网络安全运营体系建设方案

网络安全运营体系建设方案

目录

第1章.网络安全运营监控工作整体构想...........6

1.1.工作目标及原则.................................................6

1.1.1.工作目标..................................................6

1.1.2.工作原则..................................................7

1.2.安全运营流程分析...............................................9

1.2.1.安全预测.................................................10

1.2.2.安全防御.................................................11

1.2.3.安全检测................................................12

1.2.4.安全响应.................................................12

1.3.安全运营工作架构..............................................13

1.3.1.安全防护框架.............................................14

1.3.2,安全运维柩架.............................................15

1.3.3.安全验证框架.............................................16

1.3.4,安全度量框架.............................................17

1.4.安全运营支撑架构..............................................18

1.4.1.安全运营管理中心........................................19

1.4.2.安全防护框架............................................19

1.4.3.安全管理体系............................................19

1.4.4.安全服务体系............................................20

1.5.安全运营运行模式..............................................20

第2章.安全运营监控工作详细规划方案............23

2.1.安全运营监控工作规划思路......................................24

2.1.1.提升网络安全运营监控能力................................24

2.1.2.加强网络安全运营监控手段.................................26

2.1.3.完善网络安全运营监控管理.................................28

2.2.安全运营监控支撑平台规划方案..................................29

2.2.1.大数据安全基础平台.......................................30

2.2.2.网络安全运营监控态势分析平台.............................34

2.2.3.情报中心.................................................62

2.2.4.安全控制中心.............................................63

2.3.安全运营服务规划方案.........................................65

2.3.1.威胁检测服务............................................66

2.3.2.应急响应服务............................................69

2.3.3,渗透测试服务............................................74

2.3.4.红蓝对抗服务............................................77

2.3.5.安全风险评估............................................83

2.3.6.安全咨询服务............................................97

2.4.安全运营管理规划方案..........................................99

2.4.1.安全管理架构.............................................99

2.4.2.安全策略和管理制度......................................100

2.4.3.安全管理机构和人员......................................102

2.4.4.安全网络安全运营监控工作建设管理........................105

2.4.5,安全运维管理............................................106

2.4.6.文件管理................................................109

第3章.网络安全运营监控保障工作实施方案...........................111

3.1.安全运营监控工作实施框架......................................Ill

3.1.1.组织机构优化............................................Ill

3.1.2.安全运营梳理............................................112

