网络安全运营能力建设思路（三） – 作者:oneeleven-安全小百科

系列文章

本系列文章共分为5篇，本文接上一篇文章，如欲了解前情，可点击以下链接进行回顾

第一篇主要为网络安全运营的驱动力以及整体架构设计

第二篇主要为组织安全运营所需具备的技术能力

第三篇主要为组织安全运营所需的人员能力

第四篇和第五篇主要为组