构建基于“人+工具+流程”的全维度闭环的安全运营能力

　　一、项目背景

　　网络和信息科学已成为当前发展最为迅速的科技领域，随着我国信息化建设高速发展，信息安全工作强力有序推进，网络已成为继“陆地”、“海洋”、“天空”、“太空”之后的第五大空间。而在“网络空间”、“信息空间”以及整个社会活动空间里，各种传统的信息安全矛盾和威胁依然存在，同时我们又面临许多错综复杂、相互交融的新情况、新问题，信息安全面临着更严峻的挑战。

　　为应对不断变化的网络安全形势和日益加剧的网络威胁，需要在现有网络安全工作基础上，开展全维度、可闭环的安全运营工作，不断推进安全管理工作进一步的迭代，持续提升上海市司法局的安全运营能力和整体响应能力，最大程度避免网络安全事件的发生，确保网络安全零事故。

　　二、方案概述

　　目前，上海市司法局网络安全建设工作在进行“被动防御”改进与“积极防御”进阶，因此在构建安全运营平台及能力，应该聚焦于回顾“架构安全”、补强“被动防御”，重点发展“积极防御”和“情报驱动”，以有效提高信息安全防护能力。

　　同时，为了实现可持续的安全运营目标，需要建立能够随着时间不断演进的安全架构和技术支撑体系，在面对威胁和挑战时不断完善自身防御体系以及强化防御“姿态”。

　　（一）一个安全运营平台

　　建设一个集信息汇聚中心、安全分析中心、安全指挥中心为一体的安全运营平台，实时采集各类监测信息、告警信息等，结合威胁情报，对安全数据进行集中分析，识别安全威胁，实现安全风险的智能感知，直观展现并提供完整、易用、高效的人机分析界面，提高安全运营效率。

　　（二）两个安全能力

　　全面提升网络安全可知、可见、可控的态势感知能力：形成安全信息汇总枢纽、安全事件调查处置中心、全局安全态势感知中心，实现全网的安全态势感知，弥补安全风险管理的全局可知、可辨、可控、可管与可视能力，提升对安全事件风险的预警和响应能力，提高对安全宏观态势的掌控、分析和评估水平。

　　基于人员、工具、流程全维度的安全运营能力：有效的将平台、人员、流程有机的结合起来，从安全事件的事前、事中、和事后三个维度出发，形成安全工作的闭环，实现安全运营工作的自动化。通过持续的监控分析，提升动态防御、主动防御水平，推动安全运营体系的不断演进。

　　（三）四个安全转变

　　向高效集中的监测预警转变：通过统一收集、集中存储消除各安全系统孤立情况，从海量汇总信息中屏蔽大量无用信息，及时告警重要的安全事件，通过关联分析和机器学习技术，发现隐藏较深的安全威胁。

　　向全面整体的态势感知转变：利用大数据存储和实时运算能力可视化展现当前全网安全态势，掌握外部攻击过程和内部异常行为画像，对当前安全风险和预警信息采取响应措施，让整体安全态势可见、可知、可控。

　　向自动化高效的协同处置转变：建立安全威胁运行分析机制，形成网络安全监控、预警、处置、调查、加固的管理流程，实现了网络安全监控、安全异常与威胁分析、事件分析、应急处置等各项工作的协同。

　　向流程化的体系化的安全运营转变：有效的将平台、人员、流程有机的结合起来，从安全事件的事前、事中、和事后三个维度出发，形成安全工作的闭环，实现安全运营工作的自动化，提高安全管理和运营效率。

　　三、适用业务

　　人、工具和流程是构成安全运营的基本元素，安全运营平台作为工具是基础，人员和流程是必备要素，充分结合“人+工具+流程”，构建基于“人+工具+流程”全维度可闭环的安全运营，可以进行数据采集、威胁检测、响应处置、安全预警的全维度闭环运营，实现对各类安全事件的协同响应处置，可以适用于上海市司法局现有各类业务应用系统的安全运营。

