以下內(nèi)容是個(gè)人成長(zhǎng)過(guò)程中對(duì)于網(wǎng)絡(luò)安全運(yùn)營(yíng)工作的理解和思考，希望通過(guò)這篇文章幫助大家更好的去做安全運(yùn)營(yíng)體系化建設(shè)，開(kāi)始吧！

一、網(wǎng)絡(luò)安全運(yùn)營(yíng)是什么？

安全運(yùn)營(yíng)工作并不是通過(guò)各類安全設(shè)備的疊加增強(qiáng)安全能力，而是通過(guò)技術(shù)與管理結(jié)合的形式將企業(yè)現(xiàn)有的安全能力進(jìn)行最大化展現(xiàn)。為了實(shí)現(xiàn)安全目標(biāo)、提出安全解決構(gòu)想、驗(yàn)證效果、分析問(wèn)題、診斷問(wèn)題、協(xié)調(diào)資源解決問(wèn)題并持續(xù)迭代優(yōu)化的過(guò)程。

如何將現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)體系做得更好的這個(gè)過(guò)程就是安全運(yùn)營(yíng)的核心體現(xiàn)，換句話來(lái)說(shuō)，安全運(yùn)營(yíng)的核心就在于提升和持續(xù)輸出價(jià)值。對(duì)于企業(yè)網(wǎng)絡(luò)安全防護(hù)建設(shè)來(lái)說(shuō)，如果只按照等級(jí)保護(hù)標(biāo)準(zhǔn)開(kāi)展，企業(yè)的安全得分如果只是60分勉強(qiáng)及格而已，而安全運(yùn)營(yíng)工作則是通過(guò)不額外增加安全設(shè)備的情況下，將企業(yè)的安全得分提高到85分，但剩下的15分則是因?yàn)楝F(xiàn)有體系建設(shè)中存在我們安全能力覆蓋區(qū)域的空白，而缺失的能力并不能通過(guò)安全運(yùn)營(yíng)工作去憑空創(chuàng)造，為此就需要不斷安全能力的查漏補(bǔ)齊，并將安全能力繼續(xù)持續(xù)迭代優(yōu)化。

二、網(wǎng)絡(luò)安全運(yùn)營(yíng)建設(shè)階段

安全運(yùn)營(yíng)工作覆蓋到了整體安全防護(hù)工作當(dāng)中的方方面面，而安全運(yùn)營(yíng)的理念在不同的安全建設(shè)階段的展現(xiàn)也不同。

第一階段：設(shè)備限制階段

企業(yè)按照等級(jí)保護(hù)的標(biāo)準(zhǔn)采購(gòu)各類網(wǎng)絡(luò)安全設(shè)備，但沒(méi)有專業(yè)的安全人員發(fā)揮設(shè)備應(yīng)有的價(jià)值，該階段稱之為設(shè)備限制階段。防火墻負(fù)責(zé)訪問(wèn)控制，WAF負(fù)責(zé)WEB應(yīng)用防護(hù)，IPS負(fù)責(zé)入侵防護(hù)，態(tài)勢(shì)感知負(fù)責(zé)整體安全防護(hù)，但僅僅依靠設(shè)備本身的防護(hù)能力往往是不夠的，可以說(shuō)這些設(shè)備在企業(yè)內(nèi)部發(fā)揮的安全作用微乎其微。

安全運(yùn)營(yíng)理念在設(shè)備閑置階段的體現(xiàn)則是建立常態(tài)化的日常防護(hù)工作，將僅僅依靠設(shè)備本身的安全能力提升為由人利用安全設(shè)備保障企業(yè)網(wǎng)絡(luò)安全運(yùn)行的安全能力。通過(guò)建立常態(tài)化的日常防護(hù)工作發(fā)揮設(shè)備應(yīng)有的安全能力，在這一個(gè)階段是從單純?cè)O(shè)備的防護(hù)模式轉(zhuǎn)變?yōu)槿?設(shè)備的防護(hù)模式，網(wǎng)絡(luò)安全的本質(zhì)依然是人與人之間的對(duì)抗，而人是整個(gè)安全運(yùn)營(yíng)從始至終不可缺少的一環(huán)。

第二階段：能力挖掘階段

能力挖掘階段顧名思義就是挖掘企業(yè)安全防護(hù)能力。從技術(shù)層面上講，優(yōu)化現(xiàn)有設(shè)備安全防護(hù)能力，減少設(shè)備誤報(bào)，更新設(shè)備規(guī)則；從管理層面來(lái)講，優(yōu)化原有常態(tài)化工作模式，建立完善的管理流程。

安全運(yùn)營(yíng)工作并不是通過(guò)各類安全設(shè)備的疊加增強(qiáng)安全能力，而是通過(guò)技術(shù)與管理結(jié)合的形式將企業(yè)現(xiàn)有的安全能力進(jìn)行最大化展現(xiàn)。

第三階段：運(yùn)營(yíng)轉(zhuǎn)型階段

運(yùn)營(yíng)轉(zhuǎn)型階段則是安全運(yùn)營(yíng)理念在每個(gè)不同的企業(yè)具像化的展現(xiàn)，安全運(yùn)營(yíng)工作是要結(jié)合企業(yè)實(shí)際的工作場(chǎng)景，并不是照搬復(fù)制其他企業(yè)的安全運(yùn)營(yíng)模式就能夠符合企業(yè)的發(fā)展需要。每個(gè)企業(yè)的安全防護(hù)體系面臨的問(wèn)題是不相同的，企業(yè)面向服務(wù)對(duì)象不同，企業(yè)的業(yè)務(wù)不同，企業(yè)的網(wǎng)絡(luò)架構(gòu)形式不同，等一系列的因素影響都會(huì)導(dǎo)致企業(yè)的安全防護(hù)需求不同，而運(yùn)營(yíng)轉(zhuǎn)型階段則是隨著時(shí)間的積累，對(duì)于企業(yè)運(yùn)行模式的了解，逐步衍生出符合不同企業(yè)自身的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式。

第四階段：查漏補(bǔ)強(qiáng)階段

查漏補(bǔ)強(qiáng)階段則是在企業(yè)持續(xù)平穩(wěn)開(kāi)展運(yùn)營(yíng)工作后，通過(guò)日常的工作積累發(fā)現(xiàn)部分安全能力的缺失是無(wú)法通過(guò)安全運(yùn)營(yíng)工作提供，這時(shí)需由企業(yè)的領(lǐng)導(dǎo)進(jìn)行評(píng)估是否需要進(jìn)行相關(guān)安全防護(hù)能力的補(bǔ)充。而查漏補(bǔ)強(qiáng)階段也分為兩部分，查漏部分是發(fā)現(xiàn)企業(yè)現(xiàn)有安全防護(hù)能力無(wú)法覆蓋的安全區(qū)域盲點(diǎn)，需要結(jié)合日常運(yùn)營(yíng)的需求挖掘梳理企業(yè)需要建設(shè)的安全能力，并不是無(wú)腦接入未涉及的安全防護(hù)設(shè)備。補(bǔ)強(qiáng)部分不同于能力挖掘階段，安全設(shè)備本身是存在能力上限的，而補(bǔ)強(qiáng)部分是通過(guò)建設(shè)新的能力完善優(yōu)化現(xiàn)有的安全運(yùn)營(yíng)工作。

