網(wǎng)絡(luò)安全技術(shù)網(wǎng) 絡(luò) 安 全 運 維 實 施 指 南GB/T45940—2025Cybersecuritytechnology—Implementationguideofcybersecurityoperationandmaintenance2025-08-01

發(fā)布2026-02-01

實施國家市場監(jiān)督管理總局國家標準化管理委員會 發(fā)布1

范圍本文件提出了網(wǎng)絡(luò)安全運維參考框架、網(wǎng)絡(luò)安全運維提供方和運維人員條件和運維業(yè)務(wù)建立過程,給出了運維管理、識別、防護、監(jiān)測分析、事件處置、協(xié)同和效果評估等網(wǎng)絡(luò)安全運維主要工作環(huán)節(jié)實施內(nèi)容。本文件適用于網(wǎng)絡(luò)安全運維提供方和需求方。用于網(wǎng)絡(luò)安全運維的實施提供指導(dǎo),并為網(wǎng)絡(luò)安全運維需求方、第三方機構(gòu)對網(wǎng)絡(luò)安全運維實施效果和網(wǎng)絡(luò)安全運維能力進行評估提供參考。2

規(guī)范性引用文件略3

術(shù)語和定義GB/T25069—2022

界定的以及下列術(shù)語和定義適用于本文件。網(wǎng)絡(luò)安全運維

cybersecurityoperationandmaintenance組織為抵御網(wǎng)絡(luò)空間安全威脅,控制網(wǎng)絡(luò)安全風(fēng)險,確保業(yè)務(wù)持續(xù)、穩(wěn)定運行,保證業(yè)務(wù)以及承載數(shù)據(jù)的保密性、完整性和可用性,統(tǒng)籌技術(shù)、流程、人員等要素,持續(xù)開展管理、識別、防護、監(jiān)測分析、事件處置、協(xié)同等工作的一種網(wǎng)絡(luò)安全服務(wù)方式。4

縮略語下列縮略語適用于本文件:APT:高級持續(xù)性威脅(advancedpersistentthreat)CNAME:別名記錄(canonicalname)DDOS:分布式拒絕服務(wù)攻擊(distributeddenialofserviceattack)DNS:域名系統(tǒng)(domainnamesystem)IP:互聯(lián)網(wǎng)通信協(xié)議(InternetProtocol)

MSS:托管安全服務(wù)(managedsecurityservice)SaaS:軟件即服務(wù)(softwareasaservice)SLA:服務(wù)級別協(xié)議(servicelevelagreement)SOC:安全運營中心(securityoperationscenter)5

概述5.1

網(wǎng)絡(luò)安全運維目標網(wǎng)絡(luò)安全運維的目標是為組織提供高效、全面的安全保障,確保組織的業(yè)務(wù)穩(wěn)定可靠運行,信息系統(tǒng)能夠抵御各種形式的網(wǎng)絡(luò)攻擊,提高用戶和員工的安全意識,以實現(xiàn)更高水平的網(wǎng)絡(luò)安全防護,具體包括:a)保障業(yè)務(wù)持續(xù)發(fā)展:確保系統(tǒng)的連續(xù)性和穩(wěn)定性,在面臨挑戰(zhàn)和威脅時保障業(yè)務(wù)的正常運行;b)使安全能力達到組織、機構(gòu)和設(shè)施的需求:不同的組織、機構(gòu)和設(shè)施對安全能力的要求有所不同,安全運維提供方根據(jù)這些需求來制定和實施相應(yīng)的安全策略和措施,確保其安全能力能夠滿足要求;c)使組織、機構(gòu)和設(shè)施的信息安全風(fēng)險處于可接受的范圍:網(wǎng)絡(luò)安全運維提供方幫助組織、機構(gòu)和設(shè)施識別、評估和管理所面臨的信息安全風(fēng)險,并采取必要的措施來降低風(fēng)險;d)確保網(wǎng)絡(luò)安全能力持續(xù)有效:通過網(wǎng)絡(luò)安全運維,防范各種網(wǎng)絡(luò)安全威脅,確保網(wǎng)絡(luò)的安全性和可用性,使網(wǎng)絡(luò)系統(tǒng)的安全性得到持續(xù)維護和提升;e)滿足安全監(jiān)管要求:網(wǎng)絡(luò)安全運維提供方幫助組織、機構(gòu)和設(shè)施滿足各種安全監(jiān)管要求,并提供必要的證明材料,如審計報告、安全漏洞修補證明等,確保其信息安全管理工作符合相關(guān)法規(guī)和標準。5.2

網(wǎng)絡(luò)安全運維參考框架網(wǎng)絡(luò)安全運維參考框架包含了網(wǎng)絡(luò)安全運維條件、網(wǎng)絡(luò)安全運維業(yè)務(wù)建立、網(wǎng)絡(luò)安全運維實施三個方面的內(nèi)容:a)網(wǎng)絡(luò)安全運維條件包括了開展網(wǎng)絡(luò)安全運維活動運維提供方、運維人員、運營中心具備的基本條件;b)網(wǎng)絡(luò)安全運維業(yè)務(wù)建立包括了開展網(wǎng)絡(luò)安全運維的三種模式,以及在確定運維模式后,安全運維業(yè)務(wù)的建立過程;c)網(wǎng)絡(luò)安全運維的實施包括運維管理、識別、防護、監(jiān)測分析、事件處置、協(xié)同和效果評估七個環(huán)節(jié)。網(wǎng)絡(luò)安全運維參考框架如圖

1

所示。圖

1

網(wǎng)絡(luò)安全運維參考框架6

網(wǎng)絡(luò)安全運維條件6.1

網(wǎng)絡(luò)安全運維提供方網(wǎng)絡(luò)安全運維提供方向網(wǎng)絡(luò)安全運維需求方提供網(wǎng)絡(luò)安全運維時,滿足

GB/T32914—2023

中第

5

章對網(wǎng)絡(luò)安全服務(wù)機構(gòu)的一般要求。如向?qū)W(wǎng)絡(luò)安全運維有更高要求的服務(wù)需求方(如黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者等)提供網(wǎng)絡(luò)安全運維時,還需滿足

GB/T32914—2023

中第

6

章對網(wǎng)絡(luò)安全服務(wù)機構(gòu)的增強要求。網(wǎng)絡(luò)安全運維能力評估的模型、內(nèi)容和方法見附錄

A。6.2

網(wǎng)絡(luò)安全運維人員6.2.1

需求方參與網(wǎng)絡(luò)安全運維的人員需求方參與網(wǎng)絡(luò)安全運維的人員具備的條件包括:a)理解與本單位網(wǎng)絡(luò)安全目標相關(guān)的法律法規(guī)、政策和標準;b)了解本單位網(wǎng)絡(luò)安全運維的目標和方法,網(wǎng)絡(luò)安全運維組織架構(gòu),網(wǎng)絡(luò)安全運維角色和職責(zé);c)掌握既有網(wǎng)絡(luò)情況,能夠明確軟硬件及網(wǎng)絡(luò)擴容需求,能夠定義和評估業(yè)務(wù)系統(tǒng)面臨的安全風(fēng)險;d)根據(jù)應(yīng)用系統(tǒng)特點和運行需求,充分與安全運維提供方人員溝通和協(xié)作,制定網(wǎng)絡(luò)安全運維實施案;e)能夠識別與信息系統(tǒng)相關(guān)的資產(chǎn),構(gòu)建以資產(chǎn)為核心的網(wǎng)絡(luò)安全風(fēng)險管理機制。6.2.2

網(wǎng)絡(luò)安全運維提供方人員網(wǎng)絡(luò)安全運維提供方人員是指向運維需求方提供安全運維服務(wù)的人員,宜符合下列條件。a)根據(jù)不同的工作角色,安全運維提供方人員除滿足

GB/T42446

中關(guān)于網(wǎng)絡(luò)安全運營類人員的要求外,還宜具備下列技術(shù)和能力,包括但不限于:1)能夠識別與安全運維工作范圍相關(guān)的所有信息系統(tǒng)資產(chǎn);

2)能夠識別網(wǎng)絡(luò)和系統(tǒng)的訪問控制存在的風(fēng)險,并能提供對應(yīng)的整改建議;

3)基于信息安全策略,制定備份策略,保證備份的有效性和可靠性;

4)通過全面收集并管理信息系統(tǒng)及相關(guān)設(shè)備的運行日志,幫助排查定位和溯源網(wǎng)絡(luò)安全攻擊;

5)定期借助漏洞掃描工具對信息系統(tǒng)及其軟硬件系統(tǒng)存在的漏洞進行掃描,發(fā)現(xiàn)存在的脆弱性,并提供處置建議;

6)建立監(jiān)視、發(fā)現(xiàn)、分析和報告信息安全事態(tài)和事件流程,流程中明確對不同級別事件的響應(yīng)時間要求,確保快速、有效和有序地響應(yīng)信息安全事件。b)簽訂保密協(xié)議,向有更高要求的需求方(如黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者)提供服務(wù)時對進行安全背景審查,確保參與網(wǎng)絡(luò)安全運維的人員安全可靠。6

網(wǎng)絡(luò)安全運維條件6.3

網(wǎng)絡(luò)安全運營中心網(wǎng)絡(luò)安全運營中心是為抵御網(wǎng)絡(luò)安全威脅,保障組織網(wǎng)絡(luò)基礎(chǔ)設(shè)施穩(wěn)定運行,有機結(jié)合人員、流程和技術(shù),提供網(wǎng)絡(luò)安全運維的組織單元。網(wǎng)絡(luò)安全運維的組織架構(gòu)一般包括安全運維領(lǐng)導(dǎo)小組、運維管理組、運維工作組、下屬單位運維組等,所有組織單元中包含相應(yīng)的崗位和人員。安全運維領(lǐng)導(dǎo)小組總負責(zé)人通常由組織的首席安全官或首席信息安全官擔(dān)任,運維工作組可包含一個或多個工作組。已經(jīng)具備自主網(wǎng)絡(luò)安全威脅管理和漏洞管理能力的組織和機構(gòu),根據(jù)組織的實際需求和基礎(chǔ)能力,宜考慮建立網(wǎng)絡(luò)安全運營中心。網(wǎng)絡(luò)安全運營中心的建設(shè)在滿足國家相關(guān)法律法規(guī),以及行業(yè)監(jiān)管要求的前提下,宜考慮以下方面:a)廣泛參與:組織和機構(gòu)的相關(guān)信息技術(shù)和業(yè)務(wù)部門宜廣泛參與;b)最小業(yè)務(wù)影響:組織和機構(gòu)的網(wǎng)絡(luò)安全運營中心建設(shè)和實施在達成組織安全目標的前提下,將對業(yè)務(wù)可能造成的影響降低到最小;c)持續(xù)改進:組織和機構(gòu)不斷提升網(wǎng)絡(luò)安全運營中心的安全能力和運維水平;d)自身安全:組織和機構(gòu)網(wǎng)絡(luò)安全運營中心的建設(shè)保障自身安全性和業(yè)務(wù)連續(xù)性,建立相適應(yīng)的網(wǎng)絡(luò)安全管理、數(shù)據(jù)安全管理機制,并將供應(yīng)鏈安全、外包安全等因素納入到自身安全建設(shè)的考慮范圍之中?；谌N不同模式開展網(wǎng)絡(luò)安全運營中心建設(shè)的內(nèi)容見附錄

