必达实验室｜持续风险监测网络安全框架（二）-安全小百科

持续风险监测网络安全框架—— 持续风险监测体系内容

近年来，网络安全形势变化明显，原有的安全常态被打破，为应对网络威胁、监管要求、安全防护的新变化，中测安华必达实验室提出了持续风险监测网络安全框架，并命名为“持续风险监测体系”。

一、持续风险监测体系框架

持续风险监测体系主要面向系统安全工程的安全运营阶段，其主要内容是用系统化方法解决安全新常态下面临的网络安全挑战，实现全面掌握风险情况、及时评估风险变化、快速灵活应对风险的安全运营目标。

持续风险监测体系以风险监测为基础，通过不间断、全方位地开展协同防护，对保护对象的威胁、数据和漏洞三个安全要素进行持续安全运营的设计，实现人、机、信息的协同联动，构建体系化的网络防御阵地。

此体系以安全要素、持续方法和协同机制作为核心理念，围绕网络空间的威胁、数据和漏洞等安全要素，秉承持续性评估、持续性建设、持续性监测的风险监测方法论，在人员、数据和设备协同的工作机制下，提升网络安全风险的控制水平，保障客户的安全防护水平。

持续风险监测旨在通过构建网络安全的瞭望塔、烽火台和司令部来驱动网络安全运维，带动人员、设备等协同运作，系统化地解决新常态下的网络安全问题。

二、持续风险监测体系内容

持续风险监测体系围绕安全要素、核心方法和协同机制三个核心理念，通过方法论和具体实施内容逐层展开构建。

1.安全要素

安全要素是安全运营阶段面临的技术型风险要素，结合信息安全风险管理理论和网络安全实践，安全要素包括：威胁、数据和漏洞。

威胁是可能对客户的信息系统造成危害的潜在起因，内容包括威胁模型和威胁数据。其中，威胁模型是威胁的描述标准、语言等，如：ATT&CK模型、KillChain模型等，威胁数据是威胁模型的具体内容，例如：木马样本、攻击工具等。

数据是与保护对象相关的数据，内容包括数据价值和数据风险。数据价值是数据资产的重要程度，例如：核心数据、索引数据等；数据风险是数据面临的风险内容，例如：明文数据、暴露数据等。

漏洞是指信息系统涉及物理层、网络层、系统层和应用层等各个层面的安全漏洞，内容包括漏洞风险和漏洞缓解措施。漏洞风险是指漏洞的危害程度，例如：高风险远程漏洞等；漏洞缓解是指漏洞的修复、缓解措施，例如：漏洞修复补丁等。

2.持续方法

持续方法是以持续性的安全运营理念来帮助客户持续发现风险问题、持续解决风险隐患，从而以螺旋上升方式提升客户风险控制水平，包括：持续性监测、持续性评估、持续性加固。

与传统的安全监测相比，持续性监测不仅针对网络攻击开展相关监测，还要持续性地监测外部威胁变化和内部业务变化，及时发现并掌握风险的特征、危害等，开展持续性的安全响应；同时，基于持续性的跟踪和积累，不断完成技术溯源和多方位分析，以发现潜在的未知威胁。持续性监测包括：威胁监测、数据治理、漏洞管理。威胁监测是指对内外部的网络攻击威胁进行监测；数据治理是围绕数据资产开展的相关监测和治理工作；漏洞管理包括互联网漏洞监测、政企内部漏洞监测管理等内容。

持续性评估强调以按需开展和持续不断的方式进行风险识别和评估，即基于客户新的（或有变化的）业务功能或外部威胁情报信息指引，以动态按需的方式启动风险识别和评估。持续性评估包括安全测评和风险预警。安全测评是围绕政企信息系统开展的较为全面的风险评估；风险预警是随着业务或威胁变化随时对业务风险进行的评估预警。

持续性加固是在持续性监测和评估的基础上开展安全加固，既要调整现有防护策略进行安全加固，也要对未来的安全建设进行规划设计，对评估结果形成有针对性的治理与应对建议，通过整改和修复实现安全防护闭环。持续性加固内容包括安全运维和安全规划。安全运维是指日常的安全加固运维活动；安全规划是指根据现有网络威胁发展，对未来网络安全建设运营进行规划。

