尽可能遵循现有的与网络安全运营相关的国际标准、国内标准、行业标准，包括在技术框架中与具体的网络安全运营技术相关的标准，以及在管理框架中与安全管理相关的标准。标准性原则从根本上保证了xxx系统建设具有良好的全面性、标准性、和开放性。

从宏观的、整体的角度出发，系统地建设网络安全运营监控工作，不仅仅局限于安全技术层面，或者技术层面中孤立的安全技术，而是全面构架网络安全运营技术体系，覆盖从xxx系统物理安全、通信和网络安全、主机系统安全、到数据和应用系统安全各个层面。同时，建立全面有效的安全管理体系和运行保障体系，使得安全技术体系发挥最佳的保障效果。

建立网络安全运营监控工作，必须针对网络和信息系统的特点，在xxx系统现状分析和风险评估的基础上有的放矢地进行，不能简单地照抄照搬其它的网络安全运营保障方案。同时，网络安全运营监控工作中的所有内容，都被用来指导网络安全运营系统的建设和管理维护等实际工作，因此必须坚持可操作性和实用性原则，避免空洞和歧义现象。

实用性还体现在网络安全运营监控工作的建设过程中，由于内容庞杂，必须坚持分步骤的有序实施原则，循序渐进地进行建设。

网络安全运营监控工作中所涉及的安全技术和机制，应该具有一定的先进性和前瞻性，既能够满足当前系统的安全要求，又能够满足xxx系统未来3到5年时间内，网络安全运营系统建设的需要，为网络和信息系统提供有效的安全服务保障。

1. 1. 安全运营流程分析

网络安全运营监控工作活动应该主要包括两个方面：

第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；

第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

• • • • • • • 1.1 安全运营流程分析

网络安全运营监控工作流程可以参考上图中的自适应安全框架，以资产为基础，以持续监控与分析为核心，整个安全运营流程可以分为防御、检测、响应、预测四个维度，自适应于不同基础架构和业务变化，形成统一的安全策略。

1. 1. 1. 安全预测

网络安全运营监控工作流程中安全预测应该基于资产进行安全预测，虽然xxx都明确要求进行定期资产风险检查，并颁布了明确的信息系统安全资产检查指导性文件。但目前还是存在一定的不足与缺陷， 网络安全运营监控工作最重要就是保障平台资产安全，因此需要对平台资产管理定期管理，获取并记录资产中的主机及传统服务器上系统的上的各个端口、网站、Web容器、第三方组件、数据库、进程、账号等信息，进行统一的管理和清点解决安全运营阶段中网络安全监控能力和分析能力不足的难题，尤其针对网络新常态下，暴露资产监控、入侵行为追踪、高级威胁监控、失陷主机发现、漏洞闭环管理、攻击链还原、威胁情报管理等多种高价值安全业务和场景的监控与管理。。

但只有通过统一资产管理从可实时掌握IT系统内部的资产情况，支持资产变更分析对各类资产的变动情况进行记录，便于审计历史变动，自主发现异常行为；从而了解资产的风险，提前做出预测，从外部威胁及系统自身脆弱性两个维度进行全面分析，站在威胁视角，以网络入侵、异常流量和僵木蠕为切入点，做到知彼；站在脆弱性视角，以系统漏洞和网站安全为切入点，做到知己，提供全方位、全天候的感知能力。

1. 1. 1. 安全防御

在网络安全运营监控安全防御工作，我们可以根据安全预测的结果及时调整安全防护措施，帮助解决网络设备、安全设备、主机资产等各类形态IT资产，所产生的安全信息孤岛难以形成威胁情报的难题。利用数据采集、实时或准实时等检测技术手段，分析和发现攻击行为、流量异常等安全威胁，通过打通各系统间产生的安全数据，转化为安全情报，实现单一的安全信息能力转化为自适应安全信息能力，弥补用户在网络安全运营数据整合能力、威胁行为预判能力上可能存在的短板。平台各开启各类监控包括登录监控、完整性监控、操作审计、进程监控、资源监控、性能监控。从端点安全的角度，全天候监控服务器的运行情况，能确保第一时间发现服务器问题，最大限度的缩小排除故障时间，帮助单位快速发现安全风险和性能瓶颈。另外，通过安全预测发现的问题系统能自动进行问题归类到漏洞风险及入侵威胁模块中，方便管理人员做针对性处理。