B。7

網(wǎng)絡(luò)安全運維業(yè)務(wù)建立7.1

網(wǎng)絡(luò)安全運維模式網(wǎng)絡(luò)安全運維模式主要包括以下三種類型。a)全自建網(wǎng)絡(luò)安全運維模式:網(wǎng)絡(luò)安全運維需求方具備完善的安全運維人員配置、管理機制和人才培養(yǎng)機制,整合安全防護技術(shù)、安全運維工具與平臺和人員等要素,建立網(wǎng)絡(luò)安全監(jiān)測、分析、處置、應(yīng)急等網(wǎng)絡(luò)安全運維流程,自主建設(shè)

SOC;一般來說,對安全性和數(shù)據(jù)保護的要求較高,具備足夠的安全資源投入,能夠持續(xù)有效網(wǎng)絡(luò)安全運維的網(wǎng)絡(luò)安全運維需求方,選擇自主建設(shè)

SOC。b)聯(lián)合網(wǎng)絡(luò)安全運維模式:網(wǎng)絡(luò)安全運維需求方聯(lián)合網(wǎng)絡(luò)安全運維提供方共同建設(shè)

SOC,整合安全運維技術(shù)、平臺、工具、人員等要素,建立網(wǎng)絡(luò)安全監(jiān)測、分析、處置、應(yīng)急等網(wǎng)絡(luò)安全運維流程,網(wǎng)絡(luò)安全運維提供方為網(wǎng)絡(luò)安全運維需求方提供駐場網(wǎng)絡(luò)安全運維。c)全托管網(wǎng)絡(luò)安全運維模式:基于托管安全服務(wù)(MSS)開展全托管網(wǎng)絡(luò)安全運維,依靠網(wǎng)絡(luò)安全運維提供方建設(shè)的

SOC,通過云平臺或遠程管理系統(tǒng),管理組織

IT

資產(chǎn)的安全信息、管理安全工具、監(jiān)測和改善組織的安全狀況,識別、檢測、分析和響應(yīng)組織所面臨的網(wǎng)絡(luò)安全事件,以滿足對安全人員、技術(shù)和流程外包的需要。7.2

網(wǎng)絡(luò)安全運維實施內(nèi)容基于組織對網(wǎng)絡(luò)安全運維的具體要求和網(wǎng)絡(luò)安全運維參考框架,網(wǎng)絡(luò)安全運維實施的基本工作內(nèi)容如表

1

所示。網(wǎng)絡(luò)安全運維提供方結(jié)合網(wǎng)絡(luò)安全運維實踐,選擇確定網(wǎng)絡(luò)安全運維實施內(nèi)容,并持續(xù)更新。表

1

網(wǎng)絡(luò)安全運維實施基本工作內(nèi)容7.3

網(wǎng)絡(luò)安全運維業(yè)務(wù)建立過程在實施網(wǎng)絡(luò)安全運維之前,網(wǎng)絡(luò)安全運維供需雙方協(xié)商創(chuàng)建網(wǎng)絡(luò)安全運維表單,表單示例如表

2

所示,創(chuàng)建過程包括:a)根據(jù)需求方的實際情況,協(xié)商確定網(wǎng)絡(luò)安全運維模式;b)網(wǎng)絡(luò)安全運維提供方根據(jù)表

1

的內(nèi)容,選擇安全運維內(nèi)容并添加組織特需的安全運維內(nèi)容來確定網(wǎng)絡(luò)安全運維目錄;c)根據(jù)

SLA

確定運維目標,為運維目錄中的每項運維內(nèi)容建立一個配置文件,包括:所有者、運維團隊角色、職責(zé)以及運維模式。表

2

網(wǎng)絡(luò)安全運維表單示例序號工作內(nèi)容序號工作內(nèi)容序號工作內(nèi)容序號工作內(nèi)容序號工作內(nèi)容序號工作內(nèi)容A運維管理B識別C防護D監(jiān)測分析E響應(yīng)F協(xié)同A-1制度管理B-1業(yè)務(wù)識別C-1設(shè)備安全運維D-1網(wǎng)絡(luò)流量監(jiān)測E-1應(yīng)急預(yù)案F-1人員能力提升A-2流程管理B-2資產(chǎn)識別C-2安全加固D-2網(wǎng)絡(luò)資產(chǎn)暴露面監(jiān)測E-2應(yīng)急響應(yīng)F-2供應(yīng)鏈安全A-3資產(chǎn)管理B-3風(fēng)險識別C-3數(shù)據(jù)安全防護D-3終端監(jiān)測E-3處置與恢復(fù)F-3信息協(xié)同共享A-4工具管理B-4威脅信息收集C-4密碼應(yīng)用安全D-4數(shù)據(jù)監(jiān)測E-4事件總結(jié)G效果評估A-5報告管理B-5合規(guī)自評估D-5域名安全監(jiān)測A-6審計管理D-6實時分析A-7境外運維管理D-7深度分析服務(wù)項目名稱運維模式運維目錄與目標項目配置文件運維服務(wù)項目

1自主型運維目錄和

SLA1配置文件

1運維服務(wù)項目

2托管型運維目錄和

SLA2配置文件

2運維服務(wù)項目

3托管型運維目錄和

SLA3配置文件

3運維服務(wù)項目

4聯(lián)合型運維目錄和

SLA4配置文件

48

網(wǎng)絡(luò)安全運維實施8.1

運維實施過程網(wǎng)絡(luò)安全運維的實施過程如圖

2

所示。運維管理對網(wǎng)絡(luò)安全運維的整體活動進行規(guī)劃和管理,考慮組織網(wǎng)絡(luò)安全長期改進需要做出的決策和進行的投入,提出網(wǎng)絡(luò)安全運維整體方案;協(xié)同指通過網(wǎng)絡(luò)安全運維活動相關(guān)方組織內(nèi)外部的協(xié)調(diào)與協(xié)作,通過威脅信息共享、供應(yīng)鏈安全管理等活動以提高網(wǎng)絡(luò)安全運維的效能與安全防護水平,運維管理和協(xié)同是針對網(wǎng)絡(luò)安全風(fēng)險防范的常態(tài)化長期活動,在網(wǎng)絡(luò)安全運維活動中屬于持續(xù)性過程。識別、防護和監(jiān)測分析和事件處置四個環(huán)節(jié)是針對網(wǎng)絡(luò)安全事件進行響應(yīng)和處置的應(yīng)急性活動,在網(wǎng)絡(luò)安全運維活動中是一個快速響應(yīng)過程。效果評估是在網(wǎng)絡(luò)安全運維過程中,基于

SLA

對運維實際效果進行評估,根據(jù)效果評估情況進一步改進網(wǎng)絡(luò)安全運維的管理和實施水平。標引符號說明:活動;持續(xù)性過程;快速響應(yīng)過程。圖

2

網(wǎng)絡(luò)安全運維實施過程8.2

運維管理運維管理是對與運維活動有關(guān)的制度、流程、資產(chǎn)、工具、報告等進行管理的過程。目的是確保網(wǎng)絡(luò)安全運維活動可持續(xù)性和穩(wěn)定性。具體包括以下內(nèi)容:a)制度管理:按照

GB/T22239

相關(guān)要求,建立網(wǎng)絡(luò)安全運維工作領(lǐng)導(dǎo)小組,編制保密管理、介質(zhì)管理、設(shè)備安全、監(jiān)測預(yù)警、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全培訓(xùn)、備份與恢復(fù)、變更管理等相關(guān)制度,并制定網(wǎng)絡(luò)和信息安全突發(fā)事件應(yīng)急預(yù)案,規(guī)范運維團隊日常行為,降低網(wǎng)絡(luò)安全風(fēng)險;b)流程管理:建立安全運維作業(yè)流程,指導(dǎo)和規(guī)范運維團隊開展安全運維工作,包括安全監(jiān)測流程、風(fēng)險處置流程、應(yīng)急響應(yīng)流程、策略變更流程、安全加固流程、信息共享流程、威脅信息運維流程等;c)資產(chǎn)管理:編制并保存運維需求方的資產(chǎn)清單,資產(chǎn)屬性包括資產(chǎn)名稱、資產(chǎn)編號、IP

地址、序列號、所處位置、責(zé)任部門、責(zé)任人、重要程度等;并根據(jù)資產(chǎn)的重要程度進行資產(chǎn)和線路標識管理;資產(chǎn)管理對象包括重要網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機系統(tǒng)、業(yè)務(wù)系統(tǒng)、門戶網(wǎng)站、郵箱及接口服務(wù)等;d)工具管理:編制運維工具清單,包括工具名稱、類型、型號、版本號、作用、存放位置、維護部門等信息,定期更新維護,提升安全運維效率;e)報告管理:運維報告包括不限于各類日報、周報、月報、年報、建議書、安全事件報告、總結(jié)分析報告等,建立報告審核流程,確保報告格式和內(nèi)容的規(guī)范性、有效性;f)審計管理:對運維需求方的運維操作進行審計、查閱和回放,確保所有操作行為可審計、可追溯;g)境外運維管理:如確需境外運維(包括境外提供方在境內(nèi)開展運維及境內(nèi)提供方在境外開展運維),符合當?shù)胤煞ㄒ?guī)要求及相關(guān)規(guī)定。8.3

識別8.3.1

概述通過業(yè)務(wù)識別、資產(chǎn)識別、風(fēng)險識別、威脅信息收集和合規(guī)自評估等工作,實現(xiàn)網(wǎng)絡(luò)安全運維的風(fēng)險趨勢分析、預(yù)警和發(fā)現(xiàn)。8.3.2

業(yè)務(wù)識別業(yè)務(wù)是實現(xiàn)組織發(fā)展規(guī)劃的具體活動,業(yè)務(wù)識別是開展網(wǎng)絡(luò)安全運維的基礎(chǔ)工作,包括業(yè)務(wù)的屬性、定位、完整性和關(guān)聯(lián)性識別。宜按照

GB/T20984

進行業(yè)務(wù)識別,業(yè)務(wù)識別內(nèi)容包括如下。a)建立組織與安全運維相關(guān)的業(yè)務(wù)臺賬,明確業(yè)務(wù)屬性,包括業(yè)務(wù)功能、業(yè)務(wù)對象、業(yè)務(wù)流程、業(yè)務(wù)范圍、覆蓋地域等。b)識別業(yè)務(wù)在組織發(fā)展規(guī)劃中的定位,包括發(fā)展規(guī)劃中的職能定位、與發(fā)展規(guī)劃目標的契合度、業(yè)務(wù)布局中的位置和作用、競爭關(guān)系中競爭力強弱等。c)識別組織中的獨立業(yè)務(wù)和非獨立業(yè)務(wù),識別組織業(yè)務(wù)與其他業(yè)務(wù)的關(guān)聯(lián)關(guān)系和關(guān)聯(lián)程度。如:并列關(guān)系、承接關(guān)系、直接或間接關(guān)聯(lián)關(guān)系等。關(guān)聯(lián)程度包括緊密關(guān)聯(lián)和非緊密關(guān)聯(lián)。d)確認重要業(yè)務(wù)鏈和關(guān)鍵業(yè)務(wù)鏈,明確支撐重要和關(guān)鍵業(yè)務(wù)的資源分布和運行情況,從安全防護的視角,評估已識別的業(yè)務(wù)需要匹配的防護等級。e)當業(yè)務(wù)范圍或業(yè)務(wù)的重要性發(fā)生變化時,重新進行業(yè)務(wù)識別。8.3.3

