xx安全运营中心规划与设计方案电子教案.docx

1、xx安全运营中心规划与设计方案电子教案xx安全运营中心规划与设计方案安全运营中心设计与规划方案一.1 安全运营体系设计方案一.1.1 安全运营框架设计一.1.1.1 设计背景中国xx集团信息技术有限公司（以下简称“信息公司”）是由国家电力投资集团公司（以下简称“中国xx集团”） 按照国家对中央企业信息化建设的总体要求，根据中国xx集团信息化建设的实际需要出资成立的全资子公司。信息公司是中国xx集团推进信息化的技术支持机构和专业服务机构，负责中国xx集团和各二级单位信息系统的实施、推广，信息系统的安全管理和运维工作，承担中国xx集团信息化方面投资管理、外包业务管理等工作，落实中国xx集团信息化建

2、设规划和年度工作任务。随着信息技术的飞速发展和外部威胁环境日益严重，中国xx集团对网络安全工作开展的稳定性和秩序性需求日益增加，希望通过构建持续安全运营体系，打造安全运营能力，实现对集团总部及数据中心信息内外网深度安全监测预警，提升动态防御、主动防御水平，到2020年形成与中国xx集团国际一流综合能源企业相匹配安全运营能力。一.1.1.2 设计依据本次设计主要参考以下外部合规要求。序号法律、发文、标准内容依据1、网络安全法第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者XX的访问，防止网络数据泄露或者被窃取

3、、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；第三十四条：除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；2、党委（党组）网络安全工作责任制实施办法中共中央办公厅印发党委（党组）网络安全工作责任制实施办法明确各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人，进一步落实网络安全的组织保障。3、等级保护2.0安全管理机构：应成立指导和管理网络安全工作的委员会或领导

4、小组，其最高领导由单位主管领导担任或授权。应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门各个工作岗位的职责。4、中央企业商业秘密安全保护技术指引 保密20153号各中央企业保密委员会是商业秘密保护工作的管理机构，负责贯彻有关法律、法规和规章，落实上级主管单位的工作要求，研究决定企业商业秘密保护工作的相关事项。各中央企业保密办公室作为本企业保密委员会的日常工作机构，应当配备专职工作人员，负责商业秘密安全保护管理及商业秘密信息系统安全技术防护的指导监督工作。5、关键信息基础设施安全保护条

5、例（征求意见稿）第四章第二十二条 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。6、GB/T22080网络安全管理体系要求 ISO27001最高管理层应确保与网络安全相关角色的责任和权限得到分配和沟通。最高管理层应分配责任和权限以A确保网络安全管理体系符合本标准的要求，B向最高管理者报告网络安全管理体系绩效一.1.1.3 运营体系设计工作方法网神公司根据多年的经验积累，以及对国家等保、ISO 27001的深入理解，采用体系化咨询的思路进行xx集团的安全运营体系建设进行安全咨询。设计工作包括需求

6、调研、体系框架设计、体系建设实施规划和落地实施。规划需求调研包括现状与安全需求调研、管理域识别与风险评估，体系框架设计包括组织体系设计、制度体系设计、流程体系设计和技术体系设计，体系建设规划包括规划需求分析、体系建设蓝图、行动路线设计，成果推广包括项目试点。规划需求调研是安全运营规划的起点，通过对xx集团的信息资产进行评估，结合国际标准、等保标准，进行现状调研，识别安全活动及安全需求，得出组织面临的风险，形成规划安全需求。 安全运营框架设计，依据信息安全需求，进行需求分析，结合ASA自适应模型、等保2.0标准和行业最佳实践形成符合xx集团的安全运营体系框架，在框架下对组织体系、制度体系、流程体