3.1.3.安全运营试点示范........................................113

3.1.4.安全运营国际化路线......................................114

3.2.安全运营监控工作的实施标准...................................114

3.3.安全运营监控工作实施方案.....................................115

3.3.1.实施原则.................................................117

3.3.2.安全运营监控工作体系.....................................117

第4章.网络安全运营保障方案....................122

4.1.网络安全运营监控管理委员会....................................122

4.2.网络安全运营监控管理组........................................123

4.3.网络安全运营执行组............................................123

4.4.网络安全运营审核组............................................124

4.5.网络安全运营事件应急响应小组..................................125

4.6.网络安全运营保障制度及流程....................................126

4.7.信息资产的安全管理............................................126

4.8.资产的安全等级分类............................................126

4.9.信息的安全标记和史理制度......................................126

4.10.信息资产使用的安全管理.......................................127

4.11.资产使用记录清单.............................................127

4.12.资产责任人制度...............................................127

4.13.资产的合格使用管理规定.......................................127

4.14.资产管理制度及流程示例.......................................127

4.15.安服人力资源安全管理.........................................133

4.16.人员选择的安全管理制度.......................................133

4.17.人员使用安全管理制度.........................................136

4.18.人员职责终结或变更的安全管理制度.............................138

4.19.人员离岗离职网络安全运营监控管理规定示例.....................138

4.20.安全区域制度.................................................140

4.21.设备安全制度.................................................144

4.22.常规控制措施.................................................149

4.23.通讯及系统操作安全管理.......................................150

5.1.4.检查过程控制.............................................181

5.2.保密控制和文档交接............................................182

5.2.1.保密控制.................................................182

5.2.2.保密期限.................................................183

5.2.3.保密信息的归还和销毁.....................................183

524.保证183

5.2.5.文档交接.................................................184

5.3.进度控制措施..................................................184

5.3.1.网络安全运营监控工作进度控制的前提......................184

5.3.2.网络安全运营监控工作进度控制主要手段....................185

5.3.3.进度控制内容.............................................186

534.不同阶段的网络安全运营监控工作进度控制...................187

第6章.安全运营监控工作实施保障措施...........188

6.1.***安全运营管理机制优化......................................188

6.1.1.安全运营体系的起草制定.................................188

6.1.2.安全运营体系的推广与实施................................188

6.1.3.安全运营体系使用过程中的反馈评估........................189

6.1.4.安全运营体系规范体系的修订与完善........................189

6.2.安全运营监控评价体系建立.....................................189

6.2.1.***安全运营评价总则.....................................189