資產(chǎn)識別資產(chǎn)是對組織具有價值的信息或資源,是安全策略保護的對象,也是開展體系化、精細化網(wǎng)絡(luò)安全運維的基礎(chǔ)。組織對資產(chǎn)進行全生命周期管理,建立健全資產(chǎn)管理制度,對資產(chǎn)全流程進行跟蹤和管理。資產(chǎn)識別內(nèi)容包括如下。a)建立健全完善的資產(chǎn)管理制度,對資產(chǎn)上線、變更、下線等流程進行跟蹤和管理,明確資產(chǎn)管理責(zé)任人及資產(chǎn)供應(yīng)鏈。b)建立健全資產(chǎn)臺賬,定期通過技術(shù)手段識別未知或新增的資產(chǎn),動態(tài)確認并完善更新資產(chǎn)基本屬性、安全屬性、管理屬性、指紋信息,識別資產(chǎn)間的關(guān)聯(lián)性,繪制資產(chǎn)關(guān)聯(lián)圖譜。按照GB/T20984

和

GB/T22239

的要求,結(jié)合風(fēng)險評估和信息系統(tǒng)安全等級保護備案情況,對信息資產(chǎn)進行分類分級和資產(chǎn)賦值,并在資產(chǎn)投入使用前完成資產(chǎn)納管。采用主動或被動資產(chǎn)探測技術(shù)識別資產(chǎn),并動態(tài)更新。c)基于資產(chǎn)類別、資產(chǎn)重要性和支撐業(yè)務(wù)的重要性,確定資產(chǎn)防護的優(yōu)先級;梳理和驗證安全防護措施對資產(chǎn)的防護狀態(tài),同步更新資產(chǎn)安全防護屬性信息。d)定期通過技術(shù)手段感知資產(chǎn)屬性變更,根據(jù)預(yù)設(shè)規(guī)則識別變更風(fēng)險,開展安全告警、通報、處置;對變更的敏感項進行記錄和審核,以便事后審計和追溯。e)根據(jù)域名、IP、端口、中間件、應(yīng)用、技術(shù)架構(gòu)、變更狀態(tài)、業(yè)務(wù)類型(自定義)等條件對資產(chǎn)進行查詢、統(tǒng)計,并能對資產(chǎn)進行周期變化監(jiān)控?；谧钚』瓌t,盡可能收斂互聯(lián)網(wǎng)資產(chǎn)暴露面。資產(chǎn)轉(zhuǎn)移或處置時,及時完成資產(chǎn)清單的更新,資產(chǎn)管理責(zé)任人識別可能出現(xiàn)的風(fēng)險并予以控制,并保留相關(guān)記錄。8.3.4

風(fēng)險識別8.3.4.1

威脅識別威脅識別主要涉及對系統(tǒng)或網(wǎng)絡(luò)造成安全風(fēng)險的各種因素進行識別和評估。這通常包括威脅的來源、途徑和意圖等,以及威脅利用脆弱性的可能性。威脅識別內(nèi)容包括如下。a)威脅識別內(nèi)容:包括威脅來源、主體、動機、時機和頻率等。b)威脅來源:按照

GB/T20984

的要求對威脅來源進行識別,同時對來自內(nèi)部的威脅,包括員工惡意行為、誤操作等進行識別和評估。c)威脅主體:威脅主體主要包括實體和環(huán)境。實體主要包括國家、組織團體和個人,環(huán)境主要包括一般的、較為嚴重的和嚴重的自然災(zāi)害等。d)威脅動機:可分為惡意和非惡意。e)威脅頻率:根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)進行判斷,綜合以往安全事件報告中的威脅和頻率統(tǒng)計、實際環(huán)境通過檢測工具及日志發(fā)現(xiàn)的威脅和其頻率統(tǒng)計、實際環(huán)境監(jiān)測發(fā)現(xiàn)的威脅及其頻率統(tǒng)計、近期公開發(fā)布的社會或特定行業(yè)威脅及其頻率統(tǒng)計。8.3.4.2

脆弱性識別脆弱性是組織、系統(tǒng)和信息資產(chǎn)自身存在的。由于信息資產(chǎn)的脆弱性的存在具有隱蔽性,需針對需要保護的資產(chǎn),識別可能被威脅利用的脆弱點,采取適當?shù)募夹g(shù)或管理措施進行防范。脆弱性識別內(nèi)容包括如下。a)脆弱性識別:采取問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透測試等手段探測和識別資產(chǎn)在物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)軟件、應(yīng)用中間件、應(yīng)用系統(tǒng)、技術(shù)管理、組織管理等方面存在技術(shù)或管理脆弱性;根據(jù)資產(chǎn)價值、類型、暴露面等維度,采取不同的脆弱性探測策略。b)脆弱性評估:對檢測發(fā)現(xiàn)的脆弱性進行研判和甄別,并基于資產(chǎn)價值、資產(chǎn)暴露面類型、脆弱性嚴重程度、脆弱性利用難度等維度評估可能造成安全威脅的風(fēng)險級別,評定脆弱性問題修復(fù)先后次序和脆弱性利用防范方式。c)脆弱性管理:借助信息系統(tǒng)將所有安全脆弱性問題列入統(tǒng)一工單管理,開展通報、接收、修復(fù)、復(fù)測等工作,定期跟蹤、督促修復(fù)工作進展,復(fù)測通過后關(guān)閉工單;定期或不定期組織開展安全脆弱性問題分析總結(jié)工作,調(diào)整安全策略、優(yōu)化運維流程、健全完善安全管理制度。8.3.5

威脅信息收集匯集內(nèi)、外部各種網(wǎng)絡(luò)安全威脅相關(guān)的信息,經(jīng)甄別、分類、研判、整理,輔助開展安全加固、應(yīng)急處置和安全決策等安全運維工作。信息收集內(nèi)容包括:a)信息獲取:審查并選擇必要且適當?shù)膬?nèi)外部各種途徑來源的威脅相關(guān)信息,包括資產(chǎn)信息(包括但不限于與組織可能遭受的網(wǎng)絡(luò)安全威脅相關(guān)的網(wǎng)絡(luò)、系統(tǒng)軟硬件、數(shù)據(jù)等)、漏洞信息、攻擊信息、事件信息等;b)分類研判:對獲取的相關(guān)信息進行核驗和甄別、加工完善并進行分類;c)信息使用:對威脅信息進行查詢查閱、數(shù)據(jù)提取分析輔助安全決策、應(yīng)急響應(yīng),或基于自動化技術(shù)對威脅信息進行碰撞和關(guān)聯(lián)分析開展自動化威脅處置工作,或識別、審查、清洗、處理、保護可共享的威脅信息用于信息共享。注:信息收集過程所涉及的信息根據(jù)其敏感程度采取相應(yīng)的保護措施。8.3.6

合規(guī)自評估合規(guī)自評估是指網(wǎng)絡(luò)安全運維過程中,對需求方在國家法律法規(guī)、政策、標準規(guī)范以及區(qū)域、行業(yè)的網(wǎng)絡(luò)安全監(jiān)管要求中識別、分析組織安全合規(guī)需求,定期開展安全合規(guī)檢查或檢測,明確現(xiàn)有安全保障措施與安全監(jiān)管要求差距,在此基礎(chǔ)上進行合規(guī)建設(shè),確保組織始終滿足國家、區(qū)域、行業(yè)監(jiān)管要求。網(wǎng)絡(luò)安全運維工作中的安全合規(guī)工作是提供方與需求方共同完成的自評估工作,其主要工作內(nèi)容包括:a)評估檢測:依據(jù)國家法律法規(guī)、政策、標準規(guī)范以及區(qū)域、行業(yè)的網(wǎng)絡(luò)安全監(jiān)管要求,對安全現(xiàn)狀進行自查或配合安全測評機構(gòu)/上級監(jiān)管機構(gòu)開展合規(guī)檢查,查找不符合項,出具安全合規(guī)自評估報告;b)合規(guī)整改建設(shè):根據(jù)安全合規(guī)自評估報告,制定安全合規(guī)建設(shè)方案,進行合規(guī)整改,并針對建設(shè)整改結(jié)果開展自評估復(fù)測。8.4

防護8.4.1

概述通過設(shè)備安全運維、安全加固、數(shù)據(jù)安全防護、密碼應(yīng)用安全等活動,實現(xiàn)網(wǎng)絡(luò)安全運維的縱深保護。8.4.2

設(shè)備安全運維設(shè)備運維主要是對組織內(nèi)的各種信息技術(shù)設(shè)備進行全面、細致、有效的日常維護和管理,以確保其正常運行并能夠及時應(yīng)對各種安全威脅。設(shè)備安全運維內(nèi)容包括如下。a)可用性監(jiān)控:實時監(jiān)控設(shè)備的運行狀態(tài)和性能指標,及時發(fā)現(xiàn)和處理設(shè)備故障或異常情況,確保設(shè)備的可用性和可靠性。b)設(shè)備更新和升級:根據(jù)組織機構(gòu)的安全需求和設(shè)備廠商的建議,及時更新和升級設(shè)備,以提高設(shè)備的防護能力和安全性。c)安全策略管理:根據(jù)業(yè)務(wù)及安全需求,調(diào)整和修改設(shè)備安全策略,并對策略進行歸并及優(yōu)化。d)安全配置管理:定期梳理檢查設(shè)備的配置,如訪問控制配置等。對配置文件定期進行備份,并將備份文件存儲在安全可靠的位置;同時,測試配置恢復(fù)功能,確保在需要時能夠快速恢復(fù)設(shè)備配置。e)設(shè)備的審計和記錄:對設(shè)備的操作進行審計和記錄,包括設(shè)備的配置操作、檢測和監(jiān)控操作、故障處理操作等,確保設(shè)備的操作合規(guī)性和可追溯性。f)設(shè)備安全性管理:建立設(shè)備安全管理制度,對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期、維修過程等方面作出規(guī)定;根據(jù)運行參數(shù)研判、預(yù)測設(shè)備故障運行隱患、安全設(shè)備的告警進行及時分析和研判;定期開展安全設(shè)備漏洞排查,經(jīng)過充分測試評估后,對已有漏洞及時修補。g)安全有效性驗證:結(jié)合安全運維實際工作的情況,對相關(guān)安全措施的有效性進行驗證,以確保安全運維工作收到預(yù)期的效果。8.4.3

