感谢各位关注的朋友，十分感谢大家的后台留言和评论，在上一周主要集中分享了如何利用开源组件打造我们的企业安全底座支撑能力。秉承解决大家痛点，分析最有效的解决方法提升安全生态能力的宗旨。在前几篇文章的铺垫下我们由基础级向进阶级进行讨论分享，循序渐进。如果您觉得我分享的东西对您有用，麻烦您点个赞和在看，如果您觉得没有用我也接受您的批评和诋毁。一个连被诋毁的资格都没有的人，说明他没有价值。送各位朋友一句话，最近感悟颇深。“强者习惯性自愈，弱者持续性抱怨。”

言归正传，在分享正题之前我分享几个到服务现场用户吐槽的最多的几个痛点问题：

1、“我们信息化发展过程中，在基础建设当中购置了琳琅满目的网络安全盒子，有A场、有B场、有C场....，每个场的销售都大言不惭夸大其词的说可以兼容彼此，当业务上线以后使用过程中的问题出现了以后，A场的墙有问题了，我作为甲方安全运营的人我需要联系A场的销售协调技术，到了现场A看了看，说不是我们问题，有可能是B或者C的问题，问题一直都在，而我循环电话协调之中，响应差，效率低，问题解决能力堪忧。”

2、“论解决方案和销售方案，各个场的文笔都不差，能套的技术概念和新词无不毫无保留的体现在方案当中，设计方案与实施结果天差地别。防护内容和防护措施的有效性无法得到验证，用户也是在质疑没有发生网络安全事件，是我们的确安全了，还是已经被攻击了只是没有被发现而已，一个大大的？号”

3、“盒子每年都在递增，各种品类，各种方向，没有一家场的技术是从实际业务出发，没有从整体考虑和规划网络安全防护体系，都是头痛治头，脚痛治脚。时间推移，网络安全成了俄罗斯方块，堆成了碎片化相对比较分散，甲方的安全运维压力就递增，海量有效数据的碎片化使得工作的繁琐程度增加，消耗精力多，效率低，无形的成为了甲方网安人的负担。”

4、“都说网络安全三分靠技术，七分靠管理。随着等级保护等各种工作和监管要求，我们内部也成立了很多管理制度，但是统一的都是制度有，执行难。几乎各家的制度如果按照论文查重的标准几乎类似度很高。没有实际按照业务场景、人员属性、角色环境等应地制宜的去细化去做适配。”

以上就是举了出现次数比较频繁的几点，当然还有很多为了更好的解决问题，每次博主都有记录用户痛点的习惯，会根据行业、类别做相关的梳理，以便在网络安全服务中提供更有效的支持。帮助解决根本问题。“以痛点为基础，以结果为导向。”

那进入正题，本次讨论的主题“如何建立有效的企业网路安全运营体系”

这个议题内容比较多，我打算分几次完成。

一、背景

安全运营体系建设由三大部分组成：

安全运营服务体系：要做什么？遵循什么标准去做？

安全运营管理体系：由谁做？

安全运营技术体系：怎么做？

二、安全运营服务体系建设

0x1：安全合规及监管服务

安全标准规范建设。安全运营中涉及的安全标准规范需要符合国家关于网络及关键信息基础设施、等级保护、云计算、大数据、政务数据开放共享和电子政务外网相关的安全标准、法令法规和指导文件的要求。具体建设内容包括：安全管理要求、安全技术标准、安全运营标准。

等级保护测评及风险评估等级保护测评。等级保护测评工作过程及任务基于受委托测评机构对定级对象开展等级测评。等级测评过程包括四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、报告编制活动。而测评相关方之间的沟通与洽谈应贯穿整个等级测评过程。

风险评估。风险评估是信息系统安全的基础性工作，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求。因此，所有信息安全建设都应该以风险评估为起点开展风险评估工作。

合规整改。业务应用系统通过等级保护测评及风险评估相关报告中反馈的问题，由相关业务系统主管单位负责协调专业技术人员开展合规整改，整改工作完成后通过相关的验证来评估最终的整改效果，并提供整改后的验证报告完成合规整改工作。

合规性检查及指导。安全合规性检查及指导工作的开展，在不同阶段、针对不同技术活动参照相应的标准规范进行；对各业务单位的重要系统进行安全建设和整改的指导，定期开展网络安全情况及能力建设情况检查。监管单位对各单位定期通过定期安全检查、安全抽查，或者委托第三方机构开展有针对性的安全检查，指导网络安全工作的开展，在各项工作开展的过程中实施监督和管理，发现存在的问题提供相应的指导，同步完善安全运营相关工作的推进。

第一部分工作是我们好多企业安全建设和日常安全工作的出口，为了满足国家法律要求，履行网络安全保护义务，在相关要求里都明确了要做什么，这部分内容也是工作的出发点，也是基础级的工作。在甲方企业安全里统一为“合规需求”。