6.2.2.***安全运营实施思路.....................................191

6.2.3.***安全运营评价框架模型.................................191

6.2.4.***安全运营评价总体框架.................................191

6.2.5.安全运营分项评价指标体系................................192

第1章.网络安全运营监控工作整体构想

1.1.工作目标及原则

1.1.1.工作目标

为切实落实强化公司网络安全保障，有效地支撑公司数字化转型战

略，建立健全公司网省两级协同的网络安全运行监控机制，形成一体化

的网络安全防御、监测预警和应急处置体系。主要实现以下工作目标：

（一）坚持统筹谋划、整体推进。统筹公司生产大区、管理大区安

全监控重点，统筹资源配置和关键技术管理，构建全网网络安全监测预

警能力，推进各项任务的有序开展。

（二）坚持协同性，强调分级管控。整合公司内部资源，坚持全网

网络安全-盘棋，组建网省两级运行监控队伍，明确工作界面，形成分

级协同的安全运行监控体系。

（三）坚持实战性，强调安全运营。重点突出网络安全运行监控体

系的实战能力与保障能力，以安全事件发现、分析研判、通告预警、响

应处置、追踪调查为核心，构建面向实战的安全运营体系，将技术、管

理、流程进行有机整合，支撑业务实战，形成能保障业务、促进业务的

闭环安全运营。

（四）坚持及时性，强调降低安全事件影响范围。建立网络安全运

行监测值班机制，确保及时发现网络安全事件，形成网络安全与系统运

行协同的一体化监控、应急防护体系，统筹协调事件处置，全力降低安

全事件影响范围。

1.1.2.工作原则

＞标准性原则

尽可能地遵循现有的与网络安全运营相关的国际标准、国内标准、

行业标准，包括在技术框架中与具体的网络安全运营技术相关的标准，

以及在管理框架中与安全管理相关的标准。标准性原则从根本上保证

***系统建设具有良好的全面性、标准性、和开放性。

＞整体性原则

从宏观的、整体的角度出发，系统地建设网络安全运营监控工作，

不仅仅局限于安全技术层面，或者技术层面中孤立的安全技术，而是全

面构架网络安全运营技术体系，覆盖从***系统物理安全、通信和网络

安全、主机系统安全、到数据和应用系统安全各个层面。同时，建立全

面有效安全管理体系和运行保障体系，使得安全技术体系发挥最佳的保

障效果。

＞实用性原则

建立网络安全运营监控工作，必须针对网络和信息系统的特点，在

***系统现状分析和风险评估的基础上有的放矢地进行，不能简单地照

抄照搬其它的网络安全运营保障方案。同时，网络安全运营监控工作中

的所有内容，都被用来指导网络安全运营系统的建设和管理维护等实际

工作，因此须坚持可操作性和实用性原则，避免空洞和歧义现象。

实用性还体现在网络安全运营监控工作的建设过程中，由于内容庞

杂，须坚持分步骤的有序实施原则，循序渐进地进行建设。

＞先进性原则

网络安全运营监控工作中所涉及的安全技术和机制，应该具有一定

的先进性和前脂性，既能够满足当前系统的安全要求，又能够满足

系统未来3到5年时间内，网络安全运营系统建设的需要，为网络和信

息系统提供有效的安全服务保障。

1.2.安全运营流程分析

网络安全运营监控工作活动应该主要包括两个方面：

第一、未雨绸缪，却在事件发生前事先做好准备，比如风险评估、

制定安全计划、安全意识的培训I、以发布安全通告的方式进行的预警、

以及各种防范措施；

第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件

造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，

不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后

门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面工作是相互补充的。首先，事前的计划和准备为事件

发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这

些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后

的响应可能发现事前计划的不足，吸取教训，从而确保完善安全计划。

因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防

范体系。

图1.1安全运营流程分析

网络安全运营监控工作流程可参考上图中的自适应安全框架，以资

产为基础，以持续监控与分析为核心，整个安全运营流程可分为防御、

检测、响应、预测四个维度，自适应于不同基础架构和业务变化，形成

统一的安全策略。

1.2.1.安全预测

网络安全运营监控工作流程中安全预测应该基于资产进行安全预

测，虽然***都明确要求进行定期资产风险检查，并颁布了明确的信息

系统安全资产检查指导性文件。但目前还是存在一定的不足与缺陷，网

络安全运营监控工作最重要就是保障平台资产安全，因此需要对平台资

产管理定期管理，获取并记录资产中的主机及传统服务器上系统的上的

各个端口、网站、Web容器、第三方组件、数据库、进程、账号等信息,

进行统一的管理和清点解决安全运营阶段中网络安全监控能力和分析

能力不足的难题，尤其针对网络新常态下，暴露资产监控、入侵行为追

踪、高级威胁监控、失陷主机发现、漏洞闭环管理、攻击链还原、威胁

情报管理等多种高价值安全业务和场景的监控与管理。。

但只有通过统一资产管理从可实时掌握IT系统内部的资产情况，支

持资产变更分析对各类资产的变动情况进行记录，便于审计历史变动，

自主发现异常行为；从而了解资产的风险，提前做出预测，从外部威胁

及系统自身脆弱性两个维度进行全面分析，站在威胁视角，以网络入侵、

异常流量和僵木蠕为切入点，做到知彼；站在脆弱性视角，以系统漏洞

和网站安全为切入点，做到知己，提供全方位、全天候的感知能力。

1.2.2.安全防御

在网络安全运营监控安全防御工作，我们可以根据安全预测的结果

及时调整安全防护措施，帮助解决网络设备、安全设备、主机资产等各

类形态IT资产，所产生的安全信息孤岛难以形成威胁情报的难题。利

用数据采集、实时或准实时等检测技术手段，分析和发现攻击行为、流

量异常等安全威胁，通过打通各系统间产生的安全数据，转化为安全情

报，实现单一的安全信息能力转化为自适应安全，言息能力，弥补用户在