查漏補(bǔ)強(qiáng)階段應(yīng)關(guān)注的問(wèn)題：一是企業(yè)的安全投入是否能夠消除同等價(jià)值的安全風(fēng)險(xiǎn)隱患，企業(yè)是否面臨相關(guān)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)發(fā)生概率性，風(fēng)險(xiǎn)發(fā)生造成影響都是決定是否需要進(jìn)行安全投入的參考因素；二是能力補(bǔ)強(qiáng)工作本身屬于錦上添花的操作，不同規(guī)模的企業(yè)對(duì)于安全運(yùn)營(yíng)的需求標(biāo)準(zhǔn)其實(shí)并不一致，該階段需要根據(jù)企業(yè)自身情況進(jìn)行調(diào)整，不應(yīng)該讓錦上添的花成為安全工作開(kāi)展的負(fù)擔(dān)。

第五階段：運(yùn)營(yíng)優(yōu)化階段

安全運(yùn)營(yíng)本身的核心就是提升，安全運(yùn)營(yíng)工作本身也需要優(yōu)化，內(nèi)部形成符合企業(yè)特色的安全運(yùn)營(yíng)考核指標(biāo)。例如：安全事件的響應(yīng)時(shí)長(zhǎng)、處理時(shí)長(zhǎng)、漏洞修復(fù)的時(shí)間、威脅情報(bào)的產(chǎn)出率、WEB檢測(cè)規(guī)則盲區(qū)等指標(biāo)，結(jié)合考核指標(biāo)發(fā)現(xiàn)目前安全運(yùn)營(yíng)工作中存在的問(wèn)題，梳理運(yùn)營(yíng)工作優(yōu)先級(jí)，合理分配人員的工作精力，持續(xù)優(yōu)化安全運(yùn)營(yíng)的工作模式。

三、網(wǎng)絡(luò)安全框架及模型介紹

網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)制定的一套標(biāo)準(zhǔn)、準(zhǔn)則和程序，旨在幫助組織了解和管理面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。優(yōu)秀的安全框架及模型應(yīng)該為用戶提供一種可靠方法，幫助其實(shí)現(xiàn)網(wǎng)絡(luò)安全建設(shè)計(jì)劃，對(duì)于那些希望按照行業(yè)最佳實(shí)踐來(lái)設(shè)計(jì)或改進(jìn)安全策略的組織或個(gè)人來(lái)說(shuō)，網(wǎng)絡(luò)安全框架及模型是不可或缺的指導(dǎo)工具，使用安全模型對(duì)業(yè)務(wù)安全進(jìn)行總結(jié)和指導(dǎo)，避免思維被局限，出現(xiàn)安全短板。

（1）PDR模型

PDR模型是由美國(guó)國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司（ISS）提出，它是最早體現(xiàn)主動(dòng)防御思想的一種網(wǎng)絡(luò)安全模型。

1. 保護(hù)：就是采用一切可能的措施來(lái)保護(hù)網(wǎng)絡(luò)、系統(tǒng)以及信息的安全。保護(hù)通常采用的技術(shù)及方法主要包括加密、認(rèn)證、訪問(wèn)控制、防火墻以及防病毒等。
2. 檢測(cè)：可以了解和評(píng)估網(wǎng)絡(luò)和系統(tǒng)的安全狀態(tài)，為安全防護(hù)和安全響應(yīng)提供依據(jù)。檢測(cè)技術(shù)主要包括入侵檢測(cè) 、漏洞檢測(cè)以及網(wǎng)絡(luò)掃描等技術(shù)。
3. 響應(yīng)：在安全模型中占有重要地位，是解決安全問(wèn)題的最有效辦法。解決安全問(wèn)題就是解決緊急響應(yīng)和異常處理問(wèn)題，因此，建立應(yīng)急響應(yīng)機(jī)制，形成快速安全響應(yīng)的能力，對(duì)網(wǎng)絡(luò)和系統(tǒng)而言至關(guān)重要。

（2）P2DR模型

P2DR模型是美國(guó)ISS公司提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系的代表模型，也是動(dòng)態(tài)安全模型的雛形。根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù)，以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。策略是模型的核心，所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。

P2DR模型包括四個(gè)主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測(cè)）和 Response（響應(yīng)）。

1. 策略：定義系統(tǒng)的監(jiān)控周期、確立系統(tǒng)恢復(fù)機(jī)制、制定網(wǎng)絡(luò)訪問(wèn)控制策略和明確系統(tǒng)的總體安全規(guī)劃和原則。
2. 防護(hù)：通過(guò)修復(fù)系統(tǒng)漏洞，正確設(shè)計(jì)開(kāi)發(fā)和安裝系統(tǒng)來(lái)預(yù)防安全事件的發(fā)生；通過(guò)定期檢查來(lái)發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性；通過(guò)教育等手段，使用戶和操作員正確使用系統(tǒng)，防止意外威脅；通過(guò)訪問(wèn)控制、監(jiān)視等手段來(lái)防止惡意威脅。采用的防護(hù)技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、授權(quán)和虛擬專用網(wǎng)（VPN）技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。
3. 檢測(cè)：是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng)，來(lái)發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過(guò)循環(huán)反饋來(lái)及時(shí)做出有效的響應(yīng)。當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí)，檢測(cè)功能就發(fā)揮作用，與防護(hù)系統(tǒng)形成互補(bǔ)。
4. 響應(yīng)：系統(tǒng)一旦檢測(cè)到入侵，響應(yīng)系統(tǒng)就開(kāi)始工作，進(jìn)行事件處理。響應(yīng)包括緊急響應(yīng)和恢復(fù)處理，恢復(fù)處理又包括系統(tǒng)恢復(fù)和信息恢復(fù)。

（3）PDRR模型

PDRR模型由美國(guó)國(guó)防部提出，是防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）的縮寫(xiě)。PDRR改進(jìn)了傳統(tǒng)的只注重防護(hù)的單一安全防御思想，強(qiáng)調(diào)信息安全保障的PDRR四個(gè)重要環(huán)節(jié)。

（4）PDR2A模型

PDR2A模型是在原PDR2安全模型的基礎(chǔ)上提出的，由Protection（防護(hù)）、Detection（檢測(cè)）、Response （響應(yīng)）、Recovery（恢復(fù)）、Auditing（審計(jì)）組成，其在 PDR2 模型的基礎(chǔ)上增加了審計(jì)分析模塊。