0x2：安全运营服务

1、安全基线评估加固

通过“自动化工具配合人工检查”方式参考安全配置基线进行检查，主要包括

网络设备安全配置基线

安全设备安全配置基线

操作系统安全配置基线

数据库安全配置基线

中间件安全配置基线等

自动化输出报告便于业务部门的查漏补缺：

采用主流的安全配置核查系统或检查脚本工具，以远程登录检查的方式工作，完成设备的检查，针对物理隔离或网络隔离的设备使用检查脚本工具来补充完成检查工作。

依据区域安全技术标准对网络设备、安全设备、操作系统、数据库及中间件的安全配置基线要求或结合安全评估结果，按照安全整改建议，由安全服务人员协助云服务客户运维人员实施安全加固，至最终符合安全标准以保障安全运行。

2、运维管理与安全审计

安全运维管理。安全运维管理即实现对业务系统进行集中运维管理，对身份、访问、权限进行控制，可以降低运维操作风险，使安全问题得到追溯，提供安全事件对应的运维操作行为依据。安全运营一线运营前台人员，通过了解用户的角色与权限，进行日常运维角色、权限管理工作，对安全运维工单进行处理。

安全审计日志分析。区域所使用的安全产品会产生大量的网络访问日志、管理行为记录、操作行为记录、产品运行记录和网络流量等数据，以及安全监测产生的大量信息，这些信息数量庞大且无明显关系，但其中可能隐含着潜在的网络攻击行为或已经发生但未被发现的攻击行为、产品故障等。安全审计人员利用搜集到的安全日志，结合资产信息等实际情况，分析这些海量数据中的相互关系，挖掘出有价值的网络攻击、运行故障等信息，及时开展相应的处置工作，以保障安全产品及整体区域各业务系统的运行安全。

服务交付成果。针对运维管理工作和安全审计日志分析输出安全运维审计报告，该报告记录阶段性安全运维和安全审计日志情况。

3、系统上线安全检查

区域各业务应用系统随着业务发展及应用更新，存在新业务系统上线及应用系统版本变更的需求，为了避免系统“带病”上线影响全局安全，在业务系统上线及应用变更时应按照合规要求进行全面安全检测分析。

4、安全事件分析

安全事件分析工作是区域安全运营工作的核心，基于安全运营中预测、监测到的安全数据和安全事件信息进行安全事件研究、分析和判定，验证安全事件的可能性并出具相应的解决方法。

安全事件研判分析完全依靠高技术能力的安全服务人员利用区域搭建的安全技术体系，并借助外部安全大数据开展工作。本项工作包含于安全运营体系的每一个服务项中，最终输出的交付成果结合在每项服务交付成果中。

5、重点时期攻防演练

在重点时期前完善安全整改工作后，组建防守方和攻击方进行实际的演练攻击，攻击方采用各种技术手段模拟黑客攻击，发起各类攻击事件，防守方检测和发现外部攻击，并对攻击采取相应的防护措施，导演方负责演练导演、监控进程、全程指导、应急处置、演习总结、技术措施与策略优化建议等技术咨询工作。

通过攻防演练实战，严格地检验区域的安全产品、安全策略、安全体系、人员能力和协同处置等多方面内容，检验区域已有防御体系的有效性，检验区域内部安全协同和应急处置能力。

6、安全应急响应处置

基于区域具体的安全事件开展专家应急响应，包括

安全事件检测

安全事件抑制

安全事件根除

安全事件恢复

安全事件总结

最终形成协调联动机制，增强应急技术能力，健全应急响应机制。

安全事件处置完成后，系统得到恢复，找到安全事件发生的原因并提供相应的安全解决方案，提供交付物安全事件应急响应报告。

7、互联网资产发现

基于网络扫描、搜索引擎、互联网基础数据引擎主动探测区域业务应用系统在互联网上暴露的资产，可以形成明确的资产清单，并发现区域各业务应用系统的未知资产。

通过大数据挖掘和调研的方式确定资产范围，进行主动精准探测，深度发现暴露在外的IT设备、端口及应用服务，发现活跃资产及“僵尸”资产，由安全专家对每项业务进行梳理分析，结合用户反馈的业务特点对资产重要程度、业务安全需求进行归纳，最终形成区域资产清单。

8、安全流量风险分析

利用威胁情报数据和采集到的安全大数据，采用专业攻防思路构建分析模型，提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性检测、发现和响应服务，提升主动应对安全威胁的能力，在信息安全方面构建最后一道“防火墙”。

安全流量风险分析主要包括：

内部失陷主机检测

外部攻击检测

内部攻击检测

内部违规检测

事件分析研判溯源

五大类服务。

安全流量风险分析服务结合区域实际情况，周期性地开展工作，提供交付成果安全流量风险分析报告。

安全流量风险分析服务除提供上述服务之外，还可以协助建立内部的安全大数据中心，为后续利用大数据分析技术来开展安全分析、安全数据的基线、安全数据的深度挖掘和安全数据的审计提供必要的基础。