网络安全运营数据整合能力、威胁行为预判能力上可能存在的短板。平

台各开启各类监控包括登录监控、完整性监控、操作审计、进程监控、

资源监控、性能监控。从端点安全的角度，全天侯监控服务器的运行情

况，能确保第一时间发现服务器问题，最大限度的缩小排除故障时间，

帮助单位快速发现安全风险和性能瓶颈。另外，通过安全预测发现的问

题系统能自动进行问题归类到漏洞风险及入侵威胁模块中，方便管理人

员做针对性是理。

1.2.3.安全检测

日常安全检测是不可缺少的工作，能够实时掌握安全风险状况，极

大的降低突发事件出现的概率，从安全维护成本上考虑非常有利。通过

安全检测对信息系统配置操作是否安全，是安全风险控制的重要方面，

安全配置错误一般是人员操作失误导致，而满足大量信息系统设备的安

全配置要求，对人员业务水平、技术水平要求相对较高，所以一些行业

和大型企业制定了针对自身业务系统特点的配置检查Checklist和操作

指南，而国务院《中华人民共和国计算机信息系统安全保护条例》（147

号令）以及公安部颁布的一系列网络安全运营等级保护标准，也明确了

信息系统安全等级保护测评的纲领性要求。

但行业规范和等级保护纲领性规范要求让运维人员有了安全检测风

险的标准，但是面对网络中种类繁杂、数量众多的服务器，如何快速、

有效的检查，又如何集中收集核查的结果，以及制作风险审核报告，并

且最终识别那些与安全规范不符合的网络安全运营监控工作，以达到整

改合规的要求，这些是安全检测面临的难题。

1.2.4.安全响应

网络安全响应是指在对网络安全事件的事前预防、事发应对、事中

处置和善后恢复过程中，通过建立必要的应对机制，采取一系列必要措

施，应用科学、技术、规划与管理等手段，保障公众财产、基础设施、

应用系统、信息数据等安令，促进社会和谐健康发展的有关活动，因为

安全响应是无规律可寻找的，因此我们在日常安全响应工作中要制定规

范的应急响应预案。

应急响应预案是指针对可能发生的事故，为迅速、有序地开展

应急行动而预先制定的行动方案。网络安全应急预案应形成体系，针对

各级各类可能发生的网络安全事件和所有风险源制定专项应急预案和

处置方案，并明确事前、事发、事中、事后的各个过程中相关部门和有

关人员的职责。要明确了各类网络安全事件分级分类和预案框架体系，

规定了应对网络安全事件的组织体系、工作机制等内容，是指导预防和

处置各类网络安全事件的规范性文件。综合应急预案是从总体上阐述处

理网络安全事件的应急方针、政策，应急组织结阂及相关应急职责，应

急行动、措施和保障等基本要求和程序，是应对各类网络安全事件的综

合性文件。

1.3.安全运营工作架构

为确保安全运营工作架构能够灵活扩展，方案将安全运营架构按业

务功能分为四个模块进行描述：安全防护框架、安全运维框架、安全验

证框架、安全度量框架，

y

图1.3安全运营框架

1.3.1.安全防护框架

安全防护框架包括检测与防护两部分，主要通过在网络不同层次不

同域部署各类安全监测探针，提供实时检测能力，为安全运维框架提供

可视化信息采集，并通过安全防护设备策略设置，实现安全防护。安全

运维框架主要是统一采集安全防护框架各探针的捡测数据，并做进一步

的处理及关联分析，通过统一展示平台输出事件告警数据，进入事件处

理平台和流程，人工介入处理。安全运维框架还包括安全事件的定期

review和向管理层汇报.安全验证框架主要是综合通过黑盒白盒睑证措

施，确保安全防护框架和安全运维框架有效性。安全度量框架通过一系

列的安全度量指标，衡量评价安全运营质量水平，并针对性持续过程改

进，实现质量的螺旋上升。

系统安全保护环境由安全计算环境，安全区域边界，安全通信网络

和（或）安全管理中心组成。相应的，我们认为安全防护框架由安全计

算环境，安全区域边界和安全通信网络组成。由于目标环境主要由传统

数据中心环境及云计算环境组成，我们在防护框架上也主要考虑通用安

全计算环境及云计算环境的需要。

其中，通用安全计算环境主要包括用户身份鉴别、访问控制、安全

审计、数据完整性保护、数据保密性保护、客体安全重用、入侵检测、

恶意代码防范等要求。针对云安全计算环境，除上述要求在云计算环境

的体现外，还需要包括数据备份与恢复、虚拟化安全、镜像和快照安全

等要求。

通用安全区域边界包括区域边界访问控制、区域边界包过滤、区域

边界安全审计、区域边界完整性保护等要求。云安全计算环境出上述要

求的体现外，还包括区域边界结构安全。

通用安全通信网络要求包括通信网络安全审计，通信网络数据传输完整

性保护，通信网络数据传输保密性保护等要求，对云安全通信网络设计,

还需要考虑通信网络可信接入保护。

安全防护设备通常可兼做安全管理平台的探针，把各类检测数据、

防护日志、安全审计记录等传输到安全管理平台做进一步的处理分析。

亦可部署专用数据探针，采集环境数据并上传到安全管理平台。安全运

维框架的数据上传，需要考虑到底是发送原始检测信息还是处理后的监

测告警信息。在需要对事件进行取证溯源的情况下，需要尽量发送原始

信息，以便于安全管理平台进行分析。

1.3.2.安全运维框架

安全运维框架的建设目标是成为企业安全的大脑、神经中枢、耳

目和手脚。安全运维框架包括安全管理中心、人与流程三部分。

安全管理中心是企业安全的大脑及神经中枢，通常基于大数据分

析平台基础上进行建设,安全运营管理中心应当包括系统管理、安全管

理、审计管理。对系统管理，可通过系统管理员对系统的资源和运行进

行配置和控制。对安全管理，需具有对攻击行为回溯分析及对网络安全

事件进行预测和预警的能力；需具有对网络安全态势进行感知、预测和

预判的能力。

安全运维框架的耳目是安全情报、安全监视和侦察系统。通过安全

防护框架中的探针数据采集，实现异常行为的实时监测。通过介入安全

情报，让安全运维框架看的更远。

安全运维框架的建设，需要建设事件处理安全运营监控流程，纳入ITIL

事件管理流程，通过下发工单和发送告警邮件、短信等方式进行安全提

醒。而安全事件的确认和溯源分析及处置常常通过自动化结合人工分析

和确认的方式进行。对于100%确定异常的安全攻击可以通过自动化方式

进行阻断。通过安全事件日报、周报、月报等方式对安全事件进行闭环

管理。

1.3.3.安全验证框架

安全验证框架解决安全有效性问题，承担对安全防护和安全运维

两个框架的功能验证。安全验证框架是企业安全的蓝军，在和平时期，

蓝军扮演着对手角色，利于及时发现、评估、修复、确认和改进安全防

护和运维框架中的脆弱点。包括白盒检测（过程验证）和黑和检测（结

果验证）两部分。

