新兴技术的迅猛发展不仅推动了网络安全技术的发展,与此同时也推动了网络安全管理模式的更新。众所周知,在网络安全建设的早期,众多企业为满足合规性要求,通过购买软硬件安全产品以及日常运维来应对检查。而现在,随着云大物移智等技术的不断融合、攻击手段的不断变化,传统的静态安全防护思路已经不足以解决繁杂的系统环境,同时业务规模的扩大也对安全保障增加难度,以技术和管理双管齐下、产品和服务多方面协同联动的安全运营成为近年来数字化转型浪潮中热点话题。
【安恒云-龙8app登录
运营的定义是对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称。
以业务为核心的安全运营理论模型
安全运营则是以整体业务持续安全为目标,通过运营过程实现统筹管理,以网络安全体系、流程、知识、产品、服务、团队,与业务场景的紧密结合,通过智能化协作关联分析使安全要素组合最优,并不断的更新迭代。
(1)主管机构缺位
根据调研显示,行业内没有统一标准情况下,很多单位在日常的运营管理过程中没有明确的主管部门,当发生安全事件时,责任主体难以明确。例如,在组织内部的信息安全风险管理、安全策略和信息保护策略同it系统开发与融合、相关制度建设和推动,政策实施和评价标准等一系列的安全运营工作内容需要有专人专岗履行,但实际的状况往往是因为公司的重视程度以及人员岗位的限制等原因,相关的工作内容全部归属为一个岗位执行。
(2)运营内容不明确
网络安全运营包含内容是多方面的,且在不同阶段发展运营内容在变化。在技术层面,安全运营需要建立从网络链路层、物理层到应用层的统一的安全策略,实现整体的有效安全防护,让安全防护类产品能从物理层部署覆盖应用层。在管理角度,需要建立信息安全管理体系框架,结合业务需求,进行安全运营流程管理、人员管理、建设管理、运维管理和培训管理。然而在实际的安全运营环境中,安全运营的内容没有完整的体系架构,产品间未实现有效联动,甚至是技术和管理是分割状态。
(3)安全责任界定不清楚
正是由于安全运营的主观机构缺位、安全运营内容不明确,导致安全责任的边界也是模糊的。例如出现安全事件时,风险的评估、应急的处理、方案的制定等需要通过职责明确的岗位去跟进。另外站在技术角度,发生安全事件的因素也因为新技术的不断融合以及安全边界的不断扩展,导致在网络安全边界上不清晰。
(4)安全无法度量
目前安全运营处于起步探索阶段,业界对于安全的衡量标准并未统一,安全运营需要实现基础安全能力,另外从业务系统生命周期考虑,包含安全架构、安全开发、安全交付及运维等,同时全程需要满足合规要求、风险评估和安全审计要求,然而对于各维度的判断指标需要形成标准。
安全运营的建设是持续过程,需要将孤立的事件通过一定的手段进行关联。在安全运营建设的过程需要从安全策略体系、团队组织架构、事件响应流程、安全运营平台、流程管理设计、安全技术、安全产品整合等多方面进行规划,结合对实际业务场景进行分析,实现对日常安全运营范围、职责以及行为的规范管理。运营的主要活动包含持续对安全的监控、进行安全事件的事中事后处理、安全合规性的审计以及安全风险评估。安全运营在技术角度理想的状态是通过安全管理中心,将安全资源、安全产品和数据进行整合,分析后的内容进行集中态势感知,并以此作为日常安全管理和指挥调度的依据,完成应急响应事件的处理以及各类安全监测,最终形成网络安全运营的闭环管理。
(1)安恒信息安全运营服务体系模型
安恒信息安全运营中心体系框架
构建安全运营中心分别以安全运营服务体系、安全运营管理体系、安全运营技术体系、安全运营知识体系这四个部分组成。
安全运营服务体系通过安全合规及监管服务、安全常规服务、安全管理服务,为安全运营体系将安全合规及监管、安全管理标准制度落地,且将常规服务流程化、标准化。同时,支撑平台及产品为用户提供更多的能力输出。
安全运营管理体系是依据安全职责设置安全岗位配备与之对应的人员,通过人才培养及能力培养、安全意识教育培训,建立安全规划开发、安全风险管控、漏洞挖掘利用、安全防御响应、安全问题改进、安全指挥调度等多支队伍,建立与外部机构的沟通和合作机制,所有相关人员需要设立专职岗位和编制,制定人员培养和发展计划,以及构建人员能力评估体系和考核体系,实现安全运营人员队伍。