這個(gè)模型的特點(diǎn)是，它把防護(hù)、檢測(cè)、響應(yīng)恢復(fù)這四個(gè)環(huán)節(jié)有機(jī)地結(jié)合起來(lái)，形成一個(gè)動(dòng)態(tài)技術(shù)體系，從而改進(jìn)了傳統(tǒng)的只注重防護(hù)的單一安全防御思想。在這個(gè)模型中，防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)這四個(gè)環(huán)節(jié)是信息安全保障的重要環(huán)節(jié)，而審計(jì)則是一個(gè)獨(dú)立的模塊，它利用數(shù)據(jù)挖掘方法對(duì)處理后的日志信息進(jìn)行綜合分析，及時(shí)發(fā)現(xiàn)異常、可疑事件，以及受控終端中資源和權(quán)限濫用的跡象，同時(shí)把可疑數(shù)據(jù)、入侵信息、敏感信息等記錄下來(lái)，作為取證和跟蹤使用，以確認(rèn)事故責(zé)任人。

另外，管理員還可以參考審計(jì)結(jié)果對(duì)安全策略進(jìn)行更新，以提高系統(tǒng)安全性。在整個(gè)模型中，安全策略是核心，它包括安全防護(hù)策略.監(jiān)控策略、報(bào)警響應(yīng)策略、系統(tǒng)恢復(fù)策略、審計(jì)分析策略、系統(tǒng)管理策略等，這些策略貫穿于防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、審計(jì)各個(gè)環(huán)節(jié)所有的監(jiān)控響應(yīng)、審計(jì)分析都是依據(jù)安全策略實(shí)施的。

（5）IPDRR模型

IPDRR是NIST提供的一個(gè)網(wǎng)絡(luò)安全框架，主要包含了五個(gè)部分：

1. Identify：評(píng)估風(fēng)險(xiǎn)，包括確定業(yè)務(wù)優(yōu)先級(jí)、風(fēng)險(xiǎn)識(shí)別、影響評(píng)估、資源優(yōu)先級(jí)劃分。
2. Protect：保證業(yè)務(wù)連續(xù)性，在受到攻擊時(shí)，限制其對(duì)業(yè)務(wù)產(chǎn)生的影響。主要包含在人為干預(yù)之前的自動(dòng)化保護(hù)措施。
3. Detect：發(fā)現(xiàn)攻擊，在攻擊產(chǎn)生時(shí)即時(shí)監(jiān)測(cè)，同時(shí)監(jiān)控業(yè)務(wù)和保護(hù)措施是否正常運(yùn)行。
4. Respond：響應(yīng)和處理事件，具體程序依據(jù)事件的影響程度來(lái)進(jìn)行抉擇，主要包括：事件調(diào)查、評(píng)估損害、收集證據(jù)、報(bào)告事件和恢復(fù)系統(tǒng)。
5. Recover：恢復(fù)系統(tǒng)和修復(fù)漏洞，將系統(tǒng)恢復(fù)至正常狀態(tài)，同時(shí)找到事件的根本原因，并進(jìn)行預(yù)防和修復(fù)。

（6）APPDRR模型

網(wǎng)絡(luò)安全的動(dòng)態(tài)特性在DR模型中得到了一定程度的體現(xiàn)，其中主要是通過(guò)入侵的檢測(cè)和響應(yīng)完成網(wǎng)絡(luò)安全的動(dòng)態(tài)防護(hù)。但DR模型不能描述網(wǎng)絡(luò)安全的動(dòng)態(tài)螺旋上升過(guò)程。為了使DR模型能夠貼切地描述網(wǎng)絡(luò)安全的本質(zhì)規(guī)律，人們對(duì)DR模型進(jìn)行了修正和補(bǔ)充，在此基礎(chǔ)上提出了APPDRR模型。

APPDRR模型認(rèn)為網(wǎng)絡(luò)安全由風(fēng)險(xiǎn)評(píng)估（Assessment）、安全策略（Policy）、系統(tǒng)防護(hù)（Protection）、動(dòng)態(tài)檢測(cè)（Detection）、實(shí)時(shí)響應(yīng)（Reaction）和災(zāi)難恢復(fù)（Restoration）六部分完成。

根據(jù)APPDRR模型，網(wǎng)絡(luò)安全的第一個(gè)重要環(huán)節(jié)是風(fēng)險(xiǎn)評(píng)估，通過(guò)風(fēng)險(xiǎn)評(píng)估，掌握網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)信息，進(jìn)而采取必要的處置措施，使信息組織的網(wǎng)絡(luò)安全水平呈現(xiàn)動(dòng)態(tài)螺旋上升的趨勢(shì)。網(wǎng)絡(luò)安全策略是APPDRR模型的第二個(gè)重要環(huán)節(jié)，起著承上啟下的作用：一方面，安全策略應(yīng)當(dāng)隨著風(fēng)險(xiǎn)評(píng)估的結(jié)果和安全需求的變化做相應(yīng)的更新；另一方面，安全策略在整個(gè)網(wǎng)絡(luò)安全工作中處于原則性的指導(dǎo)地位，其后的檢測(cè)、響應(yīng)諸環(huán)節(jié)都應(yīng)在安全策略的基礎(chǔ)上展開(kāi)。系統(tǒng)防護(hù)是安全模型中的第三個(gè)環(huán)節(jié)，體現(xiàn)了網(wǎng)絡(luò)安全的靜態(tài)防護(hù)措施。之后是動(dòng)態(tài)檢測(cè)、實(shí)時(shí)響應(yīng)、災(zāi)難恢復(fù)三環(huán)節(jié)，體現(xiàn)了安全動(dòng)態(tài)防護(hù)和安全入侵、安全威脅短兵相接的對(duì)抗性特征。

APPDRR模型還隱含了網(wǎng)絡(luò)安全的相對(duì)性和動(dòng)態(tài)螺旋上升的過(guò)程，即：不存在百分之百的靜態(tài)的網(wǎng)絡(luò)安全，網(wǎng)絡(luò)安全表現(xiàn)為一個(gè)不斷改進(jìn)的過(guò)程。通過(guò)風(fēng)險(xiǎn)評(píng)估、安全策略、系統(tǒng)防護(hù)、動(dòng)態(tài)檢測(cè)、實(shí)時(shí)響應(yīng)和災(zāi)難恢復(fù)六環(huán)節(jié)的循環(huán)流動(dòng)，網(wǎng)絡(luò)安全逐漸地得以完善和提高，從而實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全目標(biāo)。

（7）WPDRRC模型

WPDRRC安全模型是我國(guó)在PDR模型、P2DR模型及PDRR等模型的基礎(chǔ)上提出的適合我國(guó)國(guó)情的網(wǎng)絡(luò)動(dòng)態(tài)安全模型，在PDRR模型的前后增加了預(yù)警和反擊功能。

WPDRRC模型有六個(gè)環(huán)節(jié)和三大要素。六個(gè)環(huán)節(jié)包括預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)和反擊，它們具有較強(qiáng)的時(shí)序性和動(dòng)態(tài)性，能夠較好地反映出信息系統(tǒng)安全保障體系的預(yù)警能力、保護(hù)能力、檢測(cè)能力、響應(yīng)能力、恢復(fù)能力和反擊能力。三大要素包括人員、策略和技術(shù)，人員是核心，策略是橋梁，技術(shù)是保證。三大要素落實(shí)在WPDRRC模型六個(gè)環(huán)節(jié)的各個(gè)方面，將安全策略變?yōu)榘踩F(xiàn)實(shí)。

