安全運營體系建設

一、背景

安全運營體系建設由三大部分組成：

• 安全運營服務體系：要做什麼？遵循什麼標準去做？
• 安全運營管理體系：由誰做？
• 安全運營技術體系：怎麼做？

 

二、安全運營服務體系建設

0x1：安全合規及監管服務

• 安全標準規範建設。安全運營中涉及的安全標準規範需要符合國家關於網絡及關鍵信息基礎設施、等級保護、雲計算、大數據、政務數據開放共享和電子政務外網相關的安全標準、法令法規和指導文件的要求。具體建設內容包括：安全管理要求、安全技術標準、安全運營標準。
• 等級保護測評及風險評估
  • 等級保護測評。等級保護測評工作過程及任務基於受委託測評機構對定級對象開展等級測評。等級測評過程包括四個基本測評活動：測評準備活動、方案編制活動、現場測評活動、報告編制活動。而測評相關方之間的溝通與洽談應貫穿整個等級測評過程。
  • 風險評估。風險評估是信息系統安全的基礎性工作，是科學地分析和理解信息與信息系統在保密性、完整性、可用性等方面所面臨的風險，並在風險的減少、轉移和規避等風險控制方法之間做出決策的過程。風險評估將導出信息系統的安全需求。因此，所有信息安全建設都應該以風險評估爲起點開展風險評估工作。
  • 合規整改。業務應用系統通過等級保護測評及風險評估相關報告中反饋的問題，由相關業務系統主管單位負責協調專業技術人員開展合規整改，整改工作完成後通過相關的驗證來評估最終的整改效果，並提供整改後的驗證報告完成合規整改工作。
• 合規性檢查及指導。安全合規性檢查及指導工作的開展，在不同階段、針對不同技術活動參照相應的標準規範進行；對各業務單位的重要系統進行安全建設和整改的指導，定期開展網絡安全情況及能力建設情況檢查。監管單位對各單位定期通過定期安全檢查、安全抽查，或者委託第三方機構開展有針對性的安全檢查，指導網絡安全工作的開展，在各項工作開展的過程中實施監督和管理，發現存在的問題提供相應的指導，同步完善安全運營相關工作的推進。

0x2：安全運營服務

1、安全基線評估加固

通過“自動化工具配合人工檢查”方式參考安全配置基線進行檢查，主要包括

• 網絡設備安全配置基線
• 安全設備安全配置基線
• 操作系統安全配置基線
• 數據庫安全配置基線
• 中間件安全配置基線等

採用主流的安全配置覈查系統或檢查腳本工具，以遠程登錄檢查的方式工作，完成設備的檢查，針對物理隔離或網絡隔離的設備使用檢查腳本工具來補充完成檢查工作。

依據區域安全技術標準對網絡設備、安全設備、操作系統、數據庫及中間件的安全配置基線要求或結合安全評估結果，按照安全整改建議，由安全服務人員協助雲服務客戶運維人員實施安全加固，至最終符合安全標準以保障安全運行。

2、運維管理與安全審計

• 安全運維管理。安全運維管理即實現對業務系統進行集中運維管理，對身份、訪問、權限進行控制，可以降低運維操作風險，使安全問題得到追溯，提供安全事件對應的運維操作行爲依據。安全運營一線運營前臺人員，通過了解用戶的角色與權限，進行日常運維角色、權限管理工作，對安全運維工單進行處理。
• 安全審計日誌分析。區域所使用的安全產品會產生大量的網絡訪問日誌、管理行爲記錄、操作行爲記錄、產品運行記錄和網絡流量等數據，以及安全監測產生的大量信息，這些信息數量龐大且無明顯關係，但其中可能隱含着潛在的網絡攻擊行爲或已經發生但未被發現的攻擊行爲、產品故障等。安全審計人員利用搜集到的安全日誌，結合資產信息等實際情況，分析這些海量數據中的相互關係，挖掘出有價值的網絡攻擊、運行故障等信息，及時開展相應的處置工作，以保障安全產品及整體區域各業務系統的運行安全。
• 服務交付成果。針對運維管理工作和安全審計日誌分析輸出安全運維審計報告，該報告記錄階段性安全運維和安全審計日誌情況。

3、系統上線安全檢查

區域各業務應用系統隨着業務發展及應用更新，存在新業務系統上線及應用系統版本變更的需求，爲了避免系統“帶病”上線影響全局安全，在業務系統上線及應用變更時應按照合規要求進行全面安全檢測分析。

4、安全事件分析

安全事件分析工作是區域安全運營工作的核心，基於安全運營中預測、監測到的安全數據和安全事件信息進行安全事件研究、分析和判定，驗證安全事件的可能性並出具相應的解決方法。

安全事件研判分析完全依靠高技術能力的安全服務人員利用區域搭建的安全技術體系，並藉助外部安全大數據開展工作。本項工作包含於安全運營體系的每一個服務項中，最終輸出的交付成果結合在每項服務交付成果中。

5、重點時期攻防演練

在重點時期前完善安全整改工作後，組建防守方和攻擊方進行實際的演練攻擊，攻擊方採用各種技術手段模擬黑客攻擊，發起各類攻擊事件，防守方檢測和發現外部攻擊，並對攻擊採取相應的防護措施，導演方負責演練導演、監控進程、全程指導、應急處置、演習總結、技術措施與策略優化建議等技術諮詢工作。