3.协同机制

协同机制是持续监测落地实施的必要手段，包括：人员协同、数据协同和设备协同等。

设备协同指监测设备与防护设备的协同，终端设备与网络设备的协同，以及网络层不同功能的设备之间需要建立协同联动，从而完成攻击的发现和防御。设备协同内容包括安全设备协同防护。安全设备协同防护指各类安全系统设备、网络设备、终端设备等系统设备之间通过数据共享、策略联动等方式进行的网络安全协同监测、协同防护等防护行为。

数据协同指安全事件告警数据、威胁情报数据协同，以及态势感知协同，能够实现数据各个层面的协同，提升发现和抵御攻击的效果。数据协同内容包括：安全数据协同分析、安全态势协同感知。安全数据协同分析指为发现模式、识别异常和掌握趋势等，实施的对大规模多源网络安全相关数据的综合分析。安全态势协同感知指通过威胁情报、日志、专家知识库等各类协同分析实现的网络安全态势感知。

人员协同指不同类型专业人员之间的协同，如漏洞分析、木马分析、应急响应、服务团队、一线运维人员的相互协同，实现不同层级之间的协同工作。人员协同内容包括：安全事件协同响应、安全专家协作机制、安全组织协调机制、网络安全指挥协同等。安全事件协同响应指对安全运营组织对发生的网络入侵、破坏等安全事件的响应处理机制；安全专家协作机制引入外部专家协作处理安全事件、分析安全风险的工作机制；安全组织协调机制指为应对安全事件和风险，与相关产品厂商、安全厂商、服务商以及政府相关的执法、监管机构进行工作协调和支持的工作机制；网络安全指挥协同指大型组织实现体系化网络安全运营联动而建立的指挥和协同工作机制。

三、持续风险监测体系特点

持续风险监测体系通过监测发现风险，通过监测认识风险，通过监测调整防护措施降低规避风险，实现协同企业内部和外部资源相统一，实现监测近期和远期安全风险相统一，实现调整现有防护措施和建设新型加固措施相统一。其特点主要体现在系统性、持续性、及时性等三个方面，具体如下：

1.系统性

系统性体现在协同管理、风险管理和安全联动三个方面。其中，协同管理包括：人员能力协作管理、数据资源利用管理、设备响应协同管理。风险管理包括：外部威胁变化和内部业务变化的风险评估，近期和远期相结合的风险评估，局部和全局相结合的风险评估。安全联动指监测、加固、评估跟踪的安全措施协同联动。

2.持续性

持续性体现在持续跟踪、持续监测和持续流程方面。持续跟踪指对历史网络安全事件、潜在安全威胁、未来安全变化等开展持续跟踪。持续监测指对内部的网络安全事件、防护实施、外部的攻击能力和趋势变化等开展持续监测。持续流程指在运营过程中开展持续性地监测、评估和建设。

3.及时性

及时性体现在及时预警、及时应对和及时加固方面。及时预警指根据外部威胁变化，及时提供面临的风险变化；根据业务变化，及时提供业务风险情况。及时应对指根据风险级别变化，及时提供应对方案。及时加固根据网络安全事件，及时提供应急响应以及反馈加固。

四、网络安全框架对比分析

与传统的网络安全框架相比较，持续风险监测体系的是在网络系统已经被攻陷或未来将被攻陷的假设基础上构建，通过系统性的调动资源和持续性的监测分析，从而及时地发现当前或未来的风险，修复规避风险。

为评估持续风险监测体系的优势，本文从闭环防护、防护全面性、分等级防护和防护敏捷性等方面将持续风险监测体系与当前典型的网络安全框架进行对比。其中，闭环防护指防护流程闭环，防护过程是一个动态迭代发展的过程。防护全面性是指能够从多个维度覆盖所有的保护要素。分等级防护是指能够根据安全强度实现分等级的防护，支持安全防护成本与风险的平衡，安全防护能力通常可度量。防护敏捷性强调在高风险环境中主动性地发现处置网络安全风险，实现“及时发现、快速反应、灵活应对”。典型网络安全框架模型特点对比结果如下所示：