安全运营技术体系将安全运营中心的产品和平台结合为服务、团队提供技术能力支撑。安全运营技术体系包含基础硬件资源池提供相应的能力和数据,基于安全运营平台的数据层将所有技术和服务数据汇总及分析,为用户提供平台的服务能力。
安全运营知识体系促进安全运营知识和信息有序化,并提供相应的检索手段,以方便信息和知识的检索,同时知识体系加快了安全信息的流动,有利于知识共享与交流,同时实现了对知识的有效管理的目标。
(2)安全运营服务建设路线图
安全运营服务分为调研、分析、规划、实施、运行、维护六个环节,每个环节运营目标和内容各不相同。
1.调研:了解组织的实际情况,明确组织安全运营的需求,
2.分析:在分析阶段需要进行内容包含安全管理评估、安全评估、业务流程评估、it资产梳理、非it资产梳理、业务流程梳理。
3.规划:规划阶段执行的包含安全保障规划咨询、安全人才培养、安全体系咨询、安全运营基础设施方案制定、安全运营体系咨询、等级保护咨询、应急管理咨询、应用安全开发体系咨询。
4.实施:实施阶段包含安全运营技术支撑、安全运营建设管理、安全运营培训管理、安全运营整改管理、安全运营组织管理。
5.运行和维护:在运行和维护阶段可以进行的有安全教育和培训、安全团队培养、安全攻防演练、安全应急演练、安全运维服务、安全运营保障服务、情报管理、威胁狩猎、以及应用安全开发评估服务。
针对长期运营的的项目可分为三大阶段,第一阶段需要建立安全运营管理体系,落实基于以安全资产管理为基础,数据情报和安全业务流程为驱动,风险管理为核心,事件管理为主线的安全运营理念,积极开展安全合规及监管工作,为整个安全运营建设过程提供监督指导意见;第二阶段依据业务的发展趋势,对安全运营管理体系、安全合规及监管体系进行优化升级,持续开展安全运营标准化服务。完善安全运营管理体系、安全运营技术体系、安全合规及监管体系、安全运营服务体系并转化为安全运营平台,实现识别功能、防护功能、检测功能、响应功能之间的协作联动,对接云计算中心、大数据平台及入云的应用系统,提供高阶安全保障;最后通过一定时间的安全运营体系建设,形成安全运营指挥中心,通过用数据分析、决策、管理,实现安全能力的集约化、安全决策科学化、安全运营数字化、安全治理现代化。
安全运营体系由安全运营平台作为主要支撑,平台是由ipdrrrm ppdr、isms信息安全管理体系、itil、质量管理体系、devsecops application security model、项目管理、产品开发管理知识体系、风险管理、业务流程管理/价值链、应急响应体系作为模型指导,平台具备信息采集、漏洞管理、分析处理、风险评估&等差分析、综合展示、应急管理、指挥调度、流程监控、工作规范等运营管理功能。
平台的功能逻辑可分为前中后台,数据后台具备数据仓库、数据分析、数据治理功能模块,业务中台以系统管理、资产管理、态势感知、安全策略管理、基线管理、安全运营管理功能模块构成,业务前台则展示的是安全可视化和安全运营指标;出现安全事件时,通过自动响应服务和人工响应服务进行应急处置。
安全运营是多产品和服务进行数据的关联分析,以服务的模式为切入点,通过安全运营过程中产生的安全能力进行赋能,结合业务流程相关的信息及服务管理产品的数据,形成数据模型,将数据转化为决策数据辅助人员做决策。
尽管安全运营在业内话题热度很高,很多单位已经开始了探索及实践,但相关的标准和工具目前还未形成统一的标准。随着当前网络犯罪团伙更具组织化、攻击手段日益多样化,加上技术创新融合后增加的复杂性,以网络攻击为手段的大国间战争一直在隐秘持续,对国计民生相关的基础设施领域造成的威胁不容忽视。面对外部网络安全威胁的未知,通过组织内部it系统及安全技术、业务数据和安全数据、it人才和安全人才的聚合,基于业务场景的有效分析,建立一套网络安全体系、流程、产品、服务、技术、团队智能联动的安全运营体系是解决网络安全运营的有效路径。