安全加固安全加固主要是針對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)的加固,在網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、硬件設(shè)備、應(yīng)用程序等層次上建立符合安全需求的安全狀態(tài)。根據(jù)專業(yè)安全評估結(jié)果,制定相應(yīng)的系統(tǒng)加固方案,針對不同目標系統(tǒng)實施不同策略的安全加固,例如打補丁、修改安全配置、增加安全機制等方法,合理進行安全性加強,從而保障信息系統(tǒng)的安全。安全加固內(nèi)容包括如下。a)安全現(xiàn)狀調(diào)查:了解資產(chǎn)安全現(xiàn)狀和資產(chǎn)關(guān)聯(lián)關(guān)系,評估安全缺陷或安全隱患的影響范圍和嚴重程度。b)制定加固方案:針對發(fā)現(xiàn)的安全現(xiàn)狀問題,督促指導(dǎo)或協(xié)同相關(guān)業(yè)務(wù)部門、建設(shè)部門、管理部門、運維部門等聯(lián)合確認安全加固方案,包括實施時間、范圍、流程、方法等,確認每項加固措施和操作方法的可行性,同步制定回退方案和應(yīng)急方案。c)落實加固舉措:督促指導(dǎo)或協(xié)同資產(chǎn)責(zé)任人完成安全加固工作,安全加固前做數(shù)據(jù)備份、版本備份,分階段、分批次有序開展安全加固舉措、測試驗證;針對重要資產(chǎn),先加固資產(chǎn),測試無誤后再小批量、分批次開展安全加固。d)驗證加固結(jié)果:通過測試、攻擊等手段,針對安全加固后的結(jié)論進行驗證,根據(jù)驗證結(jié)果判斷是否符合加固要求,最終按需落實加固方案。8.4.4

數(shù)據(jù)安全防護通過數(shù)據(jù)加密、訪問控制、數(shù)據(jù)備份和恢復(fù)、安全審計、監(jiān)控、防護有效性評估等多種安全技術(shù)和策略,保護企業(yè)的敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問、泄露、篡改和破壞。網(wǎng)絡(luò)安全運維涉及的數(shù)據(jù)安全防護環(huán)節(jié)包括:a)數(shù)據(jù)保護需求調(diào)查:了解數(shù)據(jù)安全現(xiàn)狀,評估數(shù)據(jù)安全隱患,明確數(shù)據(jù)保護需求;b)制定數(shù)據(jù)安全保護方案:針對發(fā)現(xiàn)的數(shù)據(jù)安全問題及需求,與數(shù)據(jù)管理部門、業(yè)務(wù)部門等制定數(shù)據(jù)安全保護方案;c)按照

GB/T45577

開展數(shù)據(jù)安全風(fēng)險評估;d)開展數(shù)據(jù)全生命周期安全保護:采取數(shù)據(jù)采集驗證、數(shù)據(jù)傳輸加密、數(shù)據(jù)存儲加密、數(shù)據(jù)訪問控制、最小權(quán)限配置、數(shù)據(jù)脫敏、數(shù)據(jù)交換保護、數(shù)據(jù)備份和恢復(fù)、數(shù)據(jù)安全審計、數(shù)據(jù)安全監(jiān)控、數(shù)據(jù)銷毀管理等多種安全技術(shù)和策略,保護企業(yè)的敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問、泄露、篡改和破壞;e)數(shù)據(jù)安全防護措施有效性驗證:定期對網(wǎng)絡(luò)數(shù)據(jù)、終端數(shù)據(jù)等數(shù)據(jù)防泄露保護機制及有效性進行安全性評估和驗證。8.4.5

密碼應(yīng)用安全落實信息系統(tǒng)密碼應(yīng)用安全。在信息系統(tǒng)物理環(huán)境、網(wǎng)絡(luò)通信技術(shù)、設(shè)備、應(yīng)用和數(shù)據(jù)等涉及密碼應(yīng)用的技術(shù)層面和人員管理、系統(tǒng)建設(shè)運行等涉及密碼應(yīng)用的管理層面,按照

GB/T39786相應(yīng)級別落實密碼應(yīng)用安全要求。8.5

監(jiān)測分析8.5.1

概述通過網(wǎng)絡(luò)流量監(jiān)測、互聯(lián)網(wǎng)資產(chǎn)暴露面監(jiān)測、終端監(jiān)測、數(shù)據(jù)監(jiān)測、域名安全監(jiān)測、實時分析和深度分析等威脅監(jiān)測領(lǐng)域的活動,實現(xiàn)網(wǎng)絡(luò)安全運維的實時威脅監(jiān)測。8.5.2

網(wǎng)絡(luò)流量監(jiān)測網(wǎng)絡(luò)流量監(jiān)測是通過對進出網(wǎng)絡(luò)的流量進行采集和分析,識別出存在的安全威脅。網(wǎng)絡(luò)流量監(jiān)測內(nèi)容包括:a)流量采集:通過部署網(wǎng)絡(luò)監(jiān)測設(shè)備,監(jiān)測網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)出入口等關(guān)鍵節(jié)點的流量信息,發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和存在的安全風(fēng)險;b)流量分析:可采用多種技術(shù)進行網(wǎng)絡(luò)流量和威脅監(jiān)測,基于規(guī)則庫和威脅信息,采用特征匹配、網(wǎng)絡(luò)行為分析、機器學(xué)習(xí)、關(guān)聯(lián)分析等方法對采集的流量數(shù)據(jù)進行分析;c)APT

攻擊監(jiān)測:監(jiān)測

APT

組織對重點單位的網(wǎng)絡(luò)安全攻擊,包括檢測

APT

組織活動和事件、檢測

APT

攻擊鏈、檢測未知

APT

事件等;d)流量存儲:明確采集的流量范圍和類別,對監(jiān)測流量采取保護措施,防止其受到未授權(quán)的訪問、修改和刪除,原始流量按照法規(guī)留存時間要求進行存放和歸檔。8.5.3

網(wǎng)絡(luò)資產(chǎn)暴露面監(jiān)測資產(chǎn)暴露面監(jiān)測是通過網(wǎng)絡(luò)空間測繪、資產(chǎn)管理、脆弱性管理等技術(shù)手段對網(wǎng)絡(luò)出入口地址、信息系統(tǒng)(網(wǎng)站、APP、公眾號、小程序等)、網(wǎng)絡(luò)類設(shè)備、終端等進行監(jiān)測,發(fā)現(xiàn)存在的可用性問題及安全威脅,根據(jù)監(jiān)測結(jié)果采取相關(guān)舉措抑制或控制事態(tài)影響。網(wǎng)絡(luò)資產(chǎn)暴露面監(jiān)測內(nèi)容包括:a)資產(chǎn)監(jiān)測:結(jié)合網(wǎng)絡(luò)主動掃描、流量被動還原、終端指紋采集、數(shù)據(jù)導(dǎo)入等方式,對合規(guī)資產(chǎn)、未納管資產(chǎn)、隱匿資產(chǎn)等資產(chǎn)信息進行發(fā)現(xiàn)和持續(xù)監(jiān)測,實現(xiàn)信息系統(tǒng)資產(chǎn)管理的全面覆蓋,并將采集到數(shù)據(jù)匯聚成一份完整的資產(chǎn)清單;b)漏洞監(jiān)測:通過漏洞掃描工具等技術(shù)手段對信息系統(tǒng)及其支撐軟硬件系統(tǒng)存在的漏洞進行發(fā)現(xiàn)和監(jiān)測,對漏洞影響范圍進行統(tǒng)計分析;c)暴露面管理:關(guān)閉非必要網(wǎng)絡(luò)協(xié)議地址、端口、應(yīng)用服務(wù)等,收斂網(wǎng)絡(luò)出口數(shù)量,減少對外暴露組織架構(gòu)、郵箱賬號、組織通信錄等內(nèi)部信息,避免在代碼托管平臺、文庫、網(wǎng)盤等公共存儲空間存儲網(wǎng)絡(luò)拓撲圖、源代碼、網(wǎng)絡(luò)協(xié)議地址規(guī)劃等可能被攻擊者利用的技術(shù)文檔。8.5.4

終端監(jiān)測終端監(jiān)測是通過對終端行為進行持續(xù)監(jiān)測,實時收集并提取終端的威脅信息和行為數(shù)據(jù),結(jié)合多種異常行為分析建模工具,發(fā)現(xiàn)存在風(fēng)險的設(shè)備并進行及時響應(yīng),防范來自終端的安全威脅。終端監(jiān)測內(nèi)容包括:a)終端數(shù)據(jù)采集:通過技術(shù)手段采集終端數(shù)據(jù),主要包含服務(wù)、進程、端口、注冊表、計劃任務(wù)等;b)終端威脅監(jiān)測:通過終端威脅檢測技術(shù)對終端進行監(jiān)測,包含惡意代碼檢測、暴力破解檢測、流量攻擊檢測、異常行為檢測等;c)終端監(jiān)測技術(shù):基于多種技術(shù)進行終端威脅檢測,包括

IOA

行為檢測、IOC

特征匹配、機器學(xué)習(xí)、關(guān)聯(lián)分析、威脅圖譜等。8.5.5

數(shù)據(jù)監(jiān)測數(shù)據(jù)監(jiān)測是通過數(shù)據(jù)庫審計、數(shù)據(jù)防泄露等技術(shù)手段對數(shù)據(jù)采集、存儲、傳輸、使用等過程進行監(jiān)控,及時發(fā)現(xiàn)并阻斷對數(shù)據(jù)進行的竊取、篡改和銷毀等惡意行為。數(shù)據(jù)監(jiān)測內(nèi)容包括:a)數(shù)據(jù)庫監(jiān)測:通過對數(shù)據(jù)庫運行狀態(tài)和操作行為進行監(jiān)測,及時發(fā)現(xiàn)數(shù)據(jù)庫的異常狀態(tài)和異常操作行為等并定位問題;b)管理策略監(jiān)測:對數(shù)據(jù)管理策略落實情況進行監(jiān)測,確保數(shù)據(jù)的保密性、完整性符合管理要求,保障數(shù)據(jù)傳輸、存儲和使用的安全;c)敏感數(shù)據(jù)監(jiān)測:對敏感數(shù)據(jù)流轉(zhuǎn)情況進行監(jiān)測,及時發(fā)現(xiàn)和處置數(shù)據(jù)泄露威脅;d)監(jiān)測信息保存:對監(jiān)測信息采取保護措施,防止其受到未授權(quán)的訪問、修改和刪除,監(jiān)測信息的保存按照法規(guī)留存時間要求進行存放和歸檔。8.5.6

域名安全監(jiān)測域名安全監(jiān)測是通過監(jiān)控企業(yè)關(guān)鍵域名服務(wù),發(fā)現(xiàn)

DDOS

攻擊、域名惡意解析等異常情況,防止隱蔽的網(wǎng)絡(luò)攻擊威脅。域名系統(tǒng)監(jiān)測服務(wù)內(nèi)容包括:a)域名監(jiān)測:監(jiān)測域名地址記錄(A

記錄)、CNAME

等解析記錄,發(fā)現(xiàn)解析異常;b)DNS

解析與監(jiān)測:通過提供

DNS

解析服務(wù)或分光的方式,獲取網(wǎng)絡(luò)內(nèi)

DNS

流量,通過重組和還原后在此基礎(chǔ)上進行

DNS

請求/響應(yīng)的監(jiān)測和阻斷。8.5.7

實時分析實時分析是通過統(tǒng)一采集終端業(yè)務(wù)數(shù)據(jù)與邊界網(wǎng)絡(luò)安全設(shè)備的海量日志,經(jīng)實時流式大數(shù)據(jù)處理引擎對數(shù)據(jù)進行實時的歸一化適配處理,處理后的數(shù)據(jù)通過關(guān)聯(lián)規(guī)則引擎、異常流量行為引擎、AI