（8）自適應(yīng)安全架構(gòu)ASA（3.0）

自適應(yīng)安全框架（ASA）是Gartner于2014年提出的面向下一代的安全體系框架，以應(yīng)對(duì)云大物移智時(shí)代所面臨的安全形勢(shì)。自適應(yīng)安全框架（ASA）從預(yù)測(cè)、防御、檢測(cè)、響應(yīng)四個(gè)維度，強(qiáng)調(diào)安全防護(hù)是一個(gè)持續(xù)處理的、循環(huán)的過(guò)程，細(xì)粒度、多角度、持續(xù)化的對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，自動(dòng)適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。

1. 防御：是指一系列策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。這個(gè)方面的關(guān)鍵目標(biāo)是通過(guò)減少被攻擊面來(lái)提升攻擊門檻，并在受影響前攔截攻擊動(dòng)作。
2. 檢測(cè)：用于發(fā)現(xiàn)那些逃過(guò)防御網(wǎng)絡(luò)的攻擊，該方面的關(guān)鍵目標(biāo)是降低威脅造成的停擺時(shí)間以及其他潛在的損失。檢測(cè)能力非常關(guān)鍵，因?yàn)槠髽I(yè)應(yīng)該假設(shè)自己已處在被攻擊狀態(tài)中。
3. 響應(yīng)：用于高效調(diào)查和補(bǔ)救被檢測(cè)分析功能或外部服務(wù)查出的事務(wù)，以提供入侵認(rèn)證和攻擊來(lái)源分析，并產(chǎn)生新的預(yù)防手段來(lái)避免未來(lái)事故。
4. 預(yù)測(cè)：通過(guò)防御、檢測(cè)、響應(yīng)結(jié)果不斷優(yōu)化基線系統(tǒng)，逐漸精準(zhǔn)預(yù)測(cè)未知的、新型的攻擊。主動(dòng)鎖定對(duì)現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊，并對(duì)漏洞劃定優(yōu)先級(jí)和定位。該情報(bào)將反饋到預(yù)防和檢測(cè)功能，從而構(gòu)成整個(gè)處理流程的閉環(huán)。
   

自適應(yīng)安全架構(gòu)1.0，針對(duì)于當(dāng)時(shí)市場(chǎng)上的安全產(chǎn)品主要重在防御和邊界的問(wèn)題，安全形勢(shì)形成了嚴(yán)重的挑戰(zhàn)下提出的此框架。讓人們從防御和應(yīng)急響應(yīng)的思路中解放出來(lái)，相對(duì)應(yīng)的是加強(qiáng)監(jiān)測(cè)和響應(yīng)能力以及持續(xù)的監(jiān)控和分析，同時(shí)也引入了全新的預(yù)測(cè)能力。

在2017年進(jìn)入了自適應(yīng)安全架構(gòu)的2.0時(shí)期，在1.0的基礎(chǔ)上進(jìn)行了相關(guān)的理論豐富。在自適應(yīng)架構(gòu)2.0的時(shí)候加入了一些額外的元素，主要是三點(diǎn)變化：
第一，在持續(xù)的監(jiān)控分析中改變成持續(xù)的可視化和評(píng)估，同時(shí)加入了UEBA相關(guān)的內(nèi)容；
第二，引入了每個(gè)象限的小循環(huán)體系，不僅僅是四個(gè)象限大循環(huán)；
第三，在大循環(huán)中加入了策略和合規(guī)的要求，同時(shí)對(duì)大循環(huán)的每個(gè)步驟說(shuō)明了循環(huán)的目的，到保護(hù)象限是實(shí)施動(dòng)作，到檢測(cè)象限是監(jiān)測(cè)動(dòng)作，到響應(yīng)和預(yù)測(cè)象限都是調(diào)整動(dòng)作，可以說(shuō)是這種改變加入了一些額外的因素來(lái)完善自適應(yīng)安全體系。

自適應(yīng)安全架構(gòu)描述了一種方法，該方法使用綜合策略的組合來(lái)幫助企業(yè)領(lǐng)先于網(wǎng)絡(luò)犯罪分子，采取靈活的安全措施以盡可能敏捷的方式保護(hù)數(shù)據(jù)和系統(tǒng)，而不是依賴過(guò)時(shí)的外圍防御策略。

在2018年十大安全趨勢(shì)中，正式確認(rèn)了“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任”（CARTA）的安全趨勢(shì)，也即是自適應(yīng)安全架構(gòu)3.0的強(qiáng)調(diào)。這次架構(gòu)的添加的內(nèi)容較多，同時(shí)名字都進(jìn)行了修改。其實(shí)這篇報(bào)告在2017年已經(jīng)推出，《在高級(jí)威脅的時(shí)代使用“持續(xù)自適應(yīng)風(fēng)險(xiǎn)與可信評(píng)估“的方法來(lái)?yè)肀?shù)字商業(yè)機(jī)會(huì)》，先來(lái)一張圖說(shuō)明變化：

比之前最大的變化即是多了關(guān)于訪問(wèn)的保護(hù)內(nèi)環(huán)，把之前的自適應(yīng)安全架構(gòu)作為攻擊的保護(hù)外環(huán)。作為增加了內(nèi)環(huán)重點(diǎn)的關(guān)注認(rèn)證，也有其內(nèi)在原因：

第一，之前的自適應(yīng)安全架構(gòu)沒(méi)有考慮認(rèn)證的問(wèn)題，導(dǎo)致架構(gòu)的完整性有缺失。如果黑客獲取了有效的認(rèn)證內(nèi)容，比如用戶名密碼，自適應(yīng)架構(gòu)對(duì)于此類事件是“可信”的，威脅就無(wú)法感知。
第二，在云時(shí)代下CASB這種產(chǎn)品就是解決了部分認(rèn)證的問(wèn)題，Gartner同時(shí)使用自適應(yīng)安全架構(gòu)的方法論來(lái)對(duì)CASB的能力架構(gòu)進(jìn)行過(guò)全面分析，可以說(shuō)是將對(duì)CASB自適應(yīng)的架構(gòu)作為原型挪到了這個(gè)總體架構(gòu)中，在這個(gè)架構(gòu)中的核心點(diǎn)在于認(rèn)證，包括了云服務(wù)的發(fā)現(xiàn)、訪問(wèn)、監(jiān)控和管理。
第三，如果認(rèn)證體系只是一次性認(rèn)證并沒(méi)有持續(xù)的監(jiān)控和審計(jì)，必須要有被竊取認(rèn)證信息的心理預(yù)期，所以要持續(xù)的進(jìn)行監(jiān)控和分析以及響應(yīng)，所以要形成閉環(huán)。