通過攻防演練實戰，嚴格地檢驗區域的安全產品、安全策略、安全體系、人員能力和協同處置等多方面內容，檢驗區域已有防禦體系的有效性，檢驗區域內部安全協同和應急處置能力。

6、安全應急響應處置

基於區域具體的安全事件開展專家應急響應，包括

• 安全事件檢測
• 安全事件抑制
• 安全事件根除
• 安全事件恢復
• 安全事件總結

最終形成協調聯動機制，增強應急技術能力，健全應急響應機制。

安全事件處置完成後，系統得到恢復，找到安全事件發生的原因並提供相應的安全解決方案，提供交付物安全事件應急響應報告。

7、互聯網資產發現

基於網絡掃描、搜索引擎、互聯網基礎數據引擎主動探測區域業務應用系統在互聯網上暴露的資產，可以形成明確的資產清單，並發現區域各業務應用系統的未知資產。

通過大數據挖掘和調研的方式確定資產範圍，進行主動精準探測，深度發現暴露在外的IT設備、端口及應用服務，發現活躍資產及“殭屍”資產，由安全專家對每項業務進行梳理分析，結合用戶反饋的業務特點對資產重要程度、業務安全需求進行歸納，最終形成區域資產清單。

8、安全流量風險分析

利用威脅情報數據和採集到的安全大數據，採用專業攻防思路構建分析模型，提供內部失陷主機、外部攻擊、內部違規和內部風險等關鍵信息安全問題的週期性檢測、發現和響應服務，提升主動應對安全威脅的能力，在信息安全方面構建最後一道“防火牆”。

安全流量風險分析主要包括

• 內部失陷主機檢測
• 外部攻擊檢測
• 內部攻擊檢測
• 內部違規檢測
• 事件分析研判溯源

五大類服務。

安全流量風險分析服務結合區域實際情況，週期性地開展工作，提供交付成果安全流量風險分析報告。

安全流量風險分析服務除提供上述服務之外，還可以協助建立內部的安全大數據中心，爲後續利用大數據分析技術來開展安全分析、安全數據的基線、安全數據的深度挖掘和安全數據的審計提供必要的基礎。

9、應用失陷檢測

企業對外的、留在大衆心中抽象化的無形資產，通過大衆抽象化的定位與認知形成異性的品牌力。

應用失陷檢測通過數據採集、工具分析、人工標記、專家研判、成果交付五個過程對被分析系統的訪問日誌進行全面細化的分析，針對所有應用失陷檢測系統輸出應用失陷檢測報告，描述其發現的問題並給出相應的解決方案。

10、全事件及態勢檢測

安全運營團隊的一線運營前臺會7×24小時監控應用安全監測事件，並對事件進行即時確認，一旦發現安全事件屬實，將會即時通知客戶及相關的應用管理接口人，同時啓動相應的安全應急響應流程。

針對區域安全監控內的所有業務系統平臺，進行實時安全監測預警和安全態勢感知，及時上報發現的潛在威脅和脆弱環節，建立全網安全隱患發現、預警、處置等流程的一體化快速響應。

針對所有安全事件的監測和安全態勢的監控，形成周期性安全監測報告，記錄安全事件彙總情況、安全態勢趨勢等。

11、安全策略優化服務

完成策略信息蒐集後，結合實際業務安全需求，對現有安全策略進行差距分析，發現策略缺失、策略冗餘、策略未廢止等問題，並制定相應工作方案開展策略優化工作，內容包括訪問控制策略優化、安全防護策略優化、行爲審計策略優化等，通過安全策略優化完善策略可用性，提升防護能力。針對所有需要進行安全策略優化的安全設備輸出安全策略優化報告，該報告記錄了優化前和優化後的策略變化情況。

12、安全產品運行維護

安全產品運行維護是指針對區域安全防護體系中構建的安全產品，在運行過程中進行的一系列常態化維護，包括設備運行安全監測、設備運行安全審計、設備及策略備份更新等工作。

通過安全產品運行維護工作的開展保障安全產品最優化運行。針對所有需要進行安全產品運維的安全設備輸出安全產品運維記錄單，該記錄單記錄了安全產品運行過程中的變化情況、出現的問題、問題的解決情況等。

13、威脅情報預警

威脅情報預警是指基於網絡安全威脅情報來監測和管理區域資產的安全健康狀態，主動提供安全事件預警、分析及處置，利用第三方安全大數據進行關聯分析和行爲分析，精確地標出威脅情報，提供安全預警。

威脅情報預警可幫助區域保持其IT基礎設施的更新，更好地阻止安全漏洞，並採取行動來防止數據丟失或系統故障，從而有效地抵禦攻擊。威脅情報預警根據不同時期發生的安全漏洞、安全事件等提供有針對性的威脅情報分析報告。

14、漏洞生命週期管理

漏洞生命週期管理包括網絡層漏洞識別、操作系統層漏洞識別、應用層漏洞識別、安全加固、交付成果。

定期爲業務系統提供漏洞掃描，發現漏洞並在經過驗證屬實後將漏洞納入安全運營平臺由安全運營人員進行持續跟蹤，將掃描結果和漏洞修復建議發送給網站運維人員，配合其修復漏洞，待漏洞修復之後，重新進行驗證掃描，確認漏洞修復後將該漏洞“關閉”。暫時無法修復的漏洞將暫由應用防護體系進行防護，並將漏洞置爲“未修復，已防護”狀態，由安全運營服務團隊繼續跟蹤直至漏洞被修復。

