深信服安全運營中心解決方案引用本彭聰留,訾然.深信服安全運營中心解決方案[J].信息安全與通信保密,2020(

增刊1):88-92.

摘要隨著網絡安全形勢日益嚴峻以及新技術、新基建不斷應用發展帶來的網絡安全新威脅，網絡安全運營者面臨新的安全挑戰。在國家監管層面，國務院辦公廳、網信辦、公安部等部門出臺的網絡安全相關政策標準在安全運營和管理方面也提出了明確的要求。為應對上述網絡安全挑戰和政策要求，打造具有“威脅感知、分析定位、智能決策、響應處置（OODA）”快速安全閉環能力的安全運營中心，不斷提升組織機構安全建設綜合效能，應對各類安全挑戰和解決安全運營工作遇到的問題，確保網絡及業務系統持續穩定安全運行。關鍵詞：安全運營中心；安全運營體系；網絡安全；態勢感知內容目錄：0

引言１網絡運營現狀與挑戰2網絡安全運營中心總體設計2.1

網絡安全運營中心建設目標2.2安全運營中心建設思路

2.3安全運營中心整體框架3安全運營中心建設價值收益4結語0引言隨著組織信息化建設規模的不斷擴大以及大物移云等新技術不斷應用，導致風險暴露面越來越大；另外，隨著單位內業務深度融合，敏感資源越來越集中，攻擊目標價值擴大。如果缺乏統一、全網的安全隱患和安全事件運營管理機制，將會導致安全隱患發現不及時甚至無法發現，安全事件難定位、應急不及時、安全投資成效低。尤其在出現嚴重安全事件時，傳統的定期風險評估會通過電話、即時通訊軟件層層上報，層層決策，經常貽誤對安全事件進行處置的最佳時機，造成安全事件大范圍蔓延，事件等級擴大的嚴重后果。隨著單位的信息化發展，數據越來越集中、業務對IT基礎設施的依賴度越來越大，一旦出現較大安全風險將會對單位造成一定的影響。因此，需要通過有效的安全威脅發現和事件處置機制，快速定位和處置安全風險。安全運營中心能夠有效提高組織的整體安全能力、提升運維效率、體現安全效果和價值。為在組織機構內建立有效易落地的安全運營中心，本文針對安全運營中心建設所解決的問題、面臨挑戰、應對思路機制、建設價值進行論述。１安全運營的現狀與挑戰（1）

安全不是一次性投入，需要持續優化升級第一個現狀和挑戰是安全不是一次性投入，需要持續優化升級，主要的原因是現有安全建設由于缺乏有效的安全運營，導致安全效果不理想。具體體現在三個方面：一是網絡攻擊快速演進，傳統基于靜態特征庫檢測、靜態策略防御手段失效，APT、0day等未知威脅難以檢測，對于新型的攻擊手段和威脅惡意程序等難以檢測。二是新技術如大物移云智等應用及新業務上線帶來新型的威脅，包括無法及時掌握資產變化情況，漏洞、威脅無法全面檢測等問題，使原有防護出現疏漏。三是各類安全設備各自為戰不能形成合力、安全策略有效性難驗證難優化、缺乏聯動響應能力等，導致安全割裂，無法形成整體合力。（2）

安全運維壓力大，處置不及時、不徹底第二個現狀和挑戰是安全運維壓力大，導致安全事件處置不及時、不徹底。包括三個方面的原因：安全運維工作量大：大量重復性工作如日志分析、事件處理，各類報表報告如病毒統計報告、攻擊報告等費時費力難處理，以及大量重要資產、核心系統日常巡檢也要消耗大量的時間和精力。人力資源不足，基礎薄弱：比如安全人員編制少，身兼多職難應對，對于復雜的問題安全分析能力不足，對于安全漏洞該不該處置、應該如何處置缺乏經驗和知識積累。安全運維工作效率低：各類事件處置高度依賴人，且無工具進行輔助決策，問題難于處置，對于安全問題的處理進度難跟蹤，處理結果無反饋。（3）

工作價值難體現，出事不認可、不出事也不認可第三個內部因素就是安全工作價值和績效難體現，對于安全部門或者負責安全工作的人員來說，如何體現安全工作的價值成為經常被困擾的問題。而且安全部門被認為是花錢的部門，不像業務部門大家能看到其價值。因此安全工作經常出現“出了事不認可、不出事也不認可”的情況，具體來講主要就是：成果說不清、績效難衡量、工作難推進。（4）