算法引擎等手段,運用機器學(xué)習(xí)、統(tǒng)計分析、構(gòu)建基線等方法,從而發(fā)現(xiàn)網(wǎng)絡(luò)中潛藏的網(wǎng)絡(luò)攻擊。實時分析服務(wù)內(nèi)容包括:a)實時資產(chǎn)監(jiān)測:通過采集系統(tǒng)、應(yīng)用日志和系統(tǒng)網(wǎng)絡(luò)流量的狀態(tài)或可疑活動,對資產(chǎn)健康情況進行實時監(jiān)測;b)異常行為監(jiān)測:依靠已知特征、已知行為模式形成的攻擊特征庫,結(jié)合云端威脅信息,通過預(yù)定義規(guī)則、信息匹配等方式進行異常行為監(jiān)測和安全處置;c)實時關(guān)聯(lián)分析:對多源安全日志進行實時關(guān)聯(lián)分析,包括關(guān)聯(lián)匹配、統(tǒng)計分析、時序分析、場景化模型、AI

引擎等;d)事件數(shù)據(jù)保留:通過收集和集中存儲在安全監(jiān)測和分析過程中所有的事件,按照法規(guī)留存時間要求進行存放和歸檔;e)警報和警告:通過安全設(shè)備告警日志、安全公告和漏洞信息、可擴散的威脅告警匹配所關(guān)注的信息資產(chǎn),分析其所面臨的潛在風(fēng)險,第一時間發(fā)布事件預(yù)警通報;f)數(shù)據(jù)分析和查詢:對處置報告中有關(guān)分析數(shù)據(jù)和報告所需查詢數(shù)據(jù)做出實時響應(yīng)支持。8.5.8

深度分析深度分析是通過使用數(shù)字取證和惡意軟件分析等技術(shù)手段,調(diào)查受影響的系統(tǒng)、審查受損的數(shù)據(jù),還原攻擊源頭、攻擊過程、攻擊影響范圍,形成證據(jù)鏈,并分析攻擊中使用的工具和方法。深度分析的內(nèi)容包括:a)證據(jù)收集:收集和保存與所評估安全事件相關(guān)的數(shù)字證據(jù),保管證據(jù)鏈,確定和維持證據(jù)的有效性;b)溯源分析:通過對內(nèi)部和外部攻擊者的屬性進行跟蹤和追蹤,提升其攻擊溯源能力,形成攻擊者畫像,根據(jù)其跟蹤和追蹤結(jié)果,結(jié)合安全防護技術(shù)手段以減少安全事件發(fā)生概率;c)取證分析:通過對與安全事件有關(guān)的數(shù)字證據(jù)的分析,以確定事件發(fā)生原因和過程;d)未知威脅分析:結(jié)合靜態(tài)檢測、動態(tài)檢測和沙箱檢測等方式,對每個取證過程中發(fā)現(xiàn)的攻擊者部署的惡意軟件、程序或腳本進行分析,識別未知惡意代碼和未知高級攻擊行為。8.6

事件處置8.6.1

概述事件處置包括建立應(yīng)急預(yù)案、應(yīng)急響應(yīng)、處置與恢復(fù)、事件總結(jié)等活動。8.6.2

應(yīng)急預(yù)案通過制定應(yīng)急預(yù)案以提高應(yīng)對網(wǎng)絡(luò)安全事件的能力,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害。應(yīng)急預(yù)案基于組織的需求和特定情況,包括對可能發(fā)生的緊急情況進行風(fēng)險評估和針對性的預(yù)防措施,包括以下內(nèi)容。a)按照

GB/T24363

的步驟和關(guān)鍵要素制定應(yīng)急預(yù)案。b)網(wǎng)絡(luò)安全應(yīng)急預(yù)案基本內(nèi)容包括:明確應(yīng)急組織與人員、事件分類分級、應(yīng)急處置方案、應(yīng)急資源分配、通信策略、應(yīng)急演練計劃等關(guān)鍵要素。c)網(wǎng)絡(luò)安全運維過程中常用網(wǎng)絡(luò)安全應(yīng)急預(yù)案類型包括:1)綜合應(yīng)急預(yù)案:應(yīng)急預(yù)案是從總體上闡述事故的應(yīng)急方、政策,應(yīng)急組織結(jié)構(gòu)及相關(guān)應(yīng)急職責(zé),應(yīng)急行動、措施和保障等基本要求和程序,應(yīng)對各類信息安全事件的綜合性文件;2)專項應(yīng)急預(yù)案:針對具體的事故類別、級別、應(yīng)急保障而制定的計劃或方案,是綜合應(yīng)急預(yù)案的組成部分,按照應(yīng)急預(yù)案的程序和要求組織制定,并作為綜合應(yīng)急預(yù)案的附件,明確程序和具體的應(yīng)急措施;3)現(xiàn)場處置預(yù)案:現(xiàn)場處置預(yù)案是針對具體的場所、設(shè)施、崗位所制定的應(yīng)急處置措施,現(xiàn)場處置方案宜具體、簡單、針對性強,現(xiàn)場處置方案需結(jié)合現(xiàn)場脆弱性控制措施進行制定。d)定期演練:確保員工和相關(guān)部門了解應(yīng)急程序,熟練應(yīng)對各種緊急情況,定期按照應(yīng)急演練計劃,進行實際的或模擬的演練和演習(xí)。e)對應(yīng)急預(yù)案進行版本控制,定期審查、更新和維護,確保預(yù)案的適應(yīng)性和有效性。8.6.3

應(yīng)急響應(yīng)應(yīng)急響應(yīng)內(nèi)容包括如下。a)事件識別和報告:建立有效的事件識別機制,以及與員工和利益相關(guān)者進行有效溝通的渠道,根據(jù)事件現(xiàn)場威脅分析和按照

GB/T20986—2023

第

5

章和第

6

章規(guī)定,判斷事件類型與級別,對

GB/T20986

規(guī)定的三級以上安全事件及時報告并觸發(fā)應(yīng)急響應(yīng)程序。b)應(yīng)急響應(yīng)啟動:現(xiàn)場處置人員和相關(guān)技術(shù)人員第一時間根據(jù)事件發(fā)生情況,初步判斷事件類型,并根據(jù)應(yīng)急預(yù)案確定是否啟動應(yīng)急響應(yīng),并按照

GB/T20985.2

確定是否啟動事件響應(yīng)。c)事件分析和系統(tǒng)恢復(fù):在網(wǎng)絡(luò)安全事件發(fā)生后進行事件分析,確定存在的安全漏洞并采取必要的措施來修復(fù)漏洞,以防止類似事件的再次發(fā)生;在分析完成后,將被破壞的系統(tǒng)進行恢復(fù),確保系統(tǒng)的完整性和可用性。d)溯源取證:遵循法律程序和技術(shù)規(guī)范,完成攻擊事件的溯源,確保取證數(shù)據(jù)的真實性和完整性,為后續(xù)的事件響應(yīng)和安全分析提供支持。8.6.4

處置與恢復(fù)處置與恢復(fù)內(nèi)容包括:a)事件處置:在判斷事件類型可能為安全事件,啟用應(yīng)急響應(yīng)后,按照

GB/T20986

的要求判斷事件類型與級別,技術(shù)人員通過現(xiàn)場或非現(xiàn)場等方式進行信息收集工作,詳細了解掌握事件發(fā)生的始終、現(xiàn)狀、可能的影響,進行詳細分析后提供事件處置建議;b)恢復(fù):定期進行備份及數(shù)據(jù)恢復(fù)測試,保障存儲位置的安全性。按照

GB/T28827.3

的要求,督促指導(dǎo)或協(xié)同業(yè)務(wù)部門及應(yīng)用系統(tǒng)建設(shè)運維部門,基于應(yīng)急響應(yīng)預(yù)案、配置管理數(shù)據(jù)庫、知識庫等進行故障處理和系統(tǒng)恢復(fù),在滿足事件級別處置時間要求的前提下盡快恢復(fù)服務(wù),采用方法、手段防止次生、衍生事件的發(fā)生;c)事件歸檔:事件處置結(jié)束,輸出樣本文件和事件處置報告,進行事件歸檔。8.6.5

事件總結(jié)事件總結(jié)包括如下內(nèi)容。a)事件處置分析:事件處置結(jié)束后,整理事件分析、處理的過程記錄和相關(guān)資料,撰寫應(yīng)急響應(yīng)記錄報告并提交。對于大型、復(fù)雜的事件響應(yīng)過程還應(yīng)進行關(guān)聯(lián)性事件處置匯報工作,同時,依據(jù)現(xiàn)場情況,召集必要相關(guān)人員發(fā)起會議,對本次事件的發(fā)生和處置過程進行總結(jié),提升優(yōu)化效率,優(yōu)化運維方案,同步完善安全管理制度和流程。b)工作總結(jié):組織定期對事件響應(yīng)工作進行分析和回顧,總結(jié)經(jīng)驗教訓(xùn),并采取適當?shù)暮罄m(xù)措施。對事件響應(yīng)工作的分析和回顧應(yīng)形成總結(jié)報告,并將總結(jié)報告作為改進事件響應(yīng)工作及信息系統(tǒng)的重要依據(jù)。c)工作評審:為保證應(yīng)事件響應(yīng)的有效性和時效性,事件響應(yīng)責(zé)任者定期組織對事件響應(yīng)工作的評審,以確保事件響應(yīng)過程和管理符合預(yù)定的要求,評審的結(jié)果應(yīng)正式存檔并通知給相關(guān)利益方。評審至少每年舉行一次。d)工作改進:事件總結(jié)、工作評審的結(jié)果應(yīng)作為準備階段各項工作的改進要素,組織根據(jù)總結(jié)報告中給出的建議項和評審結(jié)果,完善安全運維應(yīng)急準備工作,根據(jù)需要進行應(yīng)急預(yù)案的修訂和更新。8.7

協(xié)同8.7.1

概述在網(wǎng)絡(luò)安全運維體系化建設(shè)過程中,應(yīng)開展人員能力提升、供應(yīng)鏈安全管理、信息協(xié)同共享等與多方機構(gòu)協(xié)同完成的基礎(chǔ)性和提升性工作。8.7.2

人員能力提升人員能力提升內(nèi)容可包括:a)理論知識培訓(xùn):對專業(yè)技術(shù)人員提供專項提升培訓(xùn)和考核,掌握前沿技術(shù)、產(chǎn)品應(yīng)用等內(nèi)容,提升相關(guān)人員技術(shù)知識水平;b)安全意識宣傳:通過視頻、海報、易拉寶、月刊、手冊、電腦桌面等形式,對全體員工進行安全意識的宣傳和教育,形成網(wǎng)絡(luò)安全宣傳教育常態(tài)化機制;c)專業(yè)技能演練:通過滲透測試、攻防演練、技能比賽等有限定的網(wǎng)絡(luò)攻擊演練,加深運維人員對網(wǎng)絡(luò)攻擊實操的認知,熟悉系統(tǒng)風(fēng)險和應(yīng)對措施,提升技術(shù)人員網(wǎng)絡(luò)攻擊防范能力。8.7.3