15、重點時期安全檢查

在重點時期（包括“兩會”、春節、互聯網大會等）前對現有網絡運行的服務器、終端、網絡設備、安全設備、網站及應用系統等開展安全檢查，從而發現硬件、軟件、協議的實現或系統安全策略上的缺陷問題，對發現的問題提供對應安全整改建議，在重點時期做好安全加固及防護，以保障網絡安全穩定地運行。

通過重點時期安全檢查，可以及時發現信息系統中存在的安全漏洞，通過對服務器及安全設備漏洞的整改，可以及時消除安全漏洞可能帶來的安全風險。

16、重大事件安全通告

建立安全通告機制，對出現的安全問題、威脅情報信息等進行全面傳達、定期通告。

每週以郵件形式向用戶通告業內安全態勢、重大輿情信息、重要系統漏洞及補丁信息等，不定期對緊急重大類漏洞信息以最快時間通過郵件或電話向客戶告知漏洞的危害、影響範圍及應對方案等信息。

0x3：安全管理服務

安全管理體系主要是爲安全運營中心建立一套完善的、符合等級保護第三級要求的安全管理體系，以便開展日常安全工作及其他相關工作。

1、管理組織建設

以安全組織架構設計爲基礎，定義業務系統監管方、雲服務運維方、業務系統運維方、安全運營中心“四方”的職責如下：

• （1）應按照網絡安全法和國家信息系統安全等級保護的要求，對各個業務系統進行信息安全設計與建設，各方應該在系統監管方的協調下積極配合安全運營中心的建設工作。
• （2）爲確保各業務系統的數據和系統自身的安全，雲服務運維方和安全運營中心應先通過安全審查（按照國家相關部門安全標準及規範實施），才能向客戶提供雲計算服務和安全運營服務。雲服務運維方和安全運營中心應積極配合監管工作開展，對雲服務方所提供的雲計算服務進行安全監控，確保持續滿足業務系統的安全需求。
• （3）業務系統運維方需承擔部署或遷移到雲計算平臺上的數據和業務的最終安全責任；業務系統運維方對業務系統的運行進行監督和管理，根據相關規定或服務級別協議開展信息安全檢查。
• （4）業務系統監管方作爲區域的網絡信息安全監管部門，負責安全建設項目和安全運營制度的審批，負責安全工作實施過程中的監督、協調與溝通。
• （5）明確定義、設置上述多方日常安全職責矩陣。

2、安全制度管理

安全制度管理工作的主要內容如下。

• 完善信息安全工作總體方針、安全策略，說明機構安全工作的總體目標、範圍、方針、原則、責任等
• 完善各種安全管理活動中的流程和管理制度
• 建立和完善日常管理操作規程、手冊等，以指導安全操作
• 定期對安全管理制度體系進行評審，以發現不適宜內容並加以修訂
• 設立信息安全領導小組或委員會，並由信息安全領導小組統一負責並組織相關人員制定信息安全管理制度。
• 定期對安全管理制度進行評審和修訂
• 針對安全管理制度明確具體的負責人或負責部門，並用清單的方式明確對應關係。

3、安全流程管理

爲監管方建立相關的流程，保證安全運營可以遵照標準流程制度執行，主要內容如下。

• 流程制定。建立健全流程管理制度，主要流程有：安全事件處置流程、安全風險評估流程、安全事件應急響應流程、安全事件溯源取證流程、安全設備上線交割流程等。
• 流程變更維護。定期維護和修訂相關的管理制度。
• 流程發佈。根據需要，定期發佈變更後的全套流程到相關的組織範圍，並對發佈的流程進行相關培訓。

4、人員安全管理

爲保證安全管理方做好各階段的工作分配，需要協助安全管理方建立合理的信息安全人員管理機制，如滲透測試工程師、應用安全開發工程師、網絡安全工程師、終端安全工程師和數據安全工程師等。

5、安全建設管理

安全建設管理，即對系統建設進行安全管理，包括

• 系統定級
• 安全方案設計
• 安全產品採購
• 自主軟件開發
• 外包軟件開發
• 工程實施
• 測試驗收
• 系統交付
• 系統備案
• 等級測評
• 安全服務商選擇等

6、安全運維管理

安全運維管理，即對系統運維進行安全管理，包括

• 環境管理
• 資產管理
• 介質管理
• 設備管理
• 安全監控
• 網絡安全管理
• 系統安全管理
• 惡意代碼防範
• 密碼管理
• 變更管理
• 備份及恢復管理
• 安全事件處置
• 應急預案管理等

7、安全培訓管理

打造面向所有信息化管理人員、IT運維團隊、內部工作人員的網絡安全培訓中心，定期舉行網絡安全培訓，提供定製化的信息安全意識和安全實操培訓服務。

安全培訓管理具體包括五部分內容：

• 安全意識培訓
• 安全管理與理念培訓
• 網絡及安全設備安全運維培訓
• 操作系統及數據庫安全運維培訓
• 應用系統安全開發與運維培訓

8、安全運營管理

通過對《中華人民共和國網絡安全法》和等級保護第三級要求進行分析，安全管理體系的逐步建立和完善需要通過必要的工具輔助開展日常管理工作，通過安全管理系統可以積累相應的數據便於分析和管理，安全管理工作的開展需要配套開發一套安全管理系統，能夠基於系統生命週期管理對參與方角色/權限管理、安全制度管理、風險管理、控制執行、績效評價、威脅情報、工作流程等進行統一管理，以提高安全管理工作效率。