7、系进行详细设计。组织体系建设帮助xx集团建立或完善信息安全组织体系及各级组织间的工作职责，以及相应岗位和员工安全工作的流程。制度体系建设是建立xx集团的安全策略，根据策略建立组织的管理制度、标准规范、操作细则等。 运营流程体系建设为了确保xx集团业务的正常开展，而对通信网络、计算环境、区域边界、基础设施等进行流程保障，确保后续信息安全工作流程标准化和指导性。体系建设规划是为了明确安全运营建设方向和步骤，设计建设实施蓝图。体系建设蓝图，对实施任务从紧迫性、可实施性等评价任务优先级，依据项目之间的关联性形成体系实施蓝图。行动路线设计，设计安全运营三年行动计划。成果推广是为了传递项目成果，验证安全运

8、营规划成果的落地性和路线图的适配度。一.1.1.4 总体运营架构整体安全运营服务架构包括“服务对象”、“运营服务”、“服务方式”、“平台工具”、“数据来源”，全面覆盖中国xx集团的网络安全工作。本次项目以 “构建持续安全运营体系，打造安全运营能力，实现对集团总部及数据中心信息内外网深度安全监测预警，提升动态防御、主动防御水平”为目标。安全运营服务是面向集团总部、数据中心和二三级试点单位的的信息化资产，包括网络、信息化基础设施、信息系统、终端技术设备、数据等资产。安全运营服务内容包括对网络安全资产台账进行持续治理服务，并通过全流量威胁及风险感知服务对资产进行持续监控，对资产全漏洞和风险实施全流程

9、管理，并对网络安全事件进行及时预警等。安全运营服务方式采用远程为主，现场为辅的两种监控方式，运营分析人员在现场对平台安全状态进行监控，对威胁告警进行分析，及时发现安全威胁风险，并采取必要措施。二线和三线采用灵活支撑的方式。 态势感知与安全运营平台是开展各项监控服务的基础，对资产、漏洞、威胁事件的管理的主要抓手，平台各组件则实现对流量、资产、日志等信息的采集。通过平台的大数据分析能力对采集数据以及外部威胁情报、漏洞预警信息进行关联分析，可以确保安全威胁感知全面准确。一.1.2 安全运营服务编排安全运营服务体系的建设，需要多个服务项予以支撑，服务项可划分为基础服务、增值服务、专项服务三部分，基于运

10、营服务是支撑安全运营日常工作的主要形式，是增值服务和专项服务的基础。一.1.2.1 基础服务清单基础运营服务包括资产管理、漏洞管理、威胁分析、预警通知等服务内容，通过基础运营服务可帮助用户掌握自身的资产情况，及时发现面临的内外部威胁风险等，提高自身的安全体系健壮性。1. 资产管理（1）资产信息梳理一线运营人员对xx集团的各类资产进行梳理，识别资产属性，进行资产应用识别、资产攻击面分析、资产变更管理，结合运营人员监控分析结果及时发现资产异常连接，发现脆弱性资产。梳理内外网的主机设备、办公终端、网络设备、安全设备、应用系统等资产信息，梳理基础网络拓扑信息，协助xx集团建立完整的资产档案信息，维护资

11、产分类和资产属性，能够从组织架构、地理位置、业务分组等不同纬度进行资产的维护和管理。针对不同的资产类别，有针对性的梳理资产的关键信息，保证资产信息的良好的可用性，具体梳理资产范围包括但不限于资产类型、WEB应用类型、中间件、开发语言、开放服务及互联网开放端口等信息。（a）主机类资产 ：IP、开放端口、中间件及版本（如：Apache、Tomcat、WebLogic、Nginx）、数据库及版本（如：PostgreSQL、MySQL、SQL Server、 Oracle）、承载业务、开发语言（如：Java、PHP）、操作系统（Windows、Linux）、安全域（如：开放区、核心区、隔离区）、是否面

12、向互联网、责任人及部门等信息。（b）网络设备类资产：IP、厂商、设备类型（如：VPN、负载、代理服务器、路由器、交换机）、型号、版本、负责人及部门等信息。（c）安全设备类资产 ：IP、厂商、设备类型（如：IDS、IPS、AV、UTM、WAF）、型号、版本、责任人及部门。（d）工作主机类资产：IP、使用操作系统及版本、设备类型（终端、工作站等）、型号、责任人、责任人部门。（2） 攻击面分析从攻防的角度来讲，梳理基础资产、访问控制策略、数据接口，可以有效管理用户的资产受攻击面，结合资产属性，资产应用识别等信息，进行资产攻击面分析、资产变更分析、资产异常连接分析，感知资产异常行为，防患于未然。资产关