白盒检测（过程验证）是指建立自动化验证平台，对安全防护框架

的管控措施实现100%的全面验证，并可视化集成至安全管理平台中，管

控措施失效能够在指定时间内发现。通过自动化验证平台达到：

1）验证探针安全监测功能有效；

2）验证探针所产生监测信息到安全管理平台的信息采集有效；

3）验证安全管理中心的安全检测规则有效；

4）验证告警方式（邮件、短信与可视化展示）有效。

基于上述目标，自动化验证要求所验证事件必须为自动化模拟真实事件

产生，不能使用插入记录方式产生，同时自动化验证事件应提供判断是

否为验证事件的唯一标识。安全管理平台应能检测到验证未通过的系统

和规则，并产生告警信息，通知运维人员介入处理。

黑盒检测（结果脸证）是通过多渠道安全渗透机制和红蓝对抗演

习等，先于对手发现自己的漏洞和弱点。渗透测试及红蓝对抗演习需要

企业具有较高攻防技能的安全人员，也可聘请专业安全服务机构完成，

用于检测安全防护框架和安全运维框架的有效性。

1.3.4.安全度量框架

安全度量框架主要用于衡量评价安全有效性。安全度量框架可以分

为如下几个层次：

一是技术维度。通过配置核查系统对资产合规性进行检测，包括防病毒

软件的安袋率、正常率，各类策略配置是否符合合规性要求：入侵检测

的检测率，防护有效性、误报率；安全事件的发生频率，响应时长、处

理时长；高危预警漏洞排查所需时间和完全修复时间。基于资产脆弱性

及所受威胁进行资产风验评估。基于各类响应及处置情况及事件发生趋

势进行安全运维状况评估。部分数据指标可由安全管理平台直接计算得

出；部分指标需要通过管理平台数据结合人工分析得到。

一是安全运营成效3包括覆盖率、检出率、攻防对抗成功率。有多

少业务和系统处于安全保护之下，有多少无人问津的灰色地帝。检出率

和攻防对抗成功率都是衡量安全有效性的有效指标。安全运营成效的度

量，可以结合安全验证框架进行。

三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能

力，TCO/ROI,安全用多少资源，支撑了多少业务，支撑的程度。安全

价值还体现在内部的影响力以及对业务的影响力，是做微观安全还是广

义安全，是为业务带来正面影响还是负分拖后腿。安全满意度是综合维

度指标，可理解为是对安全团队和人员的最高要求，既要满足上级领导

和业务部门对安全的利益诉求，又要满足同级横向其他IT团队对安全

的利益诉求，还要满足团队内部成员的利益诉求，要提供最佳的安全服

务，让安全的用户成为安全的客户，让使用者满意，真的是非常非常有

挑战的一件事情。这种度量往往结合使用者访谈等方式进行。

1.4.安全运营支撑架构

结合上述运营流程分析及安全运营架构，设计如下运营支撑体系

组成架构：

态势感知与运维平台・安全控制中心■ITIL平台

安

全

验

证

抵

安

全

架

度7安全域与边界安全防护

梅

梨

安全防护框架

运营支撑体系组成架构

运营支撑体系主要由安全运营管理中心、安全防护框架、安全管理

体系，安全服务体系组成。

安全运维架构中的安全运维框架、安全验证庵架、安全度量框架三

大模块，由安全运营管里中心、安全管理体系、安全服务体系共同实现。

1.4.1.安全运营管理中心

安全运营管埋中心是整个运营支撑体系的大胸和神经中枢。包括网

络安全运营监控态势分析平台、4A平台、情报中心、安全控制中心、ITIL

平台五部分。其中网络安全运营监控态势分析平台实现整体网络安全态

势感知和运维管理功能。4A平台对整个网络业务系统及用户实现集中账

号管理、集中认证管理、集中授权管理和集中审计管理的功能。安全控

制中心实现封堵、下发防护策略、SDN流表策略控制等的功能。ITIL平

台主要实现事件处置流程处理，如工单管理等功能。情报中心接入多源

情报信息，并提供给安全管理平台进行关联使用。

1.4.2.安全防护框架

安全防护框架包括安全域建设及边界安全防护，传统数据中心防

护，私有云安全防护，实现对数据中心网络的防沙措施，以及为安全管

理平台提供探针功能，进行安全数据及审计数据的采集。

1.4.3.安全管理体系

安全管理体系通过机构和人员管理、制度和规范管理实现安全组织

保障，并指导安全建设、安全运维从流程运行的角度开展系统全生命周

期的管理实施工作。

1.4.4.安全服务体系

安全服务体系引入专家服务的视角。本着“让专业的人做专业的

事”的原则，通过安全专家，提供威胁检测与响应服务、应急响应服务、

安全评估服务、渗透测试、红蓝对抗服务，满足安全运维、安全验证、

安全度量等的需要。

1.5.安全运营运行模式

安全运营支撑体系包括三个基本元素和一个目标。

三个基本元素分别对应于人、技术和流程，这三个要素互相关联、

互相制约，共同决定安全防护体系运行的成效。

基本元素“人”强调人员组织，突出了任何一个体系中人的重要作

用。对于“人”的建设不仅仅是安全组织机构的建设，确立人员的职责，

更重要的是制定安全策略，安全管理规范和安全指南。安全策略详细描

述了网络安全运营各方面的目标，用于指导安全管理规范和安全指南的

建设和修改；安全规范为“人”提供了安全行为的规范和制度，安全指

南为实施安全的管理人员或者最终用户提供了安全操作的具体指南和

手册。同时，安全建设由于其复杂性和全面性的要求，一个完整的安全

组织架构还必须有外部安全服务体系作为有力支撑。此外，对于安全管

理规范的制定只是安全管理的第一步，更为重要的是如何将安全管理规

范有效地推广和实施，真正成为的安全标准和人员的行为准则。

基本元素“技术”涉及运营支撑体系建设的整个生命周期，“创造

价值的不是技术本身，而是通过技术的部署和实现有效地满足了网络的

需求”，同样，安全技术的价值也是体现在通过安全技术的部署和实现,

推动安全服务提高水平，满足业务需求。

因此，“技术”体系以业务视角为起点，对资产进行归类，梳理关

键业务流，分析评估风险，确定风险控制的环节，最终实现具体的安全

功能。

以网络安全运营评估为切入点和着手点，识别评价当前的网络安全

运营风险，作为安全设计和规划的依据。同时，风险会不断变化，风险

的管理也必然是动态和长期的，整个技术体系都应当不断地根据新的风

险的引入响应变化。动徐的安全风险管理思想指导用户关注、监控风险,

在风险累积到一定程度，危害业务安全时，及时进行安全策路的调整和

新一轮的安全体系完善建设。

基本元素“流程”漠块不但是技术和人之间的桥梁，也是安全运营

支撑体系与整个IT服务管理体系的界面。等级保护支持的各个流程：

安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维