9、安全諮詢管理

信息安全規劃是一項較爲重要的安全諮詢服務，主要依據信息安全策略及行業發展動態，在對客戶信息安全現狀進行風險評估、差距分析的基礎上，從安全技術、安全管理、安全組織三個角度幫助客戶構建短期、中期與長期的信息安全規劃，將信息安全的單點風險控制轉變爲全面的安全規劃，進而實現有效的信息安全建設並建立完整的信息安全保障體系。

在開展信息安全規劃服務時，首要工作是依據國際信息安全最佳實踐、國家信息安全政策引領、行業發展動態、監管部門的政策規範及信息安全技術發展趨勢等要求，構建信息安全能力評估模型，依據模型對客戶的網絡基礎環境、計算環境、管理環境、組織環境進行現狀檢查、評估與差距分析，明確客戶信息安全建設的需求與目標。

在此基礎上，進行信息安全建設的藍圖規劃。信息安全藍圖規劃須依託企業信息化規劃，對信息化的實施應起到保駕護航的作用。信息安全規劃的目標應與企業信息化的目標保持一致，且比企業信息化的目標更具體明確、更貼近安全。信息安全規劃的一切論述都需以上述目標爲依託進行部署和開展。

 

三、安全運營管理體系建設

建立安全運營管理體系，定義並明確安全職責類別，依據安全職責設置安全崗位並配備與之對應的人員，通過人才培養及能力培養、安全意識教育培訓，建立安全規劃開發、安全風險管控、漏洞挖掘利用、安全防禦響應、安全問題改進、安全指揮調度等多支隊伍，建立與外部機構的溝通和合作機制，所有相關人員需設立專職崗位和編制，制定人才培養和發展計劃，以及構建人員能力評估體系和考覈體系，實現安全運營人員隊伍管理。

0x1：關鍵角色定義

0x2：管理組織架構

管理組織架構是項目成功的重要組成部分，爲保障安全運營中心建設順利開展，以及項目在建設完成後能夠達到建設要求並形成一套不斷完善的改進體系，需從安全的機構建設到人才建設進行全面保障，不斷夯實安全工作，做到分工明確、責任清晰、任務到人、考覈到位。

爲滿足安全運營中心建設需求，在完成基礎安全設施建設的同時，需要建立安全服務和保障隊伍及相關責任部門。安全運營中心整體分爲四級團隊，以聯動模式爲各子安全運營中心提供運營服務。

安全運營四級團隊的職責如下。

• 四線運營後臺—安全運營專家團隊：提供在線諮詢、安全培訓、情報關聯分析、頂層規劃設計、在線應急指導、調度指揮等服務。
• 三線數據中臺—安全運營分析團隊：提供威脅建模、安全運營策略制定、安全情報分析分享、安全知識案例分析等服務。
• 二線業務中臺—安全運營人員：提供威脅狩獵分析、安全運營指導、現場應急響應處置、安全場景分析定製等服務。
• 一線業務前臺—安全運營機器人：提供7×24小時威脅檢測服務，輔助駐場人員進行平臺維護等服務。

此外，還需設立安全運營管理部、安全運營部、安全技術研究部和安全運維部，聘請安全專家與安全工程師組成安全運營專家委員會。

• （1）安全運營中心：由安全運營專家團隊組成，支撐各子運營中心。
• （2）安全運營專家委員會：由安全專家與安全工程師組成，爲重大安全事件的調查分析、重要安全策略的制定、重大保障任務的執行提供智力支持。
• （3）安全運營管理部：主要負責安全策略的制定和執行監督。根據法律法規、等級合規、內控規範和業務需求與數據擁有者一同制定數據保護機制；與業務部門和應用部門一起制定認證和授權機制；根據等級保護合規要求、內控規範、審計要求制定相關的監測機制；所有這些機制由安全基礎設施和安全運營中心執行並由安全管理處進行監督。
• （4）安全運營部：爲各子運營中心負責告警事件的分析判斷、調查取證、追根溯源、事件處置等工作，主要工作內容包括：安全服務、安全監控運行、安全事件處置、安全運營平臺維護等。
• （5）安全技術研究部：主要負責安全策略與對策、安全新技術的研究，新型攻擊手法研究，對安全運營中心所涉及的高危漏洞的研究分析，未知威脅的探索發現，組織進行內部的紅藍對抗演練及時發現新的安全風險，並將這些成果轉化爲知識庫和安全分析模型，同時負責威脅情報的蒐集和管理工作。
• （6）安全運維部：根據安全策略的要求進行安全基礎設施規劃、建設及日常的運維工作，安全配置策略的統一管理、變更工作。其中，安全基礎設施是安全信息的主要來源和安全措施的主要執行點。
• （7）安全服務：主要負責組織外部資源和內部資源共同完成重大安全任務，如建立重保小組完成重保工作的組織和執行、建立應急響應小組完成重大安全事件的響應和處置；每個季度組織內、外部資源進行滲透測試和風險評估；執行內部安全意識培訓工作。
• （8）安全監控運行：由一線安全分析師和二線安全分析師組成。一線安全分析師7×24小時值班，對由安全運行管理平臺通過自動化分析生成的安全告警事件進行初步的快速判斷，過濾無效告警；二線安全分析師對一線安全分析師不能明確的安全告警進行最終分析判斷，再次過濾無效告警。
• （9）安全事件處置：對確認的安全事件分析其危害程度、波及範圍等，確定是否啓動應急響應；對安全事件進行溯源分析、調查取證；週期性地進行安全風險評估工作。
• （10）安全運營平臺運維：負責安全運營平臺的監控和維護、安全分析模型和分析規則的開發和維護、態勢展現內容的開發和維護。
• （11）基礎設施安全運維：主要負責基礎設施的安全掃描、安全分析、策略變更、安全加固、安全監控、應急響應等。
• （12）安全基礎設施規劃設計建設：主要負責安全基礎設施的規劃方案的編寫及落地實施。