（9）網(wǎng)絡(luò)安全能力滑動(dòng)標(biāo)尺模型

2015年，美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)提出了網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型，將網(wǎng)絡(luò)安全體系建設(shè)過(guò)程分為架構(gòu)建設(shè)、被動(dòng)防御、積極防御、威脅情報(bào)和進(jìn)攻反制五個(gè)階段，按照每個(gè)階段的建設(shè)水平來(lái)對(duì)安全防護(hù)能力進(jìn)行評(píng)估，并指導(dǎo)未來(lái)安全防護(hù)能力的建設(shè)。

第一階段是基礎(chǔ)架構(gòu)階段，解決的是從無(wú)到有的問(wèn)題。
第二階段為被動(dòng)防御，意即根據(jù)架構(gòu)完善安全系統(tǒng)、掌握工具、方法，具備初級(jí)檢測(cè)和防御能力。
第三階段為主動(dòng)防御，指主動(dòng)分析檢測(cè)、應(yīng)對(duì)，從外部的攻擊手段和手法進(jìn)行學(xué)習(xí)，該階段開(kāi)始引入了滲透測(cè)試、攻防演練和外部威脅情報(bào)。
第四階段為智能學(xué)習(xí)，指利用流量、主機(jī)或其他各種數(shù)據(jù)通過(guò)機(jī)器學(xué)習(xí)，進(jìn)行建模及大數(shù)據(jù)分析，開(kāi)展攻擊行為的自學(xué)習(xí)和自識(shí)別，進(jìn)行攻擊畫(huà)像、標(biāo)簽等活動(dòng)。
第五階段指利用技術(shù)和策略對(duì)對(duì)手進(jìn)行反制威懾。

（10）零信任模型

零信任安全模型是一種設(shè)計(jì)和實(shí)現(xiàn)安全 IT 系統(tǒng)的方法。零信任背后的基本概念是默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。諸如 IP 地址、主機(jī)、地理位置、所處網(wǎng)絡(luò)等均不能作為可信的憑證。零信任對(duì)訪問(wèn)控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進(jìn)行訪問(wèn)控制。

四、網(wǎng)絡(luò)安全運(yùn)營(yíng)工作場(chǎng)景

在不同的網(wǎng)絡(luò)安全運(yùn)營(yíng)建設(shè)階段，重點(diǎn)開(kāi)展的工作也并不相同，按照實(shí)際工作中自身參與的部分工作進(jìn)行梳理，形成了網(wǎng)絡(luò)安全運(yùn)營(yíng)整體概念圖，由基礎(chǔ)安全設(shè)備提供安全能力，人員作為運(yùn)營(yíng)核心，流程作為運(yùn)營(yíng)保證。

安全設(shè)備僅提供基礎(chǔ)安全能力，安全運(yùn)營(yíng)本身也建設(shè)在一定的安全能力之上，基礎(chǔ)安全能力的覆蓋面則決定了安全防護(hù)能力的上限。

基礎(chǔ)工作為針對(duì)企業(yè)現(xiàn)有的安全設(shè)備建立常態(tài)化工作流程，為保障日常防護(hù)的需要，需要梳理內(nèi)部安全架構(gòu)以及資產(chǎn)情況，安排人員參與監(jiān)控預(yù)警以及事件處置工作，企業(yè)內(nèi)部定期開(kāi)展?jié)B透測(cè)試及整改加固工作。

運(yùn)營(yíng)工作則是針對(duì)常態(tài)化工作內(nèi)容進(jìn)行優(yōu)化調(diào)整，包括明確組織架構(gòu)，優(yōu)化防護(hù)流程，對(duì)于公司現(xiàn)有設(shè)備策略進(jìn)行調(diào)優(yōu)，度量企業(yè)安全防護(hù)能力，預(yù)先梳理應(yīng)急響應(yīng)預(yù)案，提升實(shí)戰(zhàn)攻防演練能力，同時(shí)加強(qiáng)溯源反制及威脅狩獵能力。

人、數(shù)據(jù)、工具、流程共同構(gòu)成了安全運(yùn)營(yíng)的基本元素，以威脅發(fā)現(xiàn)為基礎(chǔ)，以分析處置為核心，以發(fā)現(xiàn)隱患為關(guān)鍵，以推動(dòng)提升為目標(biāo)通常是現(xiàn)階段企業(yè)的安全運(yùn)營(yíng)的主旨。

安全運(yùn)營(yíng)更像是技術(shù)和管理的合理結(jié)合，通過(guò)人員的培養(yǎng)，流程的定義，設(shè)備的優(yōu)化最終幫助企業(yè)將安全體系建設(shè)做到符合企業(yè)實(shí)際情況的最優(yōu)解，不刻意追求精益求精，也不忽略可解決的問(wèn)題。

安全運(yùn)營(yíng)本身覆蓋了安全建設(shè)場(chǎng)景的方方面面，針對(duì)企業(yè)的安全建設(shè)工作，安全運(yùn)營(yíng)更像是一個(gè)自由度極高的養(yǎng)成游戲，不同的人會(huì)有不同的運(yùn)營(yíng)方法和理念，不同的企業(yè)也需要不同的運(yùn)營(yíng)方式，企業(yè)的安全能力最終會(huì)被養(yǎng)成不同的方向，這也是安全運(yùn)營(yíng)工作最有趣的地方在于你需要經(jīng)過(guò)你自身的思考去尋找最優(yōu)解，這是單純地看告警封IP所體驗(yàn)不到的快樂(lè)，網(wǎng)絡(luò)安全運(yùn)維工程師和網(wǎng)絡(luò)安全運(yùn)營(yíng)工程師其實(shí)僅僅是一字之差，而兩種崗位其實(shí)差距也就在于能否改變自身的想法從安全整體看待問(wèn)題，運(yùn)營(yíng)是將固定的安全工作做出新的高度，運(yùn)維是將自己的思想困陷在固定的安全工作當(dāng)中，改變自己思維，以現(xiàn)有的安全工作為基，提升看待安全的視角，挖掘現(xiàn)有能夠提升的空間，尋找能夠解決問(wèn)題的答案，這就成為了一名安全運(yùn)營(yíng)工程師。

五、如何開(kāi)展安全建設(shè)？

隨著國(guó)家政策的引導(dǎo)和要求逐步讓企業(yè)明白安全合規(guī)建設(shè)的必要性，企業(yè)通過(guò)采購(gòu)基礎(chǔ)的安全設(shè)備對(duì)企業(yè)業(yè)務(wù)進(jìn)行表面式防護(hù)，安全投入精打細(xì)算，能滿足合規(guī)要求就絕不多建。