供應(yīng)鏈安全建立供應(yīng)鏈安全控制策略及機制,在網(wǎng)絡(luò)安全運維過程中實施全過程安全管理,避免由于供應(yīng)鏈環(huán)節(jié)的安全隱患,導(dǎo)致惡意代碼植入、挾持、信息泄露、釣魚攻擊和遠程控制等安全問題。安全運維團隊督促指導(dǎo)或協(xié)同供應(yīng)鏈相關(guān)單位達到供應(yīng)鏈安全要求。供應(yīng)鏈安全相關(guān)的實施內(nèi)容包括:a)供應(yīng)商管理:組織建立供應(yīng)商等級評價及準入、準出機制,通過充分的審核和評估,確保供應(yīng)商安全能力持續(xù)符合要求組織,按照GB/T43698—2024

中

7.1.4

的要求,建立供應(yīng)商替代方案或具備相應(yīng)軟硬件系統(tǒng)的自主維護能力,防范供應(yīng)鏈中斷風(fēng)險;b)安全協(xié)議:確定供應(yīng)商及內(nèi)部組織在供應(yīng)鏈安全管理中的責(zé)任,結(jié)合業(yè)務(wù)特點和等級明確供應(yīng)商的服務(wù)保障要求,明確與供應(yīng)商發(fā)生業(yè)務(wù)關(guān)系時的安全性要求。與供應(yīng)商簽訂的協(xié)議包含

SLA

的相關(guān)內(nèi)容,確保供應(yīng)商的服務(wù)保障,并定期評估協(xié)議的有效性;c)安全監(jiān)測:在運維過程中對供應(yīng)鏈安全態(tài)勢進行監(jiān)測;建立監(jiān)控機制以及時發(fā)現(xiàn)并上報存在的風(fēng)險和問題;d)安全響應(yīng):建立供應(yīng)商安全響應(yīng)機制,以確保在發(fā)生安全事態(tài)或事件時,供應(yīng)商能夠積極配合響應(yīng),至正式關(guān)閉;若必要,供應(yīng)商應(yīng)進行事后分析,確定起因;e)績效管理:組織按計劃的時間間隔監(jiān)督供應(yīng)商的安全績效,如未達成績效目標或未履行協(xié)議義務(wù)的,應(yīng)確保及時識別改進機會,并制定相應(yīng)措施;f)風(fēng)險管理:結(jié)合組織業(yè)務(wù)特點,識別和梳理供應(yīng)鏈面臨的風(fēng)險,分析風(fēng)險發(fā)生概率,評估影響范圍和程度,制定相應(yīng)措施或預(yù)案以控制風(fēng)險,并針對供應(yīng)鏈關(guān)鍵環(huán)節(jié),實施風(fēng)險評估審查。8.7.4

信息協(xié)同共享信息協(xié)調(diào)共享內(nèi)容包括:a)信息收集:組織持續(xù)關(guān)注、抓取、匯總、甄別、整理獲取到的安全相關(guān)信息,并結(jié)合研究成果,形成安全通報或?qū)ｎ}報告等信息文檔;b)信息共享:組織建立信息共享渠道,明確信息共享流程,定期組織溝通、交流,保障組織間的信息同步;c)協(xié)同響應(yīng):組織明確共同目標,建立協(xié)同機制,實現(xiàn)跨組織合作,以更好地利用外部資源提升效率。8.8

運維效果評估8.8.1

效果評估內(nèi)容8.8.1.1

概述效果評估的核心目標是通過量化和分析,確保安全措施的有效實施,并為持續(xù)改進提供依據(jù)。宜參考

GB/T31495.2,從建設(shè)、運行、態(tài)勢三個角度設(shè)定指標,評估安全運維效果。8.8.1.2

建設(shè)效果評估評估各項安全運維要素是否建立,宜考慮如下因素:a)流程建立的全面性和規(guī)范性,實際建立的流程數(shù)量占應(yīng)建立流程的比例;b)工具類型和功能對安全運維工具需求的覆蓋度;c)人員團隊的職責(zé)、規(guī)模、資質(zhì)與安全運維團隊需求的匹配度,團隊實際人員數(shù)量占應(yīng)配置的人員規(guī)模的比例。8.8.1.3

運行效果評估評估各項安全運維措施執(zhí)行結(jié)果是否達到了預(yù)期的目標值,宜考慮如下因素:a)流程執(zhí)行過程的及時性,如平均事件檢測時間(MTTD)當前的測量值和設(shè)定的目標值之間的差距;b)流程執(zhí)行結(jié)果的完成度,如工單完成率、資產(chǎn)信息完整登記率等測量結(jié)果和預(yù)期目標值的差距;c)工具部署范圍的全面性,如終端安全軟件安裝率、流量分析覆蓋率;d)工具安全功能的有效性,如規(guī)則告警準確率、攻擊攔截率;e)人員安全技術(shù)和意識水平,如培訓(xùn)出勤率、考核合格率。在開展運行效果評估過程中,數(shù)據(jù)采集工作應(yīng)持續(xù)關(guān)注其自動化能力以及數(shù)據(jù)采集的收益與成本的對比情況,并在持續(xù)運營過程中不斷提升數(shù)據(jù)采集的自動化能力。8.8.1.4

安全態(tài)勢評估評估開展安全運維后實際的安全保障結(jié)果,宜考慮如下因素:a)發(fā)生安全事件的次數(shù)與嚴重性;b)出現(xiàn)脆弱性的次數(shù)與嚴重性。8.8.2

評估過程網(wǎng)絡(luò)安全運維需求方與提供方定期對安全運維效果預(yù)期目標進行審查,根據(jù)安全運維需求選取合理的評估范圍,每年可組織一次安全運維效果評估,發(fā)生重大變更時重新進行評估,以保證網(wǎng)絡(luò)安全運維工作有效性。評估過程宜遵循以下原則:a)科學(xué)性:按照網(wǎng)絡(luò)安全運維效果評估指標框架,選擇科學(xué)的評估方法;b)公正性:網(wǎng)絡(luò)安全運維效果評估過程符合法規(guī)和組織原則,保證評估結(jié)果是客觀公正準確的;c)安全性:向網(wǎng)絡(luò)安全運維需求方告知評估時間、評估工具、評估技術(shù)方式以及可能對信息系統(tǒng)造成的影響等,確保評估活動自身安全性;d)受控性:有外部人員參與評估的情況下,相關(guān)人員簽署保密協(xié)議,若需提供實際數(shù)據(jù)進行評估參考,進行脫敏處理,并對評估過程數(shù)據(jù)和結(jié)果數(shù)據(jù)進行嚴格管理;e)計劃性:開展評估前制定評估計劃,明確評估目標、范圍、時間、方法和預(yù)期結(jié)果,由運維需求方和運維提供方達成共識;f)透明性:網(wǎng)絡(luò)安全運維提供方按評估目標提供必要的過程數(shù)據(jù)(包括但不限于安全漏洞評估報告、安全防護有效性驗證報告、安全監(jiān)測操作記錄等),確保評估結(jié)果的準確透明。8.8.3

評估方法8.8.3.1

方法選擇安全運維效果評估可根據(jù)評估場景選擇具體的評估方法,包括顧問訪談、問卷調(diào)研、文件審核、勘查調(diào)研、漏洞掃描、滲透測試、紅藍對抗、技術(shù)驗證等多種評估方法可根據(jù)實際場景搭配使用。評估方法包括:a)顧問訪談:顧問訪談是通過與安全專家或顧問進行面對面或遠程對話,以了解系統(tǒng)安全性和潛在風(fēng)險的方法,適用于包括提問有關(guān)安全人員組織、管理策略與制度、系統(tǒng)配置和實施相關(guān)的評估指標;b)問卷調(diào)研:問卷調(diào)研是一種通過向相關(guān)人員發(fā)送一系列安全問題或調(diào)查表,以便收集他們的觀點和反饋的方法,適用于人員安全意識和安全實踐情況相關(guān)的評估指標;c)文件審核:文件審核涉及檢查系統(tǒng)、應(yīng)用程序或網(wǎng)絡(luò)的相關(guān)文件和文檔,如安全策略、配置文件和日志記錄,有助于發(fā)現(xiàn)潛在的安全問題和不符合安全要求的情況,適用于安全人員組織、管理策略與制度、系統(tǒng)配置和實施相關(guān)的評估指標;d)勘查調(diào)研:通過實地勘查或遠程調(diào)查,了解物理設(shè)備、網(wǎng)絡(luò)拓撲和環(huán)境因素對安全性的影響。適用于物理安全相關(guān)的評估指標;e)漏洞掃描:使用自動化工具來識別系統(tǒng)或應(yīng)用程序中的已知漏洞和弱點,適用于技術(shù)性相關(guān)的評估指標以及對組織已部署的各類安全產(chǎn)品和規(guī)則策略開展技術(shù)驗證;f)滲透測試:滲透測試人員模擬攻擊者的行為嘗試入侵系統(tǒng),發(fā)現(xiàn)潛在漏洞但不會造成破壞,并提供詳細的報告和建議,以加強安全,適用于技術(shù)性相關(guān)的評估指標,以及對組織已部署的各類安全產(chǎn)品和規(guī)則策略開展技術(shù)驗證;g)紅藍對抗:紅藍對抗是一種模擬攻擊和防御的綜合性安全測試方法。紅藍兩隊在模擬環(huán)境中對抗,以評估系統(tǒng)的安全性和響應(yīng)能力,適用于技術(shù)性相關(guān)的評估指標,以及對組織已部署的各類安全產(chǎn)品和規(guī)則策略開展技術(shù)驗證。8.8.3.2

匯總評分安全運維效果匯總評分用于量化評價、考核安全運維工作的實際效果。組織可按照安全運維需求和目標,選取建設(shè)指標、運行指標和態(tài)勢指標及目標值,確定各指標類別權(quán)重,形成評估基線。各指標項根據(jù)其測量結(jié)果與目標值的差值進行評分,并按照權(quán)重轉(zhuǎn)化為百分制,實現(xiàn)安全運維效果的量化考核。8.8.4

持續(xù)改進安全運維效果評估后持續(xù)跟蹤改進。安全運維需求方和提供方應(yīng)共同分析評估結(jié)果,制定改進計劃并持續(xù)跟蹤,解決評估中發(fā)現(xiàn)的問題和風(fēng)險。持續(xù)改進措施包括:a)網(wǎng)絡(luò)安全運維效果的評估融入日常的運維工作中,形成持續(xù)性的監(jiān)控和評估機制;b)明確具體部門及人員參與網(wǎng)絡(luò)安全運維的整改建議計劃、所需資源,及其形成的任務(wù)(項目);c)確定實施改進任務(wù)計劃的時間安排和任務(wù)分配,包括評估后的具體安排節(jié)點以及重要里程碑節(jié)點;d)確定對網(wǎng)絡(luò)安全運維的效果提升結(jié)果和整改任務(wù)的實施情況進行監(jiān)控的措施;e)及時發(fā)現(xiàn)在整改過程中產(chǎn)生的新風(fēng)險或已知風(fēng)險隨著環(huán)境和時間發(fā)生的變化,以及持續(xù)進行評估;f)按照預(yù)定的時間和任務(wù)安排跟進整改進度,完成整改任務(wù)的驗收總結(jié)和復(fù)審。附 錄