 

四、安全運營技術體系建設

0x1：運營層

1、安全可視化

安全可視化支持對資產態勢、脆弱性安全態勢、數據安全態勢、安全事件態勢、攻擊態勢、安全防護態勢、威脅態勢進行多維度深度分析。

2、資產態勢

平臺支持基於資產信息數據，按照區域、類型、重要程度等，結合資產安全事件、漏洞信息進行多維深度分析，形成資產類型分佈、數量對比、資產弱點、資產健康度、資產風險分佈等分析數據，並支持無碼化、可拖曳的視圖態勢展示。
資產態勢感知通過資產卡片形式實時監控重大保障活動中的關鍵資產，利用標籤切換不同的活動資產分組，及時發現並處置風險資產，保障用戶業務的可持續平穩運行。

3、脆弱性安全態勢

脆弱性安全態勢基於漏洞和配置覈查信息，結合應用系統、區域資產等基礎數據，進行多維度分析，從資產、業務系統、組織架構、責任人等視角，給出漏洞與資產的全面關聯分析，形成在不同系統和資產上的脆弱性分佈、高危漏洞及排名等分析數據，並且支持無碼化、可拖曳的態勢展示。

4、數據安全態勢

數據安全態勢包括管理、校驗、調整數據自動分級規則及其學習優化策略，將自動分級規則統一下發到各數據處理技術系統，包括數據鑑權、敏感數據檢查等，結合數據分類標記制定各處理系統上的敏感數據識別與防護策略；同時，對各處理系統上發現的敏感數據態勢、違規情況、異常行爲情況及風險進行統一展示和分析，並將各系統上的分級識別結果反饋給數據自動分級規則學習流程，不斷迭代優化數據分級規則。

• （1）主要的安全能力：數據安全態勢、分級規則管理、安全督查管理、元數據管理、數據源管理、敏感數據管理、用戶行爲管理、協同聯動管理和數據泄露溯源管理等。
• （2）數據安全態勢：支持數據安全態勢感知、數據資源全景、敏感數據地圖、數據使用流轉、數據安全預警、異常行爲發現、違規分級訪問等；支持熱力圖、數據圖表、趨勢圖、散點圖等可視化效果；支持時間、地址、設備、應用、數據源等多維展示。
• （3）分級規則管理：支持分級規則制定、分級規則審覈、分級規則下發、分級規則校驗、分級規則目錄和自動規則引擎等。
• （4）安全督察管理：支持事件響應、事件處置（阻斷策略下發）、事件溯源、報告等。數據安全督察管理形成數據安全防護體系閉環，在發現安全事件後進行快速響應，根據事件類型或級別快速下發預製的阻斷策略，將安全風險降至最低，事後通過溯源分析形成證據鏈和相應報告。
• （5）元數據管理：對元數據對象的各種屬性、結構和關係進行管理，識別業務元數據、管理元數據、技術元數據、保密元數據等標識，支持手動添加、修改和刪除。
• （6）數據源管理：對數據源進行驗證，對數據接入過程進行記錄，對數據源配置信息進行管理，支持手動添加數據源。
• （7）敏感數據管理：對存在敏感數據的數據源、數據庫、數據表、數據字段及特殊業務屬性等進行管理。通過管理元數據對工作中的敏感數據進行標識，通過保密元數據對國家安全、社會秩序和公共利益、個人隱私等數據進行標識。
• （8）用戶行爲管理：面向數據訪問的用戶行爲管理（UEBA），根據安全規則進行異常行爲分析並發現數據泄露風險，快速判定用戶行爲是否存在異常，並且進行預警。
• （9）協同聯動管理：支持安全設備管理、阻斷策略管理、安全告警管理、審計日誌分析等。
• （10）數據泄露溯源管理：對數據泄露進行溯源分析，定位相關組織、人員、設備、IP、位置等信息，分析泄露路徑和途徑，還原數據泄露場景，形成分析報告。

5、安全事件態勢

平臺支持按照安全事件時間段從事件級別、區域分佈、事件類型等方面對公安信息網中發生的安全事件進行多維深度分析，形成不同區域事件分佈對比、安全事件發展趨勢等分析數據，並支持無碼化、可拖曳的視圖態勢展示。外部攻擊態勢主要關注來自全世界不同地區的安全事件，實時監控不同攻擊源的地域分佈和國家排行，掌握各攻擊鏈階段的威脅變化趨勢和最新安全事件。

6、攻擊態勢

平臺支持基於公安信息網中的流量信息、訪問行爲信息、事件分佈信息等進行多維深度分析，形成包括攻擊主體、攻擊事件類型、攻擊行爲異常趨勢、操作對象和處置狀態等的分析數據，並支持無碼化、可拖曳的視圖態勢展示。