政策監管愈加嚴格，通報、扣分的情況時有發生網絡安全法、等保2.0

等法律法規不斷完善，要求越來越嚴。公安、主管、監管單位的安全監測檢查趨于常態化，重大網絡安全保障的壓力也越來越大，如攻防演練、HW、兩會、國慶等需要重點保障，需要避免被通報扣分，但很多運營者缺乏有效的技術和人員支撐。２網絡安全運營中心總體設計2.1網絡安全運營中心建設目標基于企業或組織的實際業務需求，當前的建設現狀，網絡安全運營體系的建設是一種在已有安全基礎上，重構一種新的安全效能倍增模式。組織網絡安全運營體系的建設目標有以下幾點：（1）

從組織的實際業務發展目標和安全運營需求的角度出發，打造匹配業務需求的網絡安全能力，使安全能力與業務高度融合，貫穿業務的建設、使用、管理、運維等全周期。（2）

構建實現從被動、靜態、單點的網絡防御體系到主動、動態、整體的網絡防護體系的轉變，以保障業務安全可靠為前提，持續提升整體安全防御、檢測、響應能力，并具備一定的威脅溯源反制能力。（3）

高效整合技術、工具、服務、流程、人員等全要素，打通網絡安全預防、保障、監控、應急等全流程，實現已有安全能力和未來安全能力的統籌中心，通過自動化機制落地，面向業務和用戶的體系化安全運營能力。（4）

基于安全運營體系的構建，探索組織網絡安全架構的建設路徑。安全運營體系作為整體安全架構的重要組成部分，是安全能力和需求演進到一定階段的必然選擇。整體安全架構的演進，依賴于安全運營體系的有效落地。未來的安全運營體系將更多實踐以防御、檢測、響應和預測為主的自適應安全架構，并不斷融合新的網絡安全理念，豐富和完善組織網絡安全架構的實踐。2.2安全運營中心建設思路建設安全運營體系的核心目標是提高組織的整體安全能力、提升運維效率、體現安全效果和價值，即“能力、效率、效果”三角形。而安全運營體系的建設是基于“人員、工具、流程”的三大基礎能力，也就是下放的三角形。“人員、工具、流程”能力的結合，打造從“感知、分析、決策、響應”四個維度出發，具備OODA循環的自動安全處置閉環能力。“感知、分析、決策、響應”四個維度也是發現問題、分析問題、評估問題、處置問題的完整閉環過程。因此安全運營體系的整體思路和理念是：安全運營體系通過大數據、機器學習、UEBA、SOAR、威脅情報等技術和工具，結合自動化流程和安全運營專家服務，打造“威脅感知、分析定位、智能決策、響應處置（OODA）”的快速安全閉環能力，幫助客戶不斷提升安全效果、提升安全運維和安全管理效率、展現安全成果，最終實現“自動響應閉環、持續安全運營”的目標。2.3安全運營中心整體框架安全運營體系整體架構包括安全運營人員、安全運營平臺、安全運營流程三部分組成。安全運營平臺通過SOAR、UEBA、機器學習、威脅情報等技術實現安全事件的自動閉環與持續威脅對抗。安全運營人員明確組織結構與安全運營權責，安全運營流程制定各類安全運維制度和事件處置流程。同時，依托云端安全能力和安全云腦，提供威脅情報、云端監測、算法更新等云端服務，結合本地第三方安全服務專家，構建7*24小時服務保障團隊。３安全運營中心建設價值收益（1）

提升安全運維效率。安全運營平臺可提供智能分析能力輔助安全決策，包括通過人機交互的界面簡化安全運維、以及自定義安全響應策略實現自動分析處置，同時通過安全運營專家提供當前安全策略的有效性驗證。除此以外，還具備各類安全日志、告警的消減去重、運維與事件處置的協同。（2）

提升安全建設效果。安全運營過程是一個持續發現問題、分析問題、處理問題的動態過程。隨著時間的推移，安全運營中心的運行成熟度將會越來越高，安全運營單位將能夠更加熟練地發揮“人、工具、流程”三者之間交互能力，通過主動和被動學習，持續優化提升產品和人員的專業能力，不斷積累完善問題知識庫，持續優化運營機制，持續簡化操作流程。（3）

安全運營過程就是安全價值展現的過程，內外網安全事件的可視化展示、攻擊攔截有效率的展現、安全事件處置效率的展現、安全事件的同期對比以及整體安全風險報告的輸出均是需要安全運營中心的重要職能。（4）

建設滿足國家網絡安全相關法律法規及標準規范中對網絡安全運維、安全監測及管理制度等相關方面的要求。４結語在當前嚴峻的國內外網絡安全形勢下，針對有組織的網絡犯罪和攻擊手段日益多樣化、復雜化和隱蔽化，各類網絡信息系統面臨外部攻擊、內部入侵、信息竊取破壞、系統運行中斷等風險