A(資料性)網(wǎng)絡(luò)安全運維能力評估A.1

評估模型網(wǎng)絡(luò)安全運維的能力評估模型內(nèi)容包括以下幾個方面:a)網(wǎng)絡(luò)安全運維實施內(nèi)容:主要針對與網(wǎng)絡(luò)運維實施活動直接相關(guān)的識別、防護、監(jiān)測分析、事件處置等環(huán)節(jié);b)網(wǎng)絡(luò)安全運維關(guān)鍵要素:明確組織機構(gòu)在整個安全領(lǐng)域中所具備的關(guān)鍵要素,明確為安全運維團隊、安全運維工具和平臺以及安全運維的各類流程;c)網(wǎng)絡(luò)安全運維級別:可基于統(tǒng)一的評估模型,定義組織在網(wǎng)絡(luò)安全運維域的能力級別。網(wǎng)絡(luò)安全運維能力評估模型如圖

A.1

所示。安全運維能力級別可分為五個等級,一級是基本執(zhí)行級,二級是計劃跟蹤級,三級是充分定義級,四級是量化控制級,五級是持續(xù)改進級。運維能力等級從一級至五級逐級提升。對運維能力等級的描述如表

A.1

所示。表

A.1

網(wǎng)絡(luò)安全運維能力等級圖

A.1

網(wǎng)絡(luò)安全運維能力評估模型運維能力級別定義內(nèi)容執(zhí)行表現(xiàn)特征等級一:基本執(zhí)行級●未形成成熟的機制保證安全運維工作的有序開展●安全運維工作處于被動執(zhí)行階段執(zhí)行力較差,資源、能力嚴重不足以邊界防護為核心等級二:計劃跟蹤級●工作有計劃并可執(zhí)行,對安全運維過程進行了規(guī)劃,提前分配資源和責(zé)任●按照預(yù)定的方式執(zhí)行并能通過結(jié)果進行蹤和糾偏實現(xiàn)了安全過程的計劃與執(zhí)行,不成體系以技術(shù)產(chǎn)品部署為核心的基礎(chǔ)防范等級三:充分定義級●有標準化的制度和流程,有清晰的標準執(zhí)行效果較好,但有較大改進空間以合規(guī)體系建設(shè)為核心的體系化控制化文檔支撐安全運維各項目●形成業(yè)務(wù)系統(tǒng)內(nèi)、各業(yè)務(wù)系統(tǒng)之間、組織機構(gòu)外部活動的協(xié)調(diào)機制等級四:量化控制級●有清晰可測的網(wǎng)絡(luò)安全運維指標,安全執(zhí)行效果非常好,改進空間較小以攻防對抗為核心的主動防御運維內(nèi)容可量化●通過量化測量來管理安全運維的全過程,并可修正安全運維相關(guān)行動等級五:持續(xù)改進級●形成了內(nèi)生的安全循環(huán)機制并不斷演化●防護能力和人員能力不斷提升執(zhí)行效果非常好,人員的信息安全意識很強,形成信息安全文化A.2

評估內(nèi)容A.2.1

網(wǎng)絡(luò)安全運維的實施內(nèi)容評估網(wǎng)絡(luò)安全運維的實施內(nèi)容評估主要針對識別、防護、監(jiān)測分析和事件處置四個環(huán)節(jié)的活動,評估內(nèi)容包括但不限于:a)識別環(huán)節(jié)的評估內(nèi)容包括業(yè)務(wù)識別、資產(chǎn)識別、風(fēng)險識別、威脅信息收集與合規(guī)自評估等內(nèi)容;b)防護環(huán)節(jié)的評估內(nèi)容包括設(shè)備安全運維、安全加固、數(shù)據(jù)安全防護和密碼應(yīng)用安全等內(nèi)容;c)監(jiān)測分析環(huán)節(jié)的評估內(nèi)容包括網(wǎng)絡(luò)流量監(jiān)測、網(wǎng)絡(luò)資產(chǎn)暴露面監(jiān)測、終端監(jiān)測、數(shù)據(jù)監(jiān)測、域名安全監(jiān)測、實時分析、深度分析等內(nèi)容;d)事件處置環(huán)節(jié)的評估內(nèi)容包括應(yīng)急預(yù)案、應(yīng)急響應(yīng)、處置與恢復(fù)、事件總結(jié)等內(nèi)容。A.2.2

安全運維關(guān)鍵要素評估網(wǎng)絡(luò)安全運維關(guān)鍵要素相關(guān)的評估以下方面。a)從承擔(dān)安全運維工作的組織機構(gòu)建設(shè)具備的能力出發(fā),從以下方面對安全運維團隊進行評估:1)安全運維組織架構(gòu)對組織業(yè)務(wù)的適用性;

2)安全運維組織機構(gòu)承擔(dān)的工作職責(zé)的明確性、人員能力的匹配性;

3)安全運維組織機構(gòu)運作、溝通協(xié)調(diào)的有效性。b)約定和規(guī)范日常安全運維工作中各操作環(huán)節(jié)、操作步驟、操作工具、操作方法,以維持工作進程的一致性和統(tǒng)一性,實現(xiàn)精細化、標準化的安全運維管理,提升工作效率,從以下方面對安全運維流程進行評估:1)安全運維活動中關(guān)鍵控制節(jié)點授權(quán)審批流程的完整性;

2)相關(guān)流程制度的制定、發(fā)布、修訂的規(guī)范性和專業(yè)性;

3)安全要求及流程落地執(zhí)行的一致性、有效性和體系化。c)從安全運維組織用于開展工作的安全技術(shù)、應(yīng)用系統(tǒng)和自動化工具出發(fā),從以下方面對安全運維工具進行評估:1)從網(wǎng)絡(luò)側(cè)、主機側(cè)、應(yīng)用側(cè)、策略側(cè)、終端側(cè)和賬號側(cè)等多個維度獲取多源數(shù)據(jù)的能力;

2)對比歷史數(shù)據(jù),形成趨勢性、合理性判斷,實現(xiàn)全方位、多層次、多角度、細粒度感知,為安全運維提供重要分析能力;

3)將團隊、流程、工具有機結(jié)合以實現(xiàn)自動化、數(shù)據(jù)化、智能化的業(yè)務(wù)流轉(zhuǎn)、業(yè)務(wù)監(jiān)控和業(yè)務(wù)考核,快速提升和持續(xù)改進安全能力。A.3

評級方法安全運維評級用于定性評價組織整體網(wǎng)絡(luò)安全運維能力,指導(dǎo)組織長期的安全運維規(guī)劃與建設(shè)。組織可按照安全運維能力評估模型設(shè)定能力評估指標,針對特定安全運維內(nèi)容評估各項指標的滿足情況。僅在符合某一級別全部指標的情況下,認定組織機構(gòu)達到該級別能力要求,由低到高以此類推可測得最終能力級別。實際評估中,根據(jù)組織安全運維情況剔除不涉及的指標。附 錄

B(資料性)網(wǎng)絡(luò)安全運營中心建設(shè)B.1

建設(shè)模式B.1.1

總則網(wǎng)絡(luò)安全運營中心建設(shè)模式包括全自建、聯(lián)合和全托管三種模式,組織根據(jù)安全要求、運維資源投入和安全運維能力決定采用哪種模式。當組織對網(wǎng)絡(luò)安全和數(shù)據(jù)保護的要求非常高,有足夠的安全資源投入,且自身安全運維能力強時,可選擇全自建模式;當組織對安全性和數(shù)據(jù)保護的要求較高,有較充足的安全資源投入,自身安全運維能力較強時,可選擇聯(lián)合模式;當組織對安全性和數(shù)據(jù)保護的要求不高,有一定的安全資源投入,自身安全運維能力不強時,宜選擇全托管模式。三種模式的網(wǎng)絡(luò)安全運營中心在安全運維人員與崗位職責(zé)、安全運維管理流程上存在不同。一般情況下,三種模式的網(wǎng)絡(luò)安全運營中心均設(shè)置兩類工作崗位,分別是管理類和技術(shù)類,其中技術(shù)類又分為分析研判和實施操作兩類。B.1.2

全自建網(wǎng)絡(luò)安全運維B.1.2.1

崗位職責(zé)B.1.2.1.1

管理類全自建模式下的管理類主要包括安全運營中心負責(zé)人、安全運維主管、安全技術(shù)主管、安全監(jiān)測主管和風(fēng)險與合規(guī)管理崗。管理類職責(zé)包括:a)SOC

負責(zé)人:主要工作包括負責(zé)組織制定安全運維目標和工作計劃、安全運維能力規(guī)劃和建設(shè)、安全運維制度和流程,跟蹤監(jiān)督執(zhí)行效果,重大運維事項的決策等;b)安全運維主管:向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)落實安全運維目標、執(zhí)行工作計劃、優(yōu)化改進安全運維制度和流程和落實重大運維事項決策等;c)安全技術(shù)主管:安全運營中心負責(zé)人匯報,主要工作包括負責(zé)安全運營中心技術(shù)平臺與工具整體架構(gòu)體系設(shè)計及其建設(shè)規(guī)劃、技術(shù)平臺與工具選型上架、組織內(nèi)技術(shù)標準制定、技術(shù)平臺與工具定制開發(fā)與維護等;d)安全監(jiān)測主管:向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)管理網(wǎng)絡(luò)安全事件,突發(fā)事件的應(yīng)急響應(yīng)、調(diào)查分析和追蹤溯源,安全事件的聯(lián)動處置和網(wǎng)絡(luò)安全態(tài)勢報告的編制等;e)風(fēng)險與合規(guī)管理崗:向安全運營中心負責(zé)人匯報,主要工作包括對國家網(wǎng)絡(luò)安全政策、標準宣貫;網(wǎng)絡(luò)安全相關(guān)資質(zhì)的獲取和維護,確保參與安全運維人員符合相關(guān)保密性工作要求,負責(zé)網(wǎng)絡(luò)安全風(fēng)險全過程管理與網(wǎng)絡(luò)安全合規(guī)管理等。B.1.2.1.2