　　四、核心技术

　　（一）灵活的异构数据接入

　　采用大数据架构和分布式存储设计，能够对国内外常见设备的日志进行数据存储、解析、过滤、富化、转译和范式化，对海量的设备日志数据进行处理和检索。

　　（二）多维度的关联分析

　　采用流式关联分析引擎，能够关联多维度数据进行实时分析，发现更复杂的、更具价值的威胁事件，并将威胁事件规模控制在可人工处理的数量级，指导安全运营人员进行处置。

　　（三）领先的威胁情报

　　威胁情报被公认为最有价值的检测手段，安全运营平台内置本地威胁情报，应用于关联分析、日志匹配等场景，有效提升威胁分析效率。同时，云端海量威胁情报经筛选后，将最有价值的失陷情报源源不断的推送至安全运营平台，深入分析、追踪和威胁溯源。

　　（四）先进的机器学习

　　在对海量数据进行关联分析、情报分析的同时，使用机器学习方法对传统安全问题做到高效检测，对未知威胁做到有效发现，降低特征和规则配置的维护成本，能够有效的针对各种环境以及事件规律进行预测与适应。

　　（五）成熟的标准流程

　　通过安全运营平台的联动处置和工单管理，对各类安全事件的处置制定标准流程，通过标准化动作和流程指导运营人员完成安全事件的处置，在提高处置效率的同时，提升事件处理质量，避免以往运营靠个人技术经验的缺陷，有效纠偏并降低出错几率。

　　五、创新性

　　基于“人+工具+流程”全维度可闭环的安全运营，在数字化转型的背景下引入多种创新型的技术设计，包括大数据、机器学习、威胁情报等，突破了多源异构数据的高效采集与处理、大数据智能检测与高效分析、多元威胁情报生产与应用、积极防御的威胁精准预警和自动化响应等系列核心关键技术，直观展现安全数据和态势信息，供安全运营人员进行快速的分析判断，安全能力实现从“被动防御”向“积极防御”的进阶。

　　通过与安全设备的联动处置、工单管理和标准化流程，实现对各类安全事件的协同响应处置和威胁闭环管理，实现了常态化的安全运营，绝大多数的安全事件都可以通过标准化流程进行处置，实现人+工具+流程高效有序的运转，可帮助安全运营人员持续监测网络安全态势。

　　六、可解决的问题

　　1.传统的安全运营管理，涉及多类型的安全产品，技术内容纷繁复杂，难以让安全管理人员快速了解并判断当前的安全态势，无法有效指导安全运营工作。而在“人+工具+流程”的安全运营模式中，安全运营平台可以快速的、宏观的了解整体安全态势，在安全运营工作中抓大放小，明确工作重点以指导安全运营人员和IT人员的安全工作。

　　2.在日常的安全运营工作中，监测、发现威胁后，安全运营人员需要及时作出响应，处置威胁或安全事件，此时会涉及人员、流程、管理、跟踪等多个方面，安全运营平台可以提供多种响应处置方式，并通过联动处置和工单管理，对各类安全事件的处置制定标准流程，通过标准化动作和流程指导运营人员完成安全事件的处置，实现威胁闭环管理。

　　七、运用成效

　　通过“人+工具+流程”的安全运营模式，可以实现以下几方面的运用成效：

　　（一）持续监控，实时掌握安全状况

　　安全管理会涉及到多部门的重要业务及全局的IT管理，技术内容纷繁复杂，安全运营平台提供面向不同安全场景的态势感知监控界面，可以帮助安全管理者快速的、宏观的了解整体安全态势，明确工作重点以指导安全运营人员和IT人员的安全工作。

　　（二）全面检测，及时发现高级威胁

　　利用多维度威胁监测手段（检测引擎、威胁情报、场景化检测、机器学习和关联规则等）进行威胁的研判，发现隐藏在各类日志中的安全问题，快速定位真正的威胁，并提供高价值的威胁分析、安全事件溯源报告。

　　（三）响应处置，实现威胁闭环管理

　　借助安全运营平台，安全运营人员能够对日志、告警、资产、漏洞、情报等信息进行归纳整理，进行多角度研判威胁，对威胁告警、安全事件进行溯源分析，还原攻击过程和威胁发生的切入口，及时作出响应，处置威胁或安全事件，做到闭环管理。

　　责任编辑：广汉