企業(yè)加大安全建設(shè)投入往往是因?yàn)榘l(fā)生安全信息事件后對(duì)自身造成的不良影響，企業(yè)亡羊補(bǔ)牢式針對(duì)信息安全事件采購(gòu)相應(yīng)的防護(hù)設(shè)備，防火墻、WAF、IPS、終端防病毒還有主機(jī)EDR等等，頗有一股哪里有問(wèn)題補(bǔ)哪里的決心。最后是由于企業(yè)安全建設(shè)需求的不同，企業(yè)會(huì)構(gòu)建符合企業(yè)自身特性的安全防護(hù)體系，也是因?yàn)榘踩?fù)責(zé)人的理解不同導(dǎo)致不同企業(yè)會(huì)存在不同形態(tài)的安全建設(shè)。

企業(yè)安全建設(shè)的過(guò)程，其實(shí)最重要的一句話就是不同的企業(yè)在安全建設(shè)的需求以及目標(biāo)是不一致的，因?yàn)槠髽I(yè)針對(duì)于安全運(yùn)營(yíng)的需求也是不一樣的，在安全運(yùn)營(yíng)學(xué)習(xí)的過(guò)程當(dāng)中，很多前輩提到了安全服務(wù)和安全運(yùn)營(yíng)之間的區(qū)別。其中一個(gè)比喻令人印象深刻，安全服務(wù)扮演的是醫(yī)生角色，站在外部審視企業(yè)存在的問(wèn)題，然后提供解決方案；安全運(yùn)營(yíng)扮演的是的本體角色，安全運(yùn)營(yíng)其實(shí)是站在甲方公司的角度去思考安全建設(shè)如何開(kāi)展。有一句心靈雞湯——外界的聲音只是參考，只有自己才明白自己真正所需要的。這句話同樣適用于安全運(yùn)營(yíng)工作當(dāng)中，只有真正站在企業(yè)內(nèi)部發(fā)現(xiàn)自己有哪些缺陷，才能夠針對(duì)性地優(yōu)化提升。

安全運(yùn)營(yíng)的目標(biāo)這一部分很多文章都提到了安全運(yùn)營(yíng)是為了讓安全建設(shè)更有價(jià)值，我不清楚大家對(duì)于安全價(jià)值的理解是否一致，除了監(jiān)控預(yù)警、安全響應(yīng)、調(diào)查取證等一系列安全工作，我在思考安全建設(shè)最原始的價(jià)值：安全建設(shè)與業(yè)務(wù)的融合程度。業(yè)務(wù)先行，安全滯后是大部分企業(yè)安全建設(shè)初期的常態(tài)，也正是因?yàn)檫@樣業(yè)務(wù)與安全才會(huì)出現(xiàn)斷層的矛盾，舉個(gè)實(shí)際又略帶夸張?jiān)氐睦樱?/p>

某一天，安全部門發(fā)現(xiàn)目前缺少針對(duì)于公司W(wǎng)EB業(yè)務(wù)的安全防護(hù)，于是采購(gòu)上架了一臺(tái)WAF，設(shè)備上架之后，一天之內(nèi)發(fā)現(xiàn)了近千條異常行為的告警，出于安全考慮，安全部門將疑似攻擊的行為匹配策略調(diào)整為阻斷，然后工作匯報(bào)會(huì)議，安全部門講自己發(fā)現(xiàn)處置了xxx次攻擊行為保障了業(yè)務(wù)安全，業(yè)務(wù)部門講自己接到了多少次客戶投訴，投訴為什么業(yè)務(wù)無(wú)法正常辦理，安全部門開(kāi)始推脫你的業(yè)務(wù)有安全風(fēng)險(xiǎn)需要整改，業(yè)務(wù)部門開(kāi)始訴苦安全建設(shè)妨礙了正常的業(yè)務(wù)開(kāi)展。

如果說(shuō)安全建設(shè)和安全運(yùn)營(yíng)之間的關(guān)系像是兩個(gè)緊密結(jié)合的齒輪相互帶動(dòng)和推進(jìn)，那么安全建設(shè)和業(yè)務(wù)發(fā)展之間的關(guān)系可以用雙筏并進(jìn)來(lái)描述，業(yè)務(wù)和安全就像兩條筏子在水中并排前行，需要相互協(xié)作、平衡好重心才能保持穩(wěn)定前進(jìn)。業(yè)務(wù)和安全也需要相互協(xié)調(diào)、平衡，才能實(shí)現(xiàn)共同的目標(biāo)。如果只關(guān)注業(yè)務(wù)而忽視安全，或者只強(qiáng)調(diào)安全而忽視業(yè)務(wù)，都可能會(huì)導(dǎo)致整體發(fā)展的滯后。

業(yè)務(wù)和安全的矛盾最根本的原因在于安全和業(yè)務(wù)無(wú)法緊密融合，安全對(duì)于業(yè)務(wù)限制過(guò)大，或者業(yè)務(wù)帶來(lái)安全風(fēng)險(xiǎn)不可控是兩者都不能接受的。解決兩者問(wèn)題的學(xué)問(wèn)可能不僅是通過(guò)技術(shù)層面，更應(yīng)該加入管理方法，技術(shù)是實(shí)現(xiàn)目標(biāo)的工具以及過(guò)程，管理是讓企業(yè)內(nèi)部快速接受過(guò)程的方法，技術(shù)與管理的有效結(jié)合才能促進(jìn)業(yè)務(wù)和安全的有效融合，當(dāng)然業(yè)務(wù)和安全之間的矛盾是繞不開(kāi)的問(wèn)題，業(yè)務(wù)和安全之間的解決辦法同樣不是我在此侃侃而談理念，企業(yè)安全負(fù)責(zé)人員茅塞頓開(kāi)就能解決的問(wèn)題。家家有本難念的經(jīng)，每個(gè)企業(yè)所面臨的矛盾問(wèn)題極其復(fù)雜，在這里我僅僅想通過(guò)個(gè)人的一些看法為安全負(fù)責(zé)人員提供一些思路，這些思路也是我們?cè)陂_(kāi)展安全運(yùn)營(yíng)工作的過(guò)程中所需要參考的方向。提升企業(yè)安全體系現(xiàn)有的防護(hù)能力是一方面，企業(yè)更需要通過(guò)安全運(yùn)營(yíng)優(yōu)化——如何將安全設(shè)備的防御能力盡可能地針對(duì)真實(shí)的攻擊者，減少對(duì)業(yè)務(wù)的干擾。

提到防御對(duì)象這個(gè)詞匯不禁聯(lián)想到零信任安全防護(hù)體系。零信任的理念中提到任何人都不可信，持續(xù)身份驗(yàn)證的概念，而零信任理念完整落地的案例屈指可數(shù)，落地場(chǎng)景也更偏向于針對(duì)于企業(yè)內(nèi)部業(yè)務(wù)防護(hù)，零信任理念的完美實(shí)現(xiàn)，理論上極大程度的保障了企業(yè)安全，但是不可避免的增加了業(yè)務(wù)復(fù)雜。零信任的發(fā)展需要思考的是如何快速和業(yè)務(wù)適配，安全創(chuàng)新技術(shù)的引用不能成為業(yè)務(wù)的負(fù)擔(dān)。安全運(yùn)營(yíng)也是同樣的道理，安全防護(hù)的目的是保障業(yè)務(wù)持續(xù)平穩(wěn)開(kāi)展，這一點(diǎn)是安全部門開(kāi)展安全工作是必須貫徹始終的原則，業(yè)務(wù)過(guò)程中的安全管控是助力甚至精簡(jiǎn)安全建設(shè)的捷徑，這同樣是業(yè)務(wù)部門實(shí)現(xiàn)企業(yè)最終安全目標(biāo)不可逃避的責(zé)任和義務(wù)。

