2.2.2.網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)整體架構(gòu)

態(tài)勢(shì)感知門(mén)戶運(yùn)維門(mén)戶

業(yè)務(wù)應(yīng)用綜合資產(chǎn)分類(lèi)追蹤重點(diǎn)運(yùn)維工設(shè)備云疏

態(tài)勢(shì)態(tài)勢(shì)態(tài)勢(shì)溯源場(chǎng)鼠ii作臺(tái)SB監(jiān)控

攻擊識(shí)別引擎態(tài)勢(shì)推理引擎

分析組件

態(tài)勢(shì)評(píng)估引擎

11

支撐組件北向接口報(bào)表引擎地理組件漏洞庫(kù)知識(shí)庫(kù)

圖1.8網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)整體架構(gòu)

網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)整體邏輯架構(gòu)如上圖所示。網(wǎng)絡(luò)安全運(yùn)

營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)接收云、網(wǎng)站、終端、中間件、服務(wù)器、安全設(shè)備

的各類(lèi)探針數(shù)據(jù)進(jìn)行分析，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行感知預(yù)測(cè)，并作分析展

示。同時(shí)，對(duì)整體網(wǎng)絡(luò)安全環(huán)境進(jìn)行統(tǒng)一管理，對(duì)態(tài)勢(shì)狀況進(jìn)行處置，

形成閉環(huán)運(yùn)營(yíng)。

從邏輯架構(gòu)看，網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)分為基礎(chǔ)平臺(tái)、支撐組

件、分析組件、運(yùn)維組件、業(yè)務(wù)應(yīng)用等部分。

基礎(chǔ)平臺(tái)即大數(shù)據(jù)安全基礎(chǔ)平臺(tái)，為網(wǎng)絡(luò)安全運(yùn)營(yíng)監(jiān)控態(tài)勢(shì)分析平臺(tái)提

供基礎(chǔ)運(yùn)行環(huán)境，提供數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)計(jì)算、任務(wù)管理、集群管理、運(yùn)

行容器、APP管理、系統(tǒng)管理等基礎(chǔ)支撐服務(wù)。

支撐組件層提供非業(yè)務(wù)層面或能力支撐性的公用組件。包括數(shù)據(jù)接入、

北向接口、報(bào)表引擎、工作流引擎、地理組件、漏洞庫(kù)、知識(shí)庫(kù)等。

分析組件指的是面向威脅分析、脆弱性分析等態(tài)勢(shì)分析型的組件。包括

攻擊識(shí)別引擎、脆弱性分析銀器、態(tài)勢(shì)推理引擎、態(tài)勢(shì)評(píng)估引擎等。

運(yùn)維組件是面向運(yùn)維管理的組件。包括策略管理、資產(chǎn)管理、云資源調(diào)

度、掃描管理、設(shè)備管理等。

業(yè)務(wù)應(yīng)用分為態(tài)勢(shì)感知門(mén)戶和運(yùn)維兩大門(mén)戶，提供用戶監(jiān)控及運(yùn)維可視

化接口。

2.2.2.3.支撐組件

2.2.2.3.1.數(shù)據(jù)接入

圖1.9數(shù)據(jù)接入

數(shù)據(jù)接入組件所接收處理的數(shù)據(jù)，包括安全日志、流量數(shù)據(jù)、Flow數(shù)據(jù)

等多種異構(gòu)環(huán)境數(shù)據(jù)，司時(shí)也包括平臺(tái)級(jí)聯(lián)時(shí)的級(jí)聯(lián)數(shù)據(jù)。數(shù)據(jù)接入流

程包括數(shù)據(jù)接收、數(shù)據(jù)解析、口志去噪、數(shù)據(jù)增強(qiáng)、數(shù)據(jù)規(guī)范化、數(shù)據(jù)

入庫(kù)等步驟。其中，數(shù)據(jù)增強(qiáng)由業(yè)務(wù)插件實(shí)現(xiàn)，數(shù)據(jù)入庫(kù)不在數(shù)據(jù)接入

組件范圍內(nèi)。

數(shù)據(jù)接收：監(jiān)聽(tīng)或主動(dòng)請(qǐng)求方式獲取數(shù)據(jù)。

數(shù)據(jù)解析：把數(shù)據(jù)識(shí)別轉(zhuǎn)換成內(nèi)部使用的數(shù)據(jù)結(jié)構(gòu)。

數(shù)據(jù)去噪：過(guò)濾去掉錯(cuò)誤或無(wú)用的噪聲數(shù)據(jù)。

數(shù)據(jù)增強(qiáng)：按照業(yè)務(wù)需要增加額外字段或?qū)Σ糠秩罩緮?shù)據(jù)字段進(jìn)行改

寫(xiě)

數(shù)據(jù)規(guī)范化：依照日志規(guī)范調(diào)整日志字段，增加一些標(biāo)準(zhǔn)日志字段。

數(shù)據(jù)接入組件支持直通網(wǎng)絡(luò)、異構(gòu)網(wǎng)絡(luò)、單向網(wǎng)閘等多種網(wǎng)絡(luò)接入環(huán)境。

其中對(duì)異構(gòu)網(wǎng)絡(luò)及單向網(wǎng)閘使用轉(zhuǎn)發(fā)器實(shí)現(xiàn)對(duì)數(shù)據(jù)的轉(zhuǎn)發(fā)，以適配不同

網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)接入能力。

2?2?2?3.2.北向接口

北向接口提供平臺(tái)對(duì)外的數(shù)據(jù)傳輸或