9、应用失陷检测

企业对外的、留在大众心中抽象化的无形资产，通过大众抽象化的定位与认知形成异性的品牌力。

应用失陷检测通过数据采集、工具分析、人工标记、专家研判、成果交付五个过程对被分析系统的访问日志进行全面细化的分析，针对所有应用失陷检测系统输出应用失陷检测报告，描述其发现的问题并给出相应的解决方案。

10、全事件及态势检测

安全运营团队的一线运营前台会7×24小时监控应用安全监测事件，并对事件进行即时确认，一旦发现安全事件属实，将会即时通知客户及相关的应用管理接口人，同时启动相应的安全应急响应流程。

针对区域安全监控内的所有业务系统平台，进行实时安全监测预警和安全态势感知，及时上报发现的潜在威胁和脆弱环节，建立全网安全隐患发现、预警、处置等流程的一体化快速响应。

针对所有安全事件的监测和安全态势的监控，形成周期性安全监测报告，记录安全事件汇总情况、安全态势趋势等。

11、安全策略优化服务

完成策略信息搜集后，结合实际业务安全需求，对现有安全策略进行差距分析，发现策略缺失、策略冗余、策略未废止等问题，并制定相应工作方案开展策略优化工作，内容包括访问控制策略优化、安全防护策略优化、行为审计策略优化等，通过安全策略优化完善策略可用性，提升防护能力。针对所有需要进行安全策略优化的安全设备输出安全策略优化报告，该报告记录了优化前和优化后的策略变化情况。

12、安全产品运行维护

安全产品运行维护是指针对区域安全防护体系中构建的安全产品，在运行过程中进行的一系列常态化维护，包括设备运行安全监测、设备运行安全审计、设备及策略备份更新等工作。

通过安全产品运行维护工作的开展保障安全产品最优化运行。针对所有需要进行安全产品运维的安全设备输出安全产品运维记录单，该记录单记录了安全产品运行过程中的变化情况、出现的问题、问题的解决情况等。

13、威胁情报预警

威胁情报预警是指基于网络安全威胁情报来监测和管理区域资产的安全健康状态，主动提供安全事件预警、分析及处置，利用第三方安全大数据进行关联分析和行为分析，精确地标出威胁情报，提供安全预警。

威胁情报预警可帮助区域保持其IT基础设施的更新，更好地阻止安全漏洞，并采取行动来防止数据丢失或系统故障，从而有效地抵御攻击。威胁情报预警根据不同时期发生的安全漏洞、安全事件等提供有针对性的威胁情报分析报告。

14、漏洞生命周期管理

漏洞生命周期管理包括网络层漏洞识别、操作系统层漏洞识别、应用层漏洞识别、安全加固、交付成果。

定期为业务系统提供漏洞扫描，发现漏洞并在经过验证属实后将漏洞纳入安全运营平台由安全运营人员进行持续跟踪，将扫描结果和漏洞修复建议发送给网站运维人员，配合其修复漏洞，待漏洞修复之后，重新进行验证扫描，确认漏洞修复后将该漏洞“关闭”。暂时无法修复的漏洞将暂由应用防护体系进行防护，并将漏洞置为“未修复，已防护”状态，由安全运营服务团队继续跟踪直至漏洞被修复。

15、重点时期安全检查

在重点时期（包括“两会”、春节、互联网大会等）前对现有网络运行的服务器、终端、网络设备、安全设备、网站及应用系统等开展安全检查，从而发现硬件、软件、协议的实现或系统安全策略上的缺陷问题，对发现的问题提供对应安全整改建议，在重点时期做好安全加固及防护，以保障网络安全稳定地运行。

通过重点时期安全检查，可以及时发现信息系统中存在的安全漏洞，通过对服务器及安全设备漏洞的整改，可以及时消除安全漏洞可能带来的安全风险。

16、重大事件安全通告

建立安全通告机制，对出现的安全问题、威胁情报信息等进行全面传达、定期通告。

每周以邮件形式向用户通告业内安全态势、重大舆情信息、重要系统漏洞及补丁信息等，不定期对紧急重大类漏洞信息以最快时间通过邮件或电话向客户告知漏洞的危害、影响范围及应对方案等信息。

上述安全为安全运营的服务体系的涉及内容，也是我们做好安全的需要工作，网络安全是个系统工程，对人的要求和技能都有一定的标准，通过这个文章的分享，也希望甲方安全的朋友，了解借助三方的安全运营服务需要做什么?做哪些有有？怎么样做才是有效的，安全是一个持续性，常态化的工作。随着客户认知的崛起，对盒子的依赖和厂家的依赖逐渐被淡化，因为对于网络安全运营的甲方，他需要真实的了解自身的网络安全的程度，在确保环境稳定安全之上，也要考虑对业务的赋能和增值。

甲方网安人不易，从甲方角色到为甲方做事，做一个有态度的公众号博主，接受一切反对意见，也继续提供和分享更多的换位思考后的感受。

最后感谢大家的关注，如果您觉得有用，点个👍🏻！