最基礎(chǔ)的網(wǎng)絡(luò)安全建設(shè)是網(wǎng)絡(luò)安全防護(hù)設(shè)備的補(bǔ)充，通過(guò)如下這張圖可以清晰直觀地了解不同類型的網(wǎng)絡(luò)安全防護(hù)設(shè)備的防護(hù)側(cè)重點(diǎn)，其中很多基礎(chǔ)安全設(shè)備的作用及原理大家已經(jīng)了然于心，在此也就不多加贅述，大家可以以此為參考，自行思考企業(yè)安全防護(hù)能力薄弱點(diǎn)。

前文提到安全運(yùn)營(yíng)工作并不是等到安全建設(shè)成型之后考慮的事情，日常常態(tài)化的安全工作也屬于安全運(yùn)營(yíng)工作的范疇，那我們最后的一個(gè)話題就是基礎(chǔ)安全運(yùn)營(yíng)工作如何開(kāi)展？

（1）組織架構(gòu)確定

網(wǎng)絡(luò)安全組織架構(gòu)是網(wǎng)絡(luò)安全管理的重要組成部分，首先組織架構(gòu)的確定可以根據(jù)企業(yè)實(shí)際的需求和目標(biāo)，明確組織的網(wǎng)絡(luò)安全管理職責(zé)范圍，根據(jù)網(wǎng)絡(luò)安全管理職責(zé)的范圍梳理安全部門未來(lái)需要開(kāi)展的工作清單，依據(jù)工作清單內(nèi)容設(shè)計(jì)網(wǎng)絡(luò)安全團(tuán)隊(duì)的組織結(jié)構(gòu)，包括人員數(shù)量、工作職責(zé)劃分以及網(wǎng)絡(luò)安全工作流程等內(nèi)容。

在很多小型企業(yè)的實(shí)際情況是，網(wǎng)絡(luò)安全部門甚至信息化部門人員配置不足，在企業(yè)中影響力較小。這時(shí)組織架構(gòu)在公司層面的確認(rèn)就極其有必要了，通過(guò)公開(kāi)安全部門的組織架構(gòu)，清晰地表達(dá)安全建設(shè)的職責(zé)和任務(wù)，同時(shí)可以促進(jìn)企業(yè)內(nèi)部各部門的溝通和協(xié)作，加強(qiáng)安全建設(shè)的效果，共同實(shí)現(xiàn)企業(yè)安全目標(biāo)。在部門內(nèi)部則需要結(jié)合企業(yè)的需求和實(shí)際情況，制定適合企業(yè)的網(wǎng)絡(luò)安全策略，梳理安全工作優(yōu)先級(jí)，將有限的人力投入到亟需解決的問(wèn)題中。

（2）安全拓?fù)涫崂?/h5>

安全拓?fù)涫崂硎轻槍?duì)企業(yè)現(xiàn)有的信息化資產(chǎn)進(jìn)行拓?fù)涫崂?。區(qū)別于空間資產(chǎn)測(cè)繪，安全拓?fù)涫崂韺⑵髽I(yè)網(wǎng)絡(luò)拓?fù)浔茸魇澜绲貓D，世界地圖更加關(guān)注國(guó)家的分布；安全拓?fù)涓P(guān)注的是整個(gè)網(wǎng)絡(luò)環(huán)境體系及架構(gòu)。而空間資產(chǎn)測(cè)繪的結(jié)果是對(duì)于企業(yè)內(nèi)部詳細(xì)信息化資產(chǎn)的測(cè)繪，關(guān)注于資產(chǎn)本身的屬性，兩者結(jié)合才能夠?qū)τ谡麄€(gè)網(wǎng)絡(luò)環(huán)境有逐層漸進(jìn)式的感知和了解。

安全拓?fù)涫崂砉ぷ餍枰P(guān)注如下內(nèi)容：

1. 網(wǎng)絡(luò)拓?fù)涫崂頌榛A(chǔ)，明確網(wǎng)絡(luò)流量走向、網(wǎng)絡(luò)域vlan分布以及網(wǎng)絡(luò)域承載的業(yè)務(wù)屬性；

2. 關(guān)注網(wǎng)絡(luò)安全設(shè)備部署位置及配置關(guān)系，梳理安全設(shè)備覆蓋的防護(hù)范圍；

3. 梳理訪問(wèn)路徑：了解各個(gè)網(wǎng)絡(luò)域之間訪問(wèn)關(guān)系，梳理訪問(wèn)控制規(guī)則，明確流量可達(dá)區(qū)域及訪問(wèn)路徑。

4. 對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，以識(shí)別可能存在的風(fēng)險(xiǎn)和隱患，為后續(xù)安全訪問(wèn)控制策略調(diào)整提供指導(dǎo)方向。

（3）空間資產(chǎn)測(cè)繪

通過(guò)空間資產(chǎn)探測(cè)摸清家底，對(duì)資產(chǎn)及其歸屬的單位進(jìn)行識(shí)別，形成對(duì)云、網(wǎng)絡(luò)、終端、數(shù)據(jù)、應(yīng)用等為主體的資產(chǎn)清單；通過(guò)合規(guī)基線檢查，挖掘內(nèi)部資產(chǎn)存在的風(fēng)險(xiǎn)點(diǎn)，將風(fēng)險(xiǎn)點(diǎn)與資產(chǎn)進(jìn)行關(guān)聯(lián)，梳理資產(chǎn)危險(xiǎn)程度，著重對(duì)高風(fēng)險(xiǎn)資產(chǎn)進(jìn)行監(jiān)測(cè)和處置。最后建立關(guān)鍵資產(chǎn)和所屬單位、責(zé)任人員之間的聯(lián)系，清晰了解風(fēng)險(xiǎn)、資產(chǎn)、人員的關(guān)系路徑，最終實(shí)現(xiàn)全局統(tǒng)一資產(chǎn)管理。

空間資產(chǎn)管理工作過(guò)程在于資產(chǎn)發(fā)現(xiàn)階段的全面性以及資產(chǎn)梳理成冊(cè)后信息更新的及時(shí)性。企業(yè)沒(méi)有空間資產(chǎn)測(cè)繪產(chǎn)品的情況下，我們可以采用分區(qū)的方式開(kāi)展資產(chǎn)梳理的工作，通過(guò)優(yōu)先業(yè)務(wù)域或者DMZ區(qū)等面向互聯(lián)網(wǎng)側(cè)開(kāi)放的區(qū)域進(jìn)行資產(chǎn)梳理，可以通過(guò)開(kāi)源工具進(jìn)行主動(dòng)式的網(wǎng)絡(luò)資產(chǎn)掃描，將網(wǎng)絡(luò)資產(chǎn)掃描的結(jié)果通過(guò)管理手段實(shí)現(xiàn)網(wǎng)絡(luò)資產(chǎn)與業(yè)務(wù)部門的綁定，后續(xù)資產(chǎn)出現(xiàn)隱患快速確定資產(chǎn)歸屬。