管理等流程规范了安全管理活动，按照流程的方式加以组织，并且赋予

每个流程以特定的目标、范围和职能，安全管理对组织业务的支持更为

彻底和有效。等级保护管理流程为安全管理提供了最佳的操作实践。安

全事件可以作为事故管理流程的输入，安全知识库可以作为问题管理流

程的输入，任何安全操作必须按照变更管理和配置管理流程进行。

“一个目标”体现了安全运营支撑体系建立的最终目的，是为了保障

网络安全运行。而衡量是否达到目标的方法就是定义、评价和管理服务

级别。因此，安全的目标的量化体现就是安全体系框架所描述的安全服

务提供水平。之所以要在安全体系框架中引入ITIL服务提供，一个重

要的原因是：ITIL要求在服务中设计并制定出一致的、可衡量的网络安

全运营指标，而不是事后着手。

安全体系框架人、技术、流程本身是互相关秩，相互作用的关系。

人是核心，技术是基础架构和载体，流程是导向。三要素共同支撑实现

了最终的目标：保障系统安全，安全服务满足业务所要求的服务提供水

平。

综上，无论技术和流程，都应遵循持续改进的永恒定律，逐步培育

出自适应的安全运营支撑体系。

图L4持续改进的体系运行模式

第2章.安全运营监控工作详细规划方案

安全运营监控工作的形成并非一蹴而就，单位管理者应重视安全体

系建设，建立起“以人员为核心、以数据为基础、以运营为手段”的安

全运营模式，逐步形成威胁预测、威胁防护、持续检测、响应处置的闭

环安全工作流程，打造“四位一体”的闭环安全运营体系，通过日常网

络安全建设和安全运营的日积月累，建立起相应的安全技术、管理、运

营体系，形成面向实战的安全防御能力，主要方式可以通过以下方面进

行：

（一）进一步加强网络安全运营监控的规范与管理办法的建设，并进一

步细化相关配套措施，优化安全运营管理全程规范体系；

（二）优化统一的网络安全运营监控中心，统一指导、统一协调、统一

督促关键信息基础设施应急管理、公共基础设施信息系统网络安全运营

管理等工作；

（三）关注网络安全运营监控管理文化建设，通过多种方法、多种形式

对人员进行不同层面的网络安全意识教育，提高全民网络安全意识；

建立完善的预警检测和通报机制，及时分析安全，’言息，发布警报信息和

制订预警预案，做到有备无患；

（四）应密切跟踪网络网络安全运营领域新技术和新应用的发展，开展

新的网络框架下网络安全问题的研究，以有效应对网络网络安全运营面

临的各种挑战；

（五）积极支持网络安全学科专业和培训机构建设，努力培养一支管理

能力强、业务水平高、技术素质过硬的安全运营管理人才和网络安全应

急处置人才队伍：

（六）建立健全网络安全运营监控工作评估机制，由定性走向定量，建

立统一规范的网络安全运营监控规则、工具、方法和评价标准体系，确

保网络安全运营监控工作的安全运营监控和规范化；

（七）建立全方位的、开放的、统一的网络安全运营监控工作经验

交流，推进行业、地区相互观摩，以加强横向交流和沟通，通过总结经

验，把网络安全运营监控工作的最佳实践及时进行推广。

2.1.安全运营监控工作规划思路

2.1.1.提升网络安全运营监控能力

（1）建立安全运营监控支撑平台

借鉴国际相关成立网络安全运营监控中心的建设经验，可以选择安

全设备及桌面软件及相关决策支持系统为突破口，不断提高网络安全运

营监控信息化水平和实用性。通过自主创新和外交合作，加快平台化建

设，建立基于云计算的，集预警通报、信息共享、应急指挥协调于一体

的网络安全运营监控模拟中心。在线模拟突发事件处置流程和实际操作

检验，通过系统进行任务设定和模拟演练，演练结束后，也由系统进行

电子测评。最终形成演练全程记录及报告，对演练过程作出评估。建议

成立网络安全运营监控中心，建立统一的网络安全运营监控管理平台工

作机制和指引，集中力量重点建设一批具有世界先进水平的国家级、区

域性、行业性网络安全运营监控中心，使其成为网络安全运营监控的科

研、训练、保障和国际交流的重要基地，并通过成果示范提升行业整体

水平。网络安全运营监控中心的建立，也将偏流程的网络安全运营监控

工作转变为全面演练，真正提高网络安全网络安全运营监控工作的管理

和技术水平。

(2)提高网络安全运营监控水平

立足我***实际情况，坚持理论先行和标准先行，通过技术攻关和

实验试点，尽快建立统一规范的网络安全运营监空规则、网络安全运营

监控平台、网络安全运营监控方法和评价标准体系及其定期修编制度，

确保网络安全运营监控的安全运营监控和规范化。其中建立健全网络安

全运营监控绩效评估机制，由定性走向定量，由仅注重实施环节走向覆

盖全过程，是网络安全运营监控评估工作的发展趋势。建立明确方法，

量化指标，通过系统的全过程全方位的评估总结，将网络安全运营监控

工作过程中的感性认识提升为理性认识，并进而转化为预期的应急能

力。

与此同时，加大行业地区的网络安全运营监控力度，通过多层次、

多角度、全方位的网络安全运营监控实践持续改进方法和流程，广泛征

求意见并深入论证，力求在充分实践与优化相结合的基础之上，摸索出

一套能够指导网络安全运营监控工作高效开展的成熟的网络安全运营

监控管理和评估流程，形成完整的网络安全运营监控程序循环系统，从

规划、设计、实施到评估和改进，实现对网络安全运营监控工作的全方

位管理，从而为各地市电网网络安全运营监控工作实施提供有效指导，

提高网络安全运营监控工作的科学性、可行性、有效性。

(3)推广网络安全运营监控工作实施

应要求行业及地区根据各自特点实行精细化网络安全运营监控工

作管理，因地制宜，结合电网行业、***的情况，探索最有效的网络安

全运营监控形式。按照系统重要性、时效性等进行等级划分，预案分级,

安排分级，定期，不断提高网络安全运营监控工作质量与水平，结合行

业实际情况，对行业网络安全运营监控工作提出要求并落实，及时更新。

同时，进一步整合电网部门、科研机构、企业等多方网络安全运营监控

资源，建立全方位的、开放的、统一的网络安全运营监控工作经验交流

和信息共享平台，推进各行业、地区相互观摩，以加强横向交流、沟通,

总结经验，并对网络安全运营监控工作做最佳实践推广。

2.1.2.加强网络安全运营监控手段

（1）完善预警机制建设

在网络安全运营监控工作中科学完善的预警机制不仅能够在突发

事件发生前监控、预防灾难的发生，而且在突发事件发生后能够有条不

紊的实施处理，最大程度降低突发事件带来的损失。目前***在预警机

制还比较落后，存在的问题较多，使得这个层面在应对突发事件时往往

较为被动和滞后。因此，尽快完善网络安全运营监控应对突发事件的预