1. 1. 1. 安全检测

日常安全检测是不可缺少的工作，能够实时掌握安全风险状况，极大的降低突发事件出现的概率，从安全维护成本上考虑非常有利。通过安全检测对信息系统配置操作是否安全，是安全风险控制的重要方面，安全配置错误一般是人员操作失误导致，而满足大量信息系统设备的安全配置要求，对人员业务水平、技术水平要求相对较高，所以一些行业和大型企业制定了针对自身业务系统特点的配置检查Checklist和操作指南，而国务院《中华人民共和国计算机信息系统安全保护条例》（147号令）以及公安部颁布的一系列网络安全运营等级保护标准，也明确了信息系统安全等级保护测评的纲领性要求。

但行业规范和等级保护纲领性规范要求让运维人员有了安全检测风险的标准，但是面对网络中种类繁杂、数量众多的服务器，如何快速、有效的检查，又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别那些与安全规范不符合的网络安全运营监控工作，以达到整改合规的要求，这些是安全检测面临的难题。

1. 1. 1. 安全响应

网络安全响应是指在对网络安全事件的事前预防、事发应对、事中处置和善后恢复过程中，通过建立必要的应对机制，采取一系列必要措施，应用科学、技术、规划与管理等手段，保障公众财产、基础设施、应用系统、信息数据等安全，促进社会和谐健康发展的有关活动，因为安全响应是无规律可寻找的，因此我们在日常安全响应工作中要制定规范的应急响应预案。

    应急响应预案是指针对可能发生的事故，为迅速、有序地开展应急行动而预先制定的行动方案。网络安全应急预案应形成体系，针对各级各类可能发生的网络安全事件和所有风险源制定专项应急预案和处置方案，并明确事前、事发、事中、事后的各个过程中相关部门和有关人员的职责。要明确了各类网络安全事件分级分类和预案框架体系，规定了应对网络安全事件的组织体系、工作机制等内容，是指导预防和处置各类网络安全事件的规范性文件。综合应急预案是从总体上阐述处理网络安全事件的应急方针、政策，应急组织结构及相关应急职责，应急行动、措施和保障等基本要求和程序，是应对各类网络安全事件的综合性文件。

1. 1. 安全运营工作架构

为确保安全运营工作架构能够灵活扩展，方案将安全运营架构按业务功能分为四个模块进行描述：安全防护框架、安全运维框架、安全验证框架、安全度量框架。

安全防护框架包括检测与防护两部分，主要通过在网络不同层次不同域部署各类安全监测探针，提供实时检测能力，为安全运维框架提供可视化信息采集，并通过安全防护设备策略设置，实现安全防护。安全运维框架主要是统一采集安全防护框架各探针的检测数据，并做进一步的处理及关联分析，通过统一展示平台输出事件告警数据，进入事件处理平台和流程，人工介入处理。安全运维框架还包括安全事件的定期review和向管理层汇报。安全验证框架主要是综合通过黑盒白盒验证措施，确保安全防护框架和安全运维框架有效性。安全度量框架通过一系列的安全度量指标，衡量评价安全运营质量水平，并针对性持续过程改进，实现质量的螺旋上升。

系统安全保护环境由安全计算环境，安全区域边界，安全通信网络和（或）安全管理中心组成。相应的，我们认为安全防护框架由安全计算环境，安全区域边界和安全通信网络组成。由于目标环境主要由传统数据中心环境及云计算环境组成，我们在防护框架上也主要考虑通用安全计算环境及云计算环境的需要。

其中，通用安全计算环境主要包括用户身份鉴别、访问控制、安全审计、数据完整性保护、数据保密性保护、客体安全重用、入侵检测、恶意代码防范等要求。针对云安全计算环境，除上述要求在云计算环境的体现外，还需要包括数据备份与恢复、虚拟化安全、镜像和快照安全等要求。

通用安全区域边界包括区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等要求。云安全计算环境出上述要求的体现外，还包括区域边界结构安全。

通用安全通信网络要求包括通信网络安全审计，通信网络数据传输完整性保护，通信网络数据传输保密性保护等要求，对云安全通信网络设计，还需要考虑通信网络可信接入保护。

安全防护设备通常可兼做安全管理平台的探针，把各类检测数据、防护日志、安全审计记录等传输到安全管理平台做进一步的处理分析。亦可部署专用数据探针，采集环境数据并上传到安全管理平台。安全运维框架的数据上传，需要考虑到底是发送原始检测信息还是处理后的监测告警信息。在需要对事件进行取证溯源的情况下，需要尽量发送原始信息，以便于安全管理平台进行分析。