13、键信息识别以及分析内容包括： 资产类型、开放服务及端口识别 资产Web应用识别 资产Web中间件识别 资产Web业务类型识别 资产Web开发语言识别 资产应用绑定域名识别(违规上线) 资产外联分析 资产服务状态变更监测 资产端口状态变更监测 资产脆弱性服务检测 资产间异常连接分析2.漏洞闭环管理通常情况下安全漏洞修复是一个缓慢的过程，用户的安全建设有其特殊性，不可能像传统企业一样能够承受较长的漏洞修复周期，安全漏洞利用的风险是从补丁发布到补丁修复期间的窗口期，攻击者往往利用这个时间发起攻击，因此对于如何快速有效推进漏洞和补丁的管理，消除已知漏洞，发现新的漏洞是对用户的一个挑战。我司在漏洞闭环管

14、理服务方案方面经过多年实践验证总结一套切实可行的办法，在漏洞管理过程中综合考虑漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响等因素，并通过漏洞预警的方式来驱动漏洞管理，结合可视化的手段，可实时掌握漏洞修复的具体情况。漏洞管理过程中严格按照制定对漏洞与安全补丁的管理的服务方案，明确漏洞和补丁的管理职责，明确漏洞消缺的流程，制定相应的管理办法和漏洞工作规范及报告等。依托我司国内领先的漏洞库，通过对用户的主机操作系统、中间件、数据库、安全设备、WEB应用等进行安全扫描服务，发现未修复的漏洞，并提供漏洞修复建议，提前采取补救措施，或者做好应急预案，实现漏洞闭环管理，帮助用户发现、

15、分析、协助解决资产面临的脆弱性风险，消除未知风险。漏洞全过程管理主要包括漏洞预警、资产发现、漏洞检测和利用、漏洞修复、漏洞验证等环节，来实现漏洞的闭环管理，流程图如下： 图 1 漏洞全过程管理（1）漏洞预警预测收集互联网事件、安全厂商设备漏洞以及重大系统补丁等信息，对互联网出现的最新漏洞利用、攻击行为等提出安全预警， 并对集团内部下发相关预警通报文件，执行资产脆弱性排查、威胁事件分析等协同手段。定期对安全防护系统开展安全基线检查(技术支撑管理)和安全漏洞检查，编制安全加固和整改方案。建立漏洞预警及安全基线，多维度风险预警分析，根据外部漏洞威胁情况优化和调整安全策略，记录漏洞细节、影响资产、修复

16、方案，帮助解决面对大量漏洞报告时如何决定修复优先级，建立安全基线。通过情报驱动的漏洞闭环管理，从漏洞披露直到漏洞修补完成并确认的全过程漏洞管理，量化跟踪和分析流程执行情况，促进管理流程持续优化。预警通告信息的主要来源为：安全机构：安全机构会对一些影响特别大的安全事件进行通告；安全组织和安全公司：通过其网站获取最新的安全漏洞信息以及相关解决方案。（2）发现资产脆弱性资产脆弱性管理结合漏洞扫描结果和安全配置核查对资产脆弱性进行管理，通过监控平台的报告导入，资产富化，数据归并等功能及时发现网络环境中的脆弱性资产，消除安全隐患。（3）漏洞检测漏洞扫描是发现漏洞的主要手段，网络中重要的主机系统、网络设备