技術(shù)類全自建模式下的技術(shù)類包括分析研判類和實施操作類。a)分析研判類主要包括安全監(jiān)測崗、分析研判崗、漏洞分析崗、威脅信息分析崗、防護策略分析崗、攻防對抗分析崗六類崗位:1)安全監(jiān)測崗:向安全監(jiān)測主管匯報,主要工作包括負責(zé)相關(guān)設(shè)備的日志分析、策略調(diào)整、規(guī)則優(yōu)化、威脅事件監(jiān)測上報,執(zhí)行和落實網(wǎng)絡(luò)安全態(tài)勢監(jiān)測分析方案,處置突發(fā)事件,跟蹤安全事件整改情況;2)分析研判崗:向安全監(jiān)測主管匯報,主要工作包括負責(zé)分析安全威脅告警報告、分析是否啟動應(yīng)急流程、網(wǎng)絡(luò)安全威脅事件深入分析與溯源,分析和報告網(wǎng)絡(luò)安全防御措施缺陷等;3)漏洞分析崗:向安全監(jiān)測主管匯報,主要工作包括負責(zé)安全漏洞跟蹤分析評估、預(yù)警信息發(fā)布、漏洞修復(fù)方案和加固措施制定、漏洞處置過程監(jiān)控、漏洞修復(fù)情況驗證分析等;4)威脅信息分析崗:向安全監(jiān)測主管匯報,主要工作包括負責(zé)威脅信息的采集分析評估、獲取數(shù)據(jù)的歸類分析整合等;5)防護策略管理分析崗:向安全監(jiān)測主管匯報,主要工作包括負責(zé)安全防護策略的管理、優(yōu)化、制定、執(zhí)行和有效性分析等;6)攻防對抗分析崗:向安全監(jiān)測主管匯報。負責(zé)向駐場運維人員提供紅藍對抗演練、滲透測試、代碼審計等攻防專家能力支持。b)實施操作類主要包括安全響應(yīng)崗、資產(chǎn)維護崗、平臺維護崗、主機安全維護崗、終端安全維護崗、集權(quán)設(shè)備維護崗六類崗位:1)安全響應(yīng)崗:向安全監(jiān)測主管匯報,工作內(nèi)容包括負責(zé)威脅信息事件響應(yīng)、安全事件處置、應(yīng)急響應(yīng)等事件閉環(huán)等;2)資產(chǎn)維護崗:向安全運維主管匯報,主要工作包括負責(zé)組織信息資產(chǎn)的發(fā)現(xiàn)、資產(chǎn)清單的管理、資產(chǎn)檔案的維護、問題資產(chǎn)的發(fā)現(xiàn)和處置等;3)平臺維護崗:向安全運維主管匯報,主要工作包括負責(zé)安全設(shè)備與平臺的定期升級更新、狀態(tài)巡檢、故障排除、設(shè)備與平臺預(yù)置及自定義規(guī)則、策略、預(yù)案、腳本、知識的建設(shè)、維護及發(fā)布等;4)主機安全維護崗:向安全運維主管匯報,主要工作包括負責(zé)主機服務(wù)器的定期升級更新、狀態(tài)巡檢、故障排除、主機服務(wù)器預(yù)置及自定義規(guī)則、策略、預(yù)案、腳本、知識的建設(shè)、維護及發(fā)布等;5)終端安全維護崗:向安全運維主管匯報,主要工作包括負責(zé)終端設(shè)備的定期升級更新、狀態(tài)巡檢、故障排除、終端設(shè)備預(yù)置及自定義規(guī)則、策略、預(yù)案、腳本、知識的建設(shè)、維護及發(fā)布等;6)集權(quán)設(shè)備維護崗:向安全運維主管匯報,主要工作包括負責(zé)集權(quán)設(shè)備的定期升級更新、狀態(tài)巡檢、故障排除、集權(quán)設(shè)備預(yù)置及自定義規(guī)則、策略、預(yù)案、腳本、知識的建設(shè)、維護及發(fā)布等。B.1.2.2

管理流程全自建網(wǎng)絡(luò)安全運維管理流程主要優(yōu)勢是熟悉組織文化與業(yè)務(wù)、理解安全需求透徹,創(chuàng)建的流程貼合組織實際;劣勢是對最佳實踐和新技術(shù)理念了解滯后,對流程的優(yōu)化和變革缺乏驅(qū)動力。全自建網(wǎng)絡(luò)安全運營中心在網(wǎng)絡(luò)安全運維流程管理包括如下。a)識別流程:通過確定對象、收集數(shù)據(jù)、選擇方法、分析規(guī)律、判斷檢查、建立模型和驗證評估等環(huán)節(jié)完成;全自建網(wǎng)絡(luò)安全運營中心宜按照

GB/T20984,創(chuàng)建和管理業(yè)務(wù)識別流程、資產(chǎn)發(fā)現(xiàn)與管理流程、風(fēng)險管理流程。業(yè)務(wù)識別流程包括業(yè)務(wù)發(fā)展戰(zhàn)略和業(yè)務(wù)關(guān)聯(lián)關(guān)系內(nèi)容;資產(chǎn)發(fā)現(xiàn)與管理流程包括依據(jù)資產(chǎn)業(yè)務(wù)承載性確定資產(chǎn)重要性的內(nèi)容,同時要結(jié)合最新的資產(chǎn)識別和管理平臺設(shè)計流程;風(fēng)險管理流程包括必要時引入外部機構(gòu)進行風(fēng)險評估的子流程。威脅信息收集/評估/預(yù)警流程和安全合規(guī)管理流程考慮引入外部機構(gòu)的條件和時機。b)防護流程:通過識別網(wǎng)絡(luò)安全缺失和漏洞、評估危害和級別、分析防護措施、制定工作任務(wù)和實施步驟、考核和修正等環(huán)節(jié)完成,一般包括安全設(shè)備和應(yīng)用運維流程、安全加固流程、數(shù)據(jù)安全防護流程等涵蓋縱深防御領(lǐng)域的流程;全自建網(wǎng)絡(luò)安全運營中心在創(chuàng)建防護流程時充分了解最佳實踐,評估技術(shù)發(fā)展趨勢,持續(xù)優(yōu)化改進防護流程。c)監(jiān)測流程:通過數(shù)據(jù)采集和存儲、分析與合成、告警和查詢、檢測和發(fā)現(xiàn)等環(huán)節(jié)完成,一般包括網(wǎng)絡(luò)流量監(jiān)測、網(wǎng)絡(luò)資產(chǎn)暴露面監(jiān)測、終端監(jiān)測、數(shù)據(jù)監(jiān)測、域名安全監(jiān)測、實時分析、深度分析等涵蓋威脅監(jiān)測領(lǐng)域的流程;全自建網(wǎng)絡(luò)安全運營中心關(guān)注外部網(wǎng)絡(luò)安全熱點事件,結(jié)合威脅信息,及時調(diào)整監(jiān)測重點,必要時調(diào)整防護策略。d)響應(yīng)流程:在日常工作中遵循準備、診斷、抑制、根除、恢復(fù)和跟蹤等應(yīng)急響應(yīng)流程,處置突發(fā)事件的過程中通過識別發(fā)現(xiàn)并報告威脅級別、詳細信息綜合分析研判、阻斷封堵、固定證據(jù)、業(yè)務(wù)恢復(fù)、溯源分析、還原攻擊、事件報送以及配合相關(guān)部門追蹤溯源等環(huán)節(jié)完成,該領(lǐng)域一般包括應(yīng)急預(yù)案編制、應(yīng)急響應(yīng)與處置、安全應(yīng)急演練和內(nèi)部異常行為響應(yīng)等涵蓋應(yīng)急響應(yīng)領(lǐng)域的流程;全自建網(wǎng)絡(luò)安全運營中心在應(yīng)急響應(yīng)流程中在保證安全的前提下,引入外部專家力量的條件、時機及相關(guān)的協(xié)同與保障機制。e)網(wǎng)絡(luò)安全運維溝通機制建立:全自建網(wǎng)絡(luò)安全運營中心建立內(nèi)部溝通機制和外部溝通機制,內(nèi)部溝通機制包括與上級部門或管理層的匯報機制、與業(yè)務(wù)部門的通報與協(xié)同機制、與行政管理部門的保障與支撐機制等,外部溝通機制包括與國家主管機關(guān)和上級單位的信息上報機制、與下屬單位的通報預(yù)警機制、與其他單位的信息共享機制、與專業(yè)機構(gòu)的協(xié)同機制等。B.1.3

聯(lián)合網(wǎng)絡(luò)安全運維B.1.3.1

崗位職責(zé)B.1.3.1.1

管理類聯(lián)合模式下主建單位一般為網(wǎng)絡(luò)安全運維需求方,承擔(dān)指揮決策、組織管理,資源調(diào)度及信息協(xié)調(diào)等職責(zé),并擔(dān)任管理崗角色。聯(lián)合模式下的管理類主要包括

SOC

負責(zé)人、安全運維主管、安全技術(shù)主管、安全監(jiān)測主管、風(fēng)險與合規(guī)管理崗五個崗位。管理類職責(zé)包括:a)SOC

負責(zé)人:安全運營中心負責(zé)人主要工作包括負責(zé)組織制定總體安全目標和工作計劃、安全能力規(guī)劃和建設(shè)、安全制度和流程的評審、跟蹤監(jiān)督執(zhí)行效果,重大事項的決策等;b)安全運維主管:與主建單位內(nèi)部各團隊溝通協(xié)調(diào),向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)安全運維領(lǐng)域總體安全目標的分解和對應(yīng)各分計劃的制定、安全運維人員組織和能力的規(guī)則與建設(shè)、安全運維領(lǐng)域的安全制度和工作流程制定與落實等;c)安全技術(shù)主管:向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)安全運營中心技術(shù)平臺與工具整體架構(gòu)體系設(shè)計及其建設(shè)規(guī)劃、技術(shù)平臺與工具選型上架、組織內(nèi)技術(shù)標準制定、技術(shù)平臺與工具定制開發(fā)與維護等;d)安全監(jiān)測主管:向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)管理網(wǎng)絡(luò)安全事件,突發(fā)事件的應(yīng)急響應(yīng)、調(diào)查分析和追蹤溯源,安全事件的聯(lián)動處置和網(wǎng)絡(luò)安全態(tài)勢報告的編制等;e)風(fēng)險與合規(guī)管理主管:向安全運營中心負責(zé)人匯報,主要工作包括對國家網(wǎng)絡(luò)安全政策、標準宣貫;確保參與安全運維人員符合相關(guān)保密性工作要求;負責(zé)組織風(fēng)險合規(guī)管理體系的構(gòu)建和推進、風(fēng)險控制機制的建立和實施、網(wǎng)絡(luò)安全相關(guān)資質(zhì)的獲取和維護,合規(guī)制度和流程的維護等。B.1.3.1.2

技術(shù)類聯(lián)合模式下的技術(shù)類崗位分為分析研判和實施操作。a)分析研判崗位一般由合作方擔(dān)任,依據(jù)安全運維需求,以駐場或遠程方式提供安全運維服務(wù),主要包括項目經(jīng)理崗、安全運維咨詢崗、安全監(jiān)測崗、分析研判崗、漏洞分析崗、威脅信息分析崗、防護策略分析崗、攻防對抗分析崗八個崗位:1)項目經(jīng)理崗:向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)項目資源協(xié)調(diào)和賦能申請、負責(zé)項目情況及問題跟進、項目交付周期管理、項目定期匯報及項目驗收工作;2)安全運維咨詢崗:向安全運營中心負責(zé)人匯報,主要工作包括負責(zé)網(wǎng)絡(luò)安全運營中心流程制度設(shè)計、技術(shù)體系設(shè)計、人員組織架構(gòu)設(shè)計及落地跟進,并參與指導(dǎo)改進優(yōu)化;負責(zé)跟進整體運維成熟度度量,依照度量結(jié)果動態(tài)改良整體運維體系等;3)安全監(jiān)測崗:向項目經(jīng)理崗匯報,主要工作包