安全运维框架的建设目标是成为企业安全的大脑、神经中枢、耳目和手脚。安全运维框架包括安全管理中心、人与流程三部分。

安全管理中心是企业安全的大脑及神经中枢，通常基于大数据分析平台基础上进行建设。安全运营管理中心应当包括系统管理、安全管理、审计管理。对系统管理，可通过系统管理员对系统的资源和运行进行配置和控制。对安全管理，需具有对攻击行为回溯分析及对网络安全事件进行预测和预警的能力；需具有对网络安全态势进行感知、预测和预判的能力。

安全运维框架的耳目是安全情报、安全监视和侦察系统。通过安全防护框架中的探针数据采集，实现异常行为的实时监测。通过介入安全情报，让安全运维框架看的更远。

安全运维框架的建设，需要建设事件处理安全运营监控流程，纳入ITIL事件管理流程，通过下发工单和发送告警邮件、短信等方式进行安全提醒。而安全事件的确认和溯源分析及处置常常通过自动化结合人工分析和确认的方式进行。对于100%确定异常的安全攻击可以通过自动化方式进行阻断。通过安全事件日报、周报、月报等方式对安全事件进行闭环管理。

安全验证框架解决安全有效性问题，承担对安全防护和安全运维两个框架的功能验证。安全验证框架是企业安全的蓝军，在和平时期，蓝军扮演着对手角色，利于及时发现、评估、修复、确认和改进安全防护和运维框架中的脆弱点。包括白盒检测（过程验证）和黑和检测（结果验证）两部分。

白盒检测（过程验证）是指建立自动化验证平台，对安全防护框架的管控措施实现100%的全面验证，并可视化集成至安全管理平台中，管控措施失效能够在指定时间内发现。通过自动化验证平台达到：

1）验证探针安全监测功能有效；

2）验证探针所产生监测信息到安全管理平台的信息采集有效；

3）验证安全管理中心的安全检测规则有效；

4）验证告警方式（邮件、短信与可视化展示）有效。

基于上述目标，自动化验证要求所验证事件必须为自动化模拟真实事件产生，不能使用插入记录方式产生，同时自动化验证事件应提供判断是否为验证事件的唯一标识。安全管理平台应能检测到验证未通过的系统和规则，并产生告警信息，通知运维人员介入处理。

黑盒检测（结果验证）是通过多渠道安全渗透机制和红蓝对抗演习等，先于对手发现自己的漏洞和弱点。渗透测试及红蓝对抗演习需要企业具有较高攻防技能的安全人员，也可聘请专业安全服务机构完成，用于检测安全防护框架和安全运维框架的有效性。

安全度量框架主要用于衡量评价安全有效性。安全度量框架可以分为如下几个层次：

一是技术维度。通过配置核查系统对资产合规性进行检测，包括防病毒软件的安装率、正常率，各类策略配置是否符合合规性要求；入侵检测的检测率，防护有效性、误报率；安全事件的发生频率，响应时长、处理时长；高危预警漏洞排查所需时间和完全修复时间。基于资产脆弱性及所受威胁进行资产风险评估。基于各类响应及处置情况及事件发生趋势进行安全运维状况评估。部分数据指标可由安全管理平台直接计算得出；部分指标需要通过管理平台数据结合人工分析得到。

二是安全运营成效。包括覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下，有多少无人问津的灰色地带。检出率和攻防对抗成功率都是衡量安全有效性的有效指标。安全运营成效的度量，可以结合安全验证框架进行。

三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能力，TCO/ROI，安全用多少资源，支撑了多少业务，支撑的程度。安全价值还体现在内部的影响力以及对业务的影响力，是做微观安全还是广义安全，是为业务带来正面影响还是负分拖后腿。安全满意度是综合维度指标，可理解为是对安全团队和人员的最高要求，既要满足上级领导和业务部门对安全的利益诉求，又要满足同级横向其他IT团队对安全的利益诉求，还要满足团队内部成员的利益诉求，要提供最佳的安全服务，让安全的用户成为安全的客户，让使用者满意，真的是非常非常有挑战的一件事情。这种度量往往结合使用者访谈等方式进行。

1. 1. 安全运营支撑架构

结合上述运营流程分析及安全运营架构，设计如下运营支撑体系组成架构：

运营支撑体系组成架构

运营支撑体系主要由安全运营管理中心、安全防护框架、安全管理体系，安全服务体系组成。

安全运维架构中的安全运维框架、安全验证框架、安全度量框架三大模块，由安全运营管里中心、安全管理体系、安全服务体系共同实现。