17、都会出现安全漏洞，漏洞的存在会影响着网络的安全性，如果不对其发现和处置，则会成为潜在的安全风险。运营人员利用系统提供了漏洞管理模块，实现对重要主机系统和网络设备漏洞信息的收集和管理。一是漏洞扫描器联动，运营人员可对漏扫引擎进行集中管理，并对漏洞扫描引擎下发扫描任务，收集漏洞扫描结果，具备主动漏洞检测能力，并支持周期性任务模式，建立完整的持续监控手段；二是三方报告导入，运营人员可协助客户导入第三方的扫描结果，提供主流厂家漏洞扫描结果的导入；三是漏洞处置闭环，运营人员可帮助用户标记各阶段漏洞所处状态，通过工单系统的联动形成处置闭环，做到对处置流程的全面监控，达到可监可管的目的。四是知识库关联，系统

18、针对扫描后的漏洞结果，自动关联漏洞知识库信息，系统内置2W+的漏洞知识信息，且提供定期的数据更新，可获取最新的漏洞解决方案，帮助用户更好的完成漏洞处置。通过对安全漏洞知识库管理，进行覆盖面广泛的安全漏洞查找，真实、全面地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。具体操作流程如下：（a）提出扫描申请在扫描开始前，工程师以书面形式向客户提出安全扫描评估申请，申请内容应包括：安全扫描评估工作开始时间、结束时间、执行人、扫描IP地址范围等相关信息。(b)执行扫描操作在安全扫描评估申请获得批准后，工程师将非业务高峰期执行漏洞扫描操作。安全扫描评估以网络为基础进行，扫描工具

19、通过网络对被评估对象进行安全评估，因此这种扫描方式会消耗一定的网络带宽资源，并对被评估的对象消耗很小一部分的网络连接的资源，对于其他的资源没有特殊的要求。实际的使用情况表明，网络扫描对网络资源和被评估系统的资源占用在3%-5%之间，并且可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小。在扫描过程中避免使用含有拒绝服务类型的扫描方式，在扫描过程中如果出现被扫描系统没有响应的情况，立即停止扫描工作，与配合的工作人员一起分析情况，在确定原因后，并正确恢复系统，采取必要的预防措施（比如调整扫描策略等）后，才可以继续进行。(c)编制评估报告安全扫描评估实施结束后，工程师将就本次扫描的结果编制安

20、全扫描评估报告，扫描报告应包含以下信息：执行时间、执行人、IP地址范围、高中低漏洞分布、高中低漏洞列表、漏洞整改方法等信息。(d)漏洞整改支持提交的漏洞报告经客户审核后，对于评估发现的安全漏洞的加固工作，工程师将提供技术支持。(e)编制处置报告漏洞加固修复工作完成后，工程师将详细记录漏洞处置的过程并编制漏洞处置报告。（4）补丁修复建议及漏洞复测补丁管理应对安全补丁安装情况进行检查跟踪，向各服务器系统管理人员发布其系统的补丁信息。根据要求安全整改和加固方案完成软硬件平台的安全加固和漏洞整改，完成加固和整改报告编制。信息系统安全补丁的威胁等级以厂商、安全机构、安全组织和安全公司定义的级别为准。详细

21、威胁等级如下表所示。威胁等级定义紧急漏洞可能被恶性病毒所利用造成网络大范围瘫痪。严重攻击者可以远程执行任意命令或者代码；攻击者可以远程获取应用系统的管理权限；远程拒绝攻击服务。中等攻击者可以远程创建、修改、删除文件；可以任意读取文件目录；可以获得用户名、口令等敏感信息，潜在可能导致高风险的漏洞。低等攻击者可以获得某些系统、服务的信息，如版本号、操作系统类型等。维护人员应分析补丁等级，对于不同威胁等级的补丁，对应的修补时间和修补方式要求如下表所示。威胁等级允许修补的时间修补方式紧急1天内及时更新补丁。如时间原因不能及时更新的，应暂时采用其它补偿性控制措施，如用防火墙或者限制功能等方式，同时增加监