警机制，提升应急响应能力，也是***现阶段面临的重要工作。

在条件允许的情况下，可以考虑建立网络安全运营监控中心，负

责协调关键基础设施拥有者和经营者，保障在业务连续性、危害管理、

信息系统攻击、网络犯罪、保护关键场所免受破坏等方面的信息共享，

并与相关部门建立密切联系，共享网络威胁情报，提高网络安全风险形

势研判能力。

(2)加大技术研发应用

加强在网络安全运营监控工作及平台方面的研发，密切跟踪网络网

络安全运营领域新技术、新应用的发展，加强相关技术特别是关键核心

技术的攻关力度，着力开展新的网络框架下网络安全问题的研究，推动

网络网络安全运营产业的发展，以有效应对网络网络安全运营面临的各

种挑战。随着科学技术的飞速发展，越来越多的新型技术设备和宣传手

段被开发并运用到应急工作中。在应急工作中，有条件的机构可考虑运

用新型技术和设备，依照自身实际情况开发操作性和可用性更强的系统

或软件，并在网络安全运营监控工作中投入使用。应当注意的是，应不

断测试系统、检验性能，及时改良。在使用过程中，提高人与设备、系

统的磨合度，熟练操作方法，提高实际应用中的操作水平。

(3)加强人才能力培养

近年来，网络安全形势的日趋严峻也对网络安全人才、网络安全

应急处置人才提出了更高要求。因此，建议从对资源投入给予相应支撑,

加强人才队伍建设，完善相关网络安全运营监控工作教育培训，发挥科

学研究部门和高等院校的优势，积极支持网络安全学科专业和培训机构

建设，努力培养一支管理能力强、业务水平高、技术素质过硬的复合型

人才队伍，为加强网络安全应急管理提供坚实的人才保障和智力支持。

要不断提高网络安全应急人才队伍素质，定期组织对网络安全人员的能

力培训，强化和补充新的网络安全威胁知识，切实加强对有关网络安全

应急一线工作人员技术业务培训。同时，注重培养专门的应急教育人员，

使之有效发挥危机传递的重要纽带作用。此外，还要充分利用发挥网络

安全行业企业在网络安全运营监控工作中的作用，科学调配企业中的人

才资源，为网络安全运营监控工作提供多元的人力资源支持。

2.1.3.完善网络安全运营监控管理

(1)建立健全安全运营管理制度

当前，***虽然有开展应急演练等关于网络安全运营监控工作的框

架性要求和指导意见。但***应从战略全局的高度，尽量完善网络安全

运营监控工作体系与应急机制、制定工作，将网络安全运营监控工作全

面纳入系统化的轨道中来。与此同时，辅助有关部门制定网络安全运营

监控工作及网络安全事件应急演练业务流程和相关业务标准，进一步加

强有关网络安全运营监控工作的标准规范、管理办法，并确保细化相关

配套措施，构建网络安全运营监控工作规范体系。

(2)统筹协调，职责明确

完善的网络安全运营监控工作协调机制有助于在网络安全危机发

生时有效开展应急协调和资源调度。借鉴美国及欧盟的网络安全运营监

控工作经验，辅助成立网络安全运营监控工作中心，作为应对特别重大

网络安全突发事件的网络安全运营监控工作机构，统一指导、统一协调、

统一督促关键信息基础设施应急、公共基础设施惜息系统应急、网络内

容管理应急等网络安全运营监控工作，建立不同池区、部门、系统之间

网络安全运营监控工作的联动机制。进一步明确行业监管部门与地方机

构之间的职责边界，明确网络网络安全运营监控工作任主体，梳理应急

工作中的交叉环节和空白地带，把目前仍然较为模糊和分散的网络安全

应急管理职能适当加以整合。将不同业务部门所涉及到的不同类型的网

络网络安全运营监控工作机制与系统有机地统筹、结合在一个体系中，

以避免形成多头监管的局面，提升网络安全运营监控工作体系与系统的

应急指挥、协同部署的效率与效能。

(3)加强全民意识宣贯

网络网络安全运营监控工作往往更加关注技术和资源建设，而忽略

了网络安全运营监控工作文化建设。普通民众缺乏必要的安全观念和危

机意识，对于网络安全突发事件的预警、防范意识也较为缺乏，因此要

加强安全意识宣贯教育，可以通过多种方法、多种形式对我***人员进

行不同层面的网络安全意识教育，提升必要的网络安全观念及意识。，

以“网络安全运营监控工作演练”的方式促进网络安全应急工作的发

展完善。

2.2.安全运营监控支撑平台规划方案

安全运营监控工作离不开平台及技术手段的支撑，为了更好服务于

安全运营监控工作实现对整个目标环境的安全管理与运营。安全运营监

控工作的支撑不是单纯依靠某台安全设备就能实现的，而是需要全局进

行统筹，对所有的设备进行联动互通，形成一体化的安全运营服务平台。

网络安全运营服务平台框架

I协会多维国顶7额藤分配

（AXWH-।

（＞一

—、

安全信息采集安全分析响应与处置

外

部

C^^gaT'y-

系

（主机/y——统

（数有£:-It-------------------------11

（中间~阿"y-—

（业”系欣A

业务修理

（云祝均A-

C物理安享［）

（只它"3忘

目前***已经部署了防火墙、IPS、SOC、IOS向天眼相关网络安全设

备及平台，但目前平台之间数据都是单独存在，无法实现对所有平台的

有效联动及采集分析，因此如何构建一体化安全运营管理平台是我们落

实网络安全运营监控工作的关键，因此我觉得可以参考上图的网络安全

运营平台框架对平台进行梳理及优化，结合目前现状提出如下模块构

想。其中包括网络安全运营监控态势分析平台、安全控制中心、威胁情

报中心基于大数据安全基础平台之上部署。它们既可以作为独立平台

（含大数据安全基础平台部分）单独部署，也可以部署在同一个大数据

安全基础平台集群上。在部署在同一个大数据安全基础平台集群时，三

者数据可按需共享或隔离访问。

2.2.1.大数据安全基础平台

大数据安全基础平台，是整个安全运营监控支撑平台基础平台，为

在其上部署的应用提供基础运行环境，实现数据接入、数据存储、应用

管理等功能，并为上层应用提供大数据分析所需的组件。

2.2.1.1.大数据安全基础平台架构

公共业务模块APPWW

APP停用启用］APP升级］

也询用索规M引，（畀，引*仪寰d工作及APP安装卸口

数第存储任务管理

依据访问接口任务管理接口

文件在辅|疏息队列|

任务正j

□任务执行］

全以"T］KV存储［

任务取态超控

大数据安全基础平台功能架沟

大数据安全基础平台包括所有安全设备的数据接入，北向接口，集

群管理、权限管理、系统管理、数据存储及数据管理、数据计算、人物

管理、APP管理等功能。基于分布式大数据框架进行实现。

在大数据安全基础平台之上运行的应用（如网络安全运营监控态势

分析平台），在基础平台进行安装部署，并可按需卸载。