攻擊者追蹤溯源可視化分析大屏爲安全運維人員提供攻擊行爲分析、團伙分析、攻擊取證信息、攻擊趨勢、攻擊手段、攻擊影響範圍等信息，支持任意攻擊者信息查詢，可生成詳細的攻擊者溯源報告，並能夠一鍵導出報告。

7、安全防護態勢

平臺支持基於安全防護引擎、安全防護策略、安全防護對象、安全事件處置情況等數據進行多維度分析；能夠形成安全防護引擎分佈、攔截阻斷記錄、網絡帶寬、事件處置進度等分析數據，並支持無碼化、可拖曳的視圖態勢展示。

資產威脅溯源可視化分析大屏爲安全運維人員提供被攻擊行爲分析、影響資產範圍分析、攻擊取證等信息，支持任意資產查詢，可呈現被訪問趨勢、被攻擊趨勢、被攻擊手段、資產狀態、資產評分等信息。

8、威脅態勢

平臺支持基於內部攻擊、漏洞信息、病毒、違規行爲等數據進行多維度分析；能夠形成內部跨安全域橫向威脅方向、病毒蔓延趨勢等分析數據，利用一系列可視化手段實現攻擊拓撲關係，並支持無碼化、可拖曳的視圖態勢展示。

橫向威脅感知主要關注內部資產之間的違規操作和病毒傳播，實時監控跨安全域的訪問行爲和業務系統訪問情況，通過自由佈局和圓形佈局觀測資產之間的威脅關係，及時發現並制止違規資產對內部網絡環境造成的破壞。

0x2：功能層

1、資產管理

資產管理主要包含對主機、應用、終端、網絡設備、安全設備及外設等網絡信息相關的資產管理。主要實現的功能包括支持發現、註冊、標記、梳理和管理等功能。

2、漏洞管理

漏洞管理主要是指在平臺內設置本地漏洞庫，接收大量的漏洞信息，用於與本地的資產進行匹配、安全事件關聯分析等。主要的功能包括漏洞接收、漏洞審覈、漏洞分析、漏洞修復及漏洞驗證等。

3、基線管理

基線配置模塊支持對基線的監測、整改、驗證的閉環管理，包括

• 網絡設備安全配置基線
• 安全設備安全配置基線
• 操作系統安全配置基線
• 數據庫安全配置基線
• 中間件安全配置基線
• 雲平臺安全配置基線等

通過信息系統安全基線及基線覈查策略庫的構建，可以提升安全事件管理、預案管理、安全監測管理、安全通報管理的安全運行管理能力。

隨着業務系統的不斷變化，基線需要覈查和更新，基線覈查的主要研究內容就是如何通過機器語言，採用高效、智能的識別技術，以實現對網絡資產設備自動化的安全配置檢測和分析，並提供專業的安全配置建議與合規性報表，在提高安全配置檢查的方便性、準確性並節省時間成本的同時，讓安全配置維護工作變得有條不紊且易於操作。

4. 知識庫管理

知識庫爲應急處置提供相關資料信息，包含常用命令、小技巧、漏洞分析等內容，以滿足不同場景下對應急處置工具及相關知識的需求，輔助網絡安全事件的取證溯源和快速恢復。具體包含以下內容。

• （1）安全大數據的知識庫要包括：安全數據清洗規則庫、安全標籤庫、告警規則庫、機器學習算法庫、威脅情報庫、惡意代碼庫、IP地址庫、漏洞信息庫、資產指紋庫等。
• （2）知識庫應根據實際應用場景，週期性地進行更新、補充。
• （3）知識庫的內容來源廣泛、全面，具有代表性。

5、策略管理

策略控制實現對安全告警、安全風險、安全態勢等信息的彙總，並進行關聯分析、智能推理、分析研判和決策，形成安全防護控制策略和業務安全控制策略，基於決策結果進行服務的編排、調度和配置，包括業務安全策略控制和安全防護策略控制。

6、事件管理

對監測到的安全事件，按照不同安全事件級別進行應急響應處置，可對監測到的攻擊事件進行合併彙總、分析研判等操作；可將攻擊事件與取證應用相關聯，獲取事件相關的取證信息。

• 一是事件的發現與推送管理。根據安全事件的歸屬地原則，將系統自動發現的安全事件以自動推送的方式，將大數據分析形成的明確的安全事件以專家上報的方式，推送到事件發生地所屬的組織機構，並由該組織完成事件的後續處置工作；支持安全事件的報警功能，包含重點應用系統安全狀態報警、攻擊事件報警、入侵檢測報警、防火牆報警、網中網報警、病毒報警等。
• 二是事件處置工作臺。支持多級用戶的安全事件流轉管理，如創建、上報、下發、覈查、審覈和辦結等一系列操作；支持安全事件的訪問和操作權限控制；支持基於特定事件的羣組討論功能；支持用戶對事件的操作審計等功能；支持事件按區域的統計和考覈功能；支持個人信息的管理，如個人貢獻分的計算與系統中上報的事件掛鉤。按個人貢獻分排名，支持個人排名及等級信息查詢；支持按照部門級別、崗位對安全事件的訪問權限進行控制；支持按照部門級別、崗位對系統資源的訪問權限進行控制；支持主用戶、組織、角色和應用等平臺正常運維所需的管理功能。
• 三是安全事件配置管理。支持對組織機構所管轄的IP地址段進行配置，實現事件創建時通過源IP地址關聯區域，事件下發時綁定簽收區域，針對某個組織機構可配置一個或多個IP地址段，新建時需要校驗IP地址段是否與已配置的IP地址段有交叉；支持對組織機構的IP地址段進行查詢、刪除等操作；支持用戶新增、編輯、刪除安全事件類型；支持用戶自定義安全事件類型的描述字段名稱及字段類型；支持與處置流轉相關的特定功能參數配置，如辦結截止日期等。