22、控措施严重2-10天补丁方式中等1030天补丁方式低等3090天补丁方式补丁的测试与分发应按以下流程进行： 维护人员应确保从系统厂商的官方途径获取补丁程序，必须进行安全校验，以验证补丁的可靠性，防止补丁被恶意用户篡改。 应建立补丁测试环境，测试环境应具有与实际运行环境一致的业务应用，针对关键应用，应判断补丁对其的影响。 维护人员在完成补丁测试后，应对补丁的测试情况编写测试报告。测试报告应包括测试内容、测试对象、发现问题、解决建议。 维护人员完成补丁测试后，若未发现问题，根据漏洞威胁的紧急程度会同相关岗位和技术人员，共同制定补丁升级计划。 维护人员确定补丁升级计划后，应提交生产环境系统补丁升级申

23、请。 在重要的业务系统安装系统补丁前，维护人员应做好备份工作。3.威胁分析安全运营人员通过基于外部采集的安全日志、网络流量日志或服务器日志数据为基础，结合平台先进的威胁情报检测能力、丰富的关联规则、强大的机器学习检测能力，开展日志关联分析和威胁情报关联分析，为用户提供真实准确的威胁情况。 一是对整体网络安全态势进行分析与呈现；二是对来自互联网威胁态势进行分析与呈现（如欺诈钓鱼、僵木蠕毒等）；三是对特定目标遭受到网络攻击的态势进行分析与呈现，如网站的安全态势、重点单位关键设备的安全态势和专项威胁的安全态势。（1） 服务器被攻击行为检测分析对用户服务器资产进行检测分析，梳理高危漏洞和开放服务端口，

24、能够识别反弹shell、Redis命令执行、DNS 隧道、反序列化攻击、权限提升等高危行为。（2） 数据库危险操作分析通过深入分析数据库操作网络流量日志，能够发现数据库系统异常登录、SQL注入漏洞、数据库敏感操作、数据库权限提升、高危存储过程和数据库系统非常规命令执行等行为，并分析给出处置建议。（3） 违规检测分析能够发现违规使用HTTP代理、SOCKS代理、Regeory隧道、Teamview远程访问等行为。（4） 账户风险分析能够发现账号弱口令及各类风险，并统计账号风险情况。能够发现网络中存在的异常登录行为，结合具体的场景进行分析，如多个账号同时从同一源地址进行尝试登录的批量用户帐号口令猜

25、测行为；同一个源地址在短时间之内多次尝试登录的密码猜测行为；以及同一账号在不同源地址同时登录的行为进行分析。（5） 异常外联分析能够发现服务器非法外联、SSH隧道外联、基于威胁情报的外联等行为。（6） 暴力破解分析对邮箱、数据库、FTP等服务登录动作进行分析，结合登录协议、登录失败次数、发包请求间隔时间等多个条件进行分析判断是否服务被成功爆破。（7） 后门利用分析通过深入分析网络流量，能够判断出恶意后门是否被植入服务器中。通常攻击者会通过后门进行高危操作，如执行命令、下载文件、删除文件等，这些行为会直接被监控平台捕获，分析人员对告警的服务器主机后门进行溯源分析、行为分析、影响分析并给出相应的处

26、置建议。（8） 威胁情报命中告警分析能够根据内部IP频繁请求恶意域名情况，结合分析网络中是否有恶意流量交互，判断出是否命中威胁情报等。如分析人员使用威胁情报分析该域名的历史攻击行为记录、恶意行为特点、关联信息，并进行深入追踪，能够发现内部主机已经和外部C&C进行通信等。（9） Web失陷检测分析能够从入侵进攻的维度进行分析，发现网络中潜在的失陷主机，并基于溯源技术，找到问题发生的根本原因。同时收集该攻击者在不同时间段使用的IP，可根据攻击者不同的技能能力制定相应的技术防御策略，或使用边界安全防护类设备对IP进行实时阻断。（10） 恶意代码检测分析服务恶意代码统计攻击者通常通过执行恶意代码在网站

27、中写入后门，从而控制网站，盗取网站的数据，严重影响网站的正常运行，造成不好社会影响。为保障用户顺利进行，以及用户期间面向大众宣传、售票等服务的网络安全，我司通过多年行业积累和研究实践，发现通过使用静态检测技术、动态检测技术结合的方法对代码行为进行检测，可提高恶意代码检出率和误报率。通过恶意代码检测分析服务能够发现新的恶意代码家族及其活动，能够在用户反馈之前及时实现对恶意的检测和查，能够输出较准确的恶意代码家族信息，帮助用户及时发现并消除安全威胁。4.实时预警通知安全专家鉴定分析确定重大影响的安全问题时，通过email、即时通讯软件、电话等方式，快速向用户相关方推出安全预警信息及解决方案。并协助