在第一次全網(wǎng)資產(chǎn)清查后，信息的更新同步可以在管理和技術(shù)兩個(gè)層面開(kāi)展：在管理層面，后續(xù)對(duì)于影響資產(chǎn)狀態(tài)的操作可通過(guò)工單的形式信息同步到安全部門，安全部門對(duì)信息進(jìn)行更新；在技術(shù)層面，定期開(kāi)展資產(chǎn)狀態(tài)的復(fù)查，包括開(kāi)放端口等情況，若發(fā)現(xiàn)信息不一致的情況聯(lián)系業(yè)務(wù)部門確認(rèn)資產(chǎn)變更是否屬于正常行為。

（4）常態(tài)化漏洞挖掘

常態(tài)化漏洞挖掘主要分為漏洞掃描和滲透測(cè)試兩個(gè)方向：漏洞掃描是通過(guò)漏洞掃描設(shè)備定期對(duì)網(wǎng)絡(luò)環(huán)境內(nèi)的資產(chǎn)進(jìn)行漏洞探測(cè)，由于市面?zhèn)鹘y(tǒng)的漏洞掃描設(shè)備依賴規(guī)則庫(kù)進(jìn)行脆弱性檢測(cè)，更多為弱口令、應(yīng)用漏洞、框架漏洞等，漏洞掃描的結(jié)果會(huì)存在部分誤報(bào)及漏報(bào)，因此需要輔以滲透測(cè)試工作。

滲透測(cè)試是模擬黑客攻擊手法，對(duì)重要業(yè)務(wù)系統(tǒng)進(jìn)行非破壞性攻擊測(cè)試，查找業(yè)務(wù)邏輯、應(yīng)用代碼存在的漏洞，包括配置管理、API接口、身份鑒別、認(rèn)證授權(quán)、輸入驗(yàn)證、錯(cuò)誤處理、業(yè)務(wù)邏輯等方面存在的漏洞。

漏洞挖掘是開(kāi)始，整改加固是閉環(huán)

當(dāng)發(fā)現(xiàn)內(nèi)部脆弱性后，安全部分需要提供的專業(yè)的處置建議、業(yè)務(wù)部門配合根據(jù)處置建議進(jìn)行整改加固，整改加固完成后再由安全部門進(jìn)行漏洞復(fù)測(cè)，漏洞整改完成則閉環(huán)，漏洞仍存在則告知業(yè)務(wù)部門風(fēng)險(xiǎn)仍存在繼續(xù)整改直至漏洞修復(fù)。

常態(tài)化漏洞挖掘可以幫助企業(yè)盡早發(fā)現(xiàn)和修復(fù)潛在的安全漏洞，降低企業(yè)的安全成本，避免由于安全漏洞導(dǎo)致的數(shù)據(jù)泄露、網(wǎng)絡(luò)癱瘓等損失，保障企業(yè)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全性和可靠性。

（5）安全事件處置流程

在部門內(nèi)部明確安全事件處置流程，各崗位應(yīng)該各司其職，對(duì)于簡(jiǎn)單的網(wǎng)絡(luò)攻擊告警可以快速封禁IP，對(duì)于復(fù)雜的網(wǎng)絡(luò)攻擊事件能夠快速響應(yīng)。技術(shù)團(tuán)隊(duì)分析研判攻擊告警是否屬實(shí)，攻擊行為是否成功，攻擊影響范圍；應(yīng)急處置團(tuán)隊(duì)可以快速根據(jù)應(yīng)急響應(yīng)預(yù)案快速響應(yīng)，防止影響范圍進(jìn)一步擴(kuò)大。而這一切的基礎(chǔ)需要提前明確不同等級(jí)的安全事件處置流程。

（6）安全有效性驗(yàn)證

整體安全運(yùn)營(yíng)并不是部署安全設(shè)備就一定有效果，安全防護(hù)能力有效性的驗(yàn)證是整個(gè)安全運(yùn)營(yíng)中極其重要的一環(huán)，有效性驗(yàn)證可以避免燈下黑的情況發(fā)生，這其中包括：

1. 檢測(cè)安全設(shè)備可用性，例如：設(shè)備狀態(tài)是否正常，流量監(jiān)控設(shè)備是否能夠正常獲取流量，流量是否能正常轉(zhuǎn)化告警；
2. 評(píng)估安全設(shè)備防護(hù)目標(biāo)覆蓋程度，例如：檢查WAF防護(hù)資產(chǎn)是否和預(yù)定目標(biāo)防護(hù)資產(chǎn)保持一致；
3. 測(cè)試安全設(shè)備監(jiān)測(cè)能力全面性，例如：測(cè)試WAF是否能夠覆蓋已知的HTTP攻擊方式，監(jiān)測(cè)能力是否符合實(shí)際工作場(chǎng)景需求。
4. 網(wǎng)絡(luò)拓?fù)涫崂頌榛A(chǔ)，明確網(wǎng)絡(luò)流量走向、網(wǎng)絡(luò)域VLAN分布以及網(wǎng)絡(luò)域承載的業(yè)務(wù)屬性；
5. 關(guān)注網(wǎng)絡(luò)安全設(shè)備部署位置及配置關(guān)系，梳理安全設(shè)備覆蓋的防護(hù)范圍；
6. 梳理訪問(wèn)路徑：了解各個(gè)網(wǎng)絡(luò)域之間訪問(wèn)關(guān)系，梳理訪問(wèn)控制規(guī)則，明確流量可達(dá)區(qū)域及訪問(wèn)路徑。
7. 對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，以識(shí)別可能存在的風(fēng)險(xiǎn)和隱患，為后續(xù)安全訪問(wèn)控制策略調(diào)整提供指導(dǎo)方向。

安全運(yùn)營(yíng)包含了安全建設(shè)工作的方方面面，而我能夠提煉總結(jié)也只是運(yùn)營(yíng)工作的冰山一角，通過(guò)這篇文章的分享講述安全運(yùn)營(yíng)工作從基礎(chǔ)到進(jìn)階的養(yǎng)成過(guò)程，不管是從企業(yè)安全建設(shè)出發(fā)，還是從個(gè)人能力提升出發(fā)，我都希望我的想法能夠?yàn)榇蠹規(guī)?lái)一點(diǎn)幫助，也希望我的想法在樂(lè)于交流同行的碰撞下能夠?yàn)樽约簬?lái)提升。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-763658.html

到了這里，關(guān)于關(guān)于網(wǎng)絡(luò)安全運(yùn)營(yíng)工作與安全建設(shè)工作的一些思考的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！