大数据安全基础平台支持分布式多节点部署，应分为Master节点

与Worker节点两种。其中Master节点实现对整个集群的管理与调度功

能，Worker节点提供大数据计算资源。

图1.5大数据平台部署图

2.2.1.2.数据接入处理

大数据处理平台一般的处理流程都包括，数据的解析、增强、规

范化、统一化处理，最终存入分布式文件系统，提供给其它业务处理模

块使用。

框架中采用成熟的分布式消息队列、分布式大数据处理框架、分布式流

处理和分布式检索技术，提供海量基础日志数据的处理、存储和检索能

力，还需要提供框架运行所需要的任务管理和系统监控等功能。

分布式消息队列

主要用途包括：消息异步处理，业务应用解耦，数据流量削锋以及进程

间消息通讯。在大数据处理平台中，使用kafka实现分布式消息队列。

其中Kafka利用顺序10,保证了处理效率，并能够持久化部分数据，

在一定时间内保证数据的安全性和可用性，通过分布式机制可以进行平

滑升级。在日志数据处理中是最优选择。

分布式流处理

使用SparkStreaming,实现分布式流处理，对无边界数据集进行连续

不断的处理、聚合和分析，利用Hadoop的YARN资源调度框架实现自动

调度处理任务，有效利用集群中服务器资源。

2.2.1.3.数据存储

利用分布式文件系统提供高性能数据存储，提供多备份冗余机

制保证数据安全性。对所存储的数据，分为热数据和冷数据部分。依据

所存储的数据的特点，分别存储在Hive,Ilbase,关系数据库等数据库

或分布式文件系统中。为提升海量数据检索能力，提供ElasticScarch,

支持分布式索引及存储，

图1.6数据存储模式

为了兼顾数据的存储和检索效率，必须根据业务数据的特征对数据存储

进行分区操作。

对于列式存储模式：

每种日志数据以二维表的形式进行定义，每种日志系列每天都会构建一

个分表，该表会以小时为单位进行分区(Partition)；相同类别的日志

以数据库(Schema)的形式进行组织。

对于索引存储模式：

每种日志以类型的形式进行定义，相同类别的日志以索弓I(Index)的形

式进行组织，每个索引系列每天都会构建一个新的实例。

2.2.2.网络安全运营监控态势分析平台

网络安全运营监控态势分析平台从大的方面，包括态势感知与运维

两大部分，网络安全运营监控态势分析平台是安全运维框架的重要组成

部分，同时，为安全验证框架提供数据，为安全度量框架提供数据及计

算支持。对网络安全态势进行感知分析，是网络安全运营的基础。

2.2.2.1.网络安全杰势分析模型

网络安全态势感知是在大规模网络环境中对能够引起网络态势发

生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预

测，而最终的目的是要进行决策与行动。

传统的态势感知层次模型，包括察觉、理解与预测三个环节。

资产识别运行状态态势演化

网络珏扑攻击状态

攻击预测

漏洞状态后果用5害

影响预测

配置状态

多

多

源

类

异

杳

构

势

环K

境

合

数

S视

度

攻击趋势与意图分析

攻击溯源/因果分析

攻击过程;路径分析

攻击者行为雁力/由圉

脆弱性/殷晌/态势评估

图1.7网络安全态势感知层次图

态势察觉层主要实现要素提取，攻击识别和痂认（发现有攻击，确

认攻击类型，攻击源和攻击目标），状态确认（从现象抽象成状态，比

如说内存使用超过80册忙碌状态，可用性受损），网络拓扑变化。理解

层对相同类型及不同类型的要素进行关联，比如说把状态变化与具体攻

击进行关联；把攻击与漏洞进行关联，或把不同的攻击进行关联形成攻

击过程。并且对态势进行量化评估。预测层是对未来趋势及可能性的预

测。

而随着态势感知应用的发展，目前在产业界与学术界，越来越多的把

态势感知与运维闭环结合在一起，强调对态势的感知分析，以及其后所

采取的决策闭环。

在本方案中，把网络安全态势感知与运维揉在一起，形成网络安全

运营监控态势分析平台。

2.2.2.2.网络安全运营监控态势分析平台整体架构

态势感知门户运维门户

业务应用综合资产分类追踪重点运维工设备云疏

态势态势态势溯源场鼠ii作台SB监控

攻击识别引擎态势推理引擎

分析组件

态势评估引擎

11

支撑组件北向接口报表引擎地理组件漏洞库知识库

图1.8网络安全运营监控态势分析平台整体架构

网络安全运营监控态势分析平台整体逻辑架构如上图所示。网络安全运

营监控态势分析平台接收云、网站、终端、中间件、服务器、安全设备

的各类探针数据进行分析，对网络安全态势进行感知预测，并作分析展

示。同时，对整体网络安全环境进行统一管理，对态势状况进行处置，

形成闭环运营。

从逻辑架构看，网络安全运营监控态势分析平台分为基础平台、支撑组

件、分析组件、运维组件、业务应用等部分。

基础平台即大数据安全基础平台，为网络安全运营监控态势分析平台提

供基础运行环境，提供数据存储、数据计算、任务管理、集群管理、运

行容器、APP管理、系统管理等基础支撑服务。

支撑组件层提供非业务层面或能力支撑性的公用组件。包括数据接入、

北向接口、报表引擎、工作流引擎、地理组件、漏洞库、知识库等。

分析组件指的是面向威胁分析、脆弱性分析等态势分析型的组件。包括

攻击识别引擎、脆弱性分析银器、态势推理引擎、态势评估引擎等。

运维组件是面向运维管理的组件。包括策略管理、资产管理、云资源调

度、扫描管理、设备管理等。

业务应用分为态势感知门户和运维两大门户，提供用户监控及运维可视

化接口。

2.2.2.3.支撑组件

2.2.2.3.1.数据接入

图1.9数据接入

数据接入组件所接收处理的数据，包括安全日志、流量数据、Flow数据

等多种异构环境数据，司时也包括平台级联时的级联数据。数据接入流

程包括数据接收、数据解析、口志去噪、数据增强、数据规范化、数据

入库等步骤。其中，数据增强由业务插件实现，数据入库不在数据接入

组件范围内。

数据接收：监听或主动请求方式获取数据。

数据解析：把数据识别转换成内部使用的数据结构。

数据去噪：过滤去掉错误或无用的噪声数据。

数据增强：按照业务需要增加额外字段或对部分日志数据字段进行改

写

数据规范化：依照日志规范调整日志字段，增加一些标准日志字段。

数据接入组件支持直通网络、异构网络、单向网闸等多种网络接入环境。

其中对异构网络及单向网闸使用转发器实现对数据的转发，以适配不同

网络环境的数据接入能力。

2・2・2・3.2.北向接口

北向接口提供平台对外的数据传输或