在充分理解需求的基礎上，爲了提高處置效率和方便警員操作，專門針對發生的網絡安全事件進行應急處置工作；分析總結網絡安全事件成因，修復管理或技術隱患；形成安全事件高效率下發、處置，並對安全事件處理全過程、結果進行記錄和管理，支持對安全威脅的錄入、修改、刪除操作，並標註熱點事件，支持按預警等級、發現時間、單位、區域、熱點、處置情況進行組合查詢。

7、安全編排

將客戶不同的系統或一個系統內部不同組件的安全能力通過可編程接口（API）和人工檢查點，按照一定的邏輯關係組合到一起，用以完成某個特定的安全操作，達到安全編排的效果。

同時，通過可視化的劇本編輯器自定義編排安全操作的流程來實現自動化執行、人工編排及部分化（混合）編排。

0x3：數據層

1、數據源

數據源包括各類安全系統/模塊等產生的告警數據、與安全相關的審計日誌、安全取證的證據日誌/文件、安全配置策略等數據，以及基礎數據、知識數據等。

主要接入的數據包括安全基礎設施、網絡、終端、雲平臺、邊界和業務應用等關鍵部位的相關數據。標準化數據如表3-2所示。

2、數據接入

數據接入主要設計針對安全應用所需數據的採集或接入功能，形成統一的安全基礎數據資源，爲後續安全應用的開發和運行提供數據支撐。

主要包含安全數據探查、安全數據定義、安全數據讀取和安全數據對賬四個數據接入流程，分別實現認識數據、元數據結構定義、獲取數據、數據質量覈對效驗功能。

3、數據處理

數據處理模塊按照數據接入階段對安全數據的定義，在數據入庫之前對雜亂的安全數據進行實時處理，提升數據價值密度，爲安全數據應用實現數據增值、數據準備和數據抽象。

主要對採集到的數據實施清洗/過濾、標準化、關聯補齊、添加標籤等處理，並將標準數據加載到數據存儲中，對於被標準化的數據應保存原始日誌。

4、數據治理

安全數據治理模塊作爲安全大數據的核心功能之一，可以運行大數據分析平臺中的所有組件，實現B/S架構下的全功能Web頁面操作。

數據治理平臺的整體邏輯框架如下圖所示，首先通過數據集成工具從數據源採集並獲取數據，在數據倉庫裏實現建立目錄、主題、索引的存儲，然後通過WebService接口調用倉庫中存儲的數據，構建並部署上層應用。

5、數據查詢服務

數據查詢服務提供安全數據的查詢和管理能力，包括原始庫、資源庫、主題庫、業務庫、知識庫，以及元數據、數據資源目錄等數據。安全數據查詢服務提供安全數據資源情況的查詢接口，應用和程序可以通過統一的接口訪問和查詢權限範圍內的安全數據；提供基於分佈式存儲的各類結構化和非結構化安全數據的多種查詢接口，並提供全文檢索功能。

安全數據查詢服務支持精確查詢、模糊查詢、分類查詢、組合查詢、批量查詢等多種查詢方式，並支持返回數據統計彙總信息及數據摘要或明確信息。

0x4：基礎層

1、物聯網安全技術體系

物聯網終端遍佈於IT基礎設施當中，尤其是監控設備、在線物聯網設備等智能設備，這就決定了其通常有分散化、規模龐大、邊界模糊等特點，極易受到黑客攻擊和利用。因此，在安全方面的風險存在多個方面。我們必須從物聯網終端自身的全面安全加固、准入嚴格管控及安全實時監測三個方面保障物聯網終端的安全。

• （1）物聯網終端全面安全加固。對於新接入的視頻攝像頭，優先選用符合國家安全標準的前端設備。同時，針對物聯網終端的脆弱性，在安全運營的過程中，通過在終端設備中嵌入加固軟件，對終端系統控制的動作指令和讀寫狀態進行監控，建立進程、網絡、文件關係分析模型，對內部數據的關係和完整性進行安全防護，並實現終端數據安全加密，將終端的安全風險和數據上傳至安全運營中心，讓中心的物聯網態勢感知平臺實時監控各終端的安全狀態。
• （2）終端准入嚴格管控。針對物聯網終端的接入，確保僅有認證授權通過的、合法的終端能夠接入網絡。通過部署在網絡邊界的安全網關與物聯網安全監測平臺對發現的非法接入、非法替換等威脅行爲進行聯動，運營中心一線安全運營人員7×24小時隨時對白名單資產進行放行，對黑名單資產進行阻斷，以此保障只有認證通過的合法授權終端、授權允許的協議流量才能通過該設備，其他流量全部被阻斷，從而保障物聯網終端的合法、安全接入。
• （3）終端安全實時監測。安全運營中心實時或週期性地對視頻監控網進行安全摸底檢查，從網絡資產快速摸底、設備弱口令、漏洞檢測及網絡邊界檢測等幾個方面，對網絡進行快速的掃描檢測，及時發現存在的各類安全隱患，全面摸清視頻監控網的安全現狀，排查並督促整改重要網絡安全隱患、安全風險和突出問題，掌握公共安全視頻監控網整體網絡安全態勢，從而防止重大網絡安全事件的發生。