28、用户根据实际情况制定应急预案，充分检验预案可行性。在发生确切的安全事件时，应急人员及时采取行动限制事件扩散和影响的范围，降低潜在的损失与破坏。安全预警事件类型包括但不限于如下内容：（1）网络攻击事件安全扫描攻击：黑客利用扫描器对用户信息系统进行漏洞探测，并在发现漏洞后进一步利用漏洞进行攻击；暴力破解攻击：对用户系统账号密码进行暴力破解，获取后台管理员权限；系统漏洞攻击：利用操作系统、应用系统中存在漏洞进行攻击；WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击；拒绝服务攻击：通过大流量DDOS或者CC攻击目标，使目标服务器无法提供正常服务；其他网络攻击行

29、为；（2）恶意程序事件病毒、蠕虫：造成系统缓慢，数据损坏、运行异常；远控木马：主机被黑客远程控制；僵尸网络程序：主机对外发动DDOS攻击、对外发起扫描攻击行为；挖矿程序：造成系统资源大量消耗；（3）WEB恶意代码Webshell后门：黑客通过Webshell控制主机；网页挂马：网站页面被植入待病毒内容，影响访问者安全；网页暗链：用户网站被植入博彩、色情、游戏等广告内容；（4）信息破坏事件系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等等；数据库内容篡改：数据遭到恶意篡改，引起业务异常和损失；网站内容篡改事件：网站页面内容被黑客恶意篡改；信息数据泄露事件：服务器数据、会员账号遭到窃取并

30、泄露；账号被异常登录：系统账号在异地登录，可能出现账号密码泄露；异常网络连接：服务器发起对外的异常访问，连接到木马主控端、矿池、病毒服务器等行为；建立及时准确的安全事件预警上报体系，在事件分类的基础上，进一步研究针对各类安全事件的响应对策，建立网络安全事件数据库，与应急指挥工作相衔接，这项工作对于事件应急响应处置具有十分重要的意义。5.外部预警通报分析针对外部主管单位通报或最新暴出的高危漏洞，运营人员通过安全运营平台对所通报事件进行查询，确认通报是否属实，如属实，确认失陷主机的范围。6.事件流程管理针对安全事件处置过程进行跟踪，形成闭环。明确监控、分析、通告、处置各个环节，明确岗位职责和人员设

31、置以及角色权限情况，通过平台系统管理中新增人员账号，根据不同的岗位职责对安全事件通过工单进行管理。根据用户管理机制，有针对性的设计安全事件监控、发现、分析、通告、响应、处置、复核等全周期的安全运营流程，确保安全运营工作可闭环管理。为保证安全威胁事件都能够得到有效的跟踪处置，有必要对安全事件进行集中管理，形成闭环管理。网络安全事件管理的主要活动包括：记录所有的事件、并采用一定的流程来管理事件的影响。流程应定义所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和正式关闭。应将报告的事件或服务请求的进展情况通知用户，当不能达到服务级别时应提前警告，并与用户约定改进计划。事件管理所涉及的所有人员都应可以访问相关的信息，如己知错误、问题解决方案和配置管理数据库。对重大事件应有流程进行分类及管理。在事件管理流程中，首先根据事件发生的原因和所需支持的类别对事件进行分类，结合事件的影响范围和程度定义事件的优先级和级别，若是新产生的事件，需要将其和己知的问题进行匹配，匹配成功就能根据方案解决问题，匹配不成功，则将事件转交给安全事件管理员进行调查和研究，提出快速解决事件的应急措施或方法。事件解决的过程中，需要跟踪事件的进度，并对用户进行反馈。当安全事件解决后，应向用户确认处理的效果是否满足服