2、雲計算環境安全技術體系

1）態勢感知與安全運營平臺

態勢感知與安全運營平臺建設的核心目標是在基礎架構安全和被動安全防禦體系的基礎上構建積極安全防禦體系。以大數據採集及安全分析挖掘能力爲基礎，通過安全運營實現對威脅可視化展現、提前感知、分析研判、快速響應和追蹤溯源。積極安全防禦體系構建必須以基礎架構安全體系和被動安全防禦體系爲基礎，二者相互依存、相互促進。

整個態勢感知與安全運營平臺整體建設將從七個方面進行考慮：

• 數據採集與關聯分析
• 數據計算與存儲資源
• 大數據計算與分析能力
• 威脅情報驅動
• 基於規則鏈的自動檢測
• 自動化的告警響應處置
• 調查分析及安全態勢感知

2）安全接入管控系統建設

安全接入管控系統提供面向社會公衆、政府部門工作人員、運維人員的統一身份認證、統一用戶管理和統一訪問控制服務。

3）雲基礎架構安全保障體系建設

通過對雲平臺的安全需求調研分析，建立一整套雲平臺安全保障體系，在建設過程中一定要遵循國家信息安全等級保護第三級要求和相關安全建設標準規範。雲基礎架構安全保障體系建設的目的在於，將全面提高信息安全管理水平和控制能力，適應並符合不斷髮展變化的業務新需求。

整個雲基礎架構安全保障體系的建設主要從三個方面進行考慮：

• 雲基礎平臺側安全
• 雲服務客戶側安全
• 雲運維管理側安全

3、大數據安全技術體系

大數據安全可以從多個維度進行考慮：

• 底層基礎架構安全
• 平臺安全
• 數據安全
• 應用安全
• 網絡通信安全
• 用戶接入訪問安全

一些大數據平臺共享雲計算基礎架構，所以底層的基礎架構安全可以由雲基礎架構安全保障體系統一構建。

在整個大數據平臺安全保障體系內，安全防護首要考慮的就是對平臺邊界進行安全防護，在外部訪問到大數據平臺之前，通過平臺邊界安全檢查（大數據平臺的首道安全防線），直接暴露在外部。因此，至少需要實施訪問控制、接入身份認證、邊界入侵防護等安全措施。

4、應用系統安全技術體系

1）應用系統監測及防護

應用系統作爲IT建設的最終交付窗口，其遭受的安全威脅也最爲直接。

當前主流的應用系統均爲B/S架構，所以對於應用系統的安全防護重點在於Web應用安全，包含對Web應用漏洞的全生命週期管理，針對Web漏洞攻擊、SQL/XSS攻擊、DDoS攻擊/CC攻擊的防護，針對網站可用性、更新率、掛馬暗鏈、網站敏感詞、釣魚網站的監測及業務審計等內容。

中間件和數據庫安全可參考業務平臺的防護手段，如果有部分APP應用，則需要進行APP加固和源代碼審計。

2）應用系統上線前評估

各業務應用系統經過設計、開發，在上線運行前需要開展應用層面的安全評估，主要從代碼安全檢測、滲透測試、APP安全檢測三個方面檢測安全設計及代碼開發中存在的潛在風險，避免系統“帶病”上線運行，從而保障網絡整體安全。

5、安全態勢感知技術體系

網絡信息安全保障工作內容衆多、涉及面較廣，其核心是安全運營，爲保證安全運營工作的高效開展，需要安全態勢感知平臺作爲工具支撐。通過蒐集雲平臺、電子政務內外網等各個邊界的網絡流量數據，依託全局日誌採集器（主機、網絡、平臺、安全設備等），彙總整個區域的本地基礎數據，將一體化態勢感知與安全運營平臺相結合，有效開展威脅持續監測、威脅分析研判、事件及時通告、快速響應處置與威脅追蹤溯源等關鍵工作，一體化的態勢感知與安全運營平臺是區域性安全運營中心的統一監測響應與指揮調度中心。

針對當前國內外嚴峻的網絡安全形勢，提出智能網絡安全事件分析的需求。爲安全運營人員提供簡單、實用、高效的安全數據平臺，內置重點安全分析場景，重點發現高級別安全攻擊、持續型攻擊、頑固安全問題，採用大數據技術在更大量數據下以更全面、更透徹的方式分析安全威脅，綜合提升安全運營中心應對高級安全威脅、隱蔽安全事件的能力。

建設安全態勢要素的輸出和整體安全態勢可視化感知能力，實現預警通知效果，並對其範圍、類型、危害以圖形方式展示，爲安全分析人員提供直觀、強大、清晰的安全威脅預警信息，以及重大問題、事件的整體性報告，爲安全運營人員提供可靠的數據支持。

大數據智能安全平臺遵循“全面安全數據採集、高質量數據長期存儲、數據開放、充分利用信息價值、不斷擴充場景”的原則，按照“安全數據集中存儲、基於實踐開發安全場景”的方式進行建設，定位於爲全網絡提供安全威脅分析與預警能力、爲安全運營中心提供“集中存儲、不斷擴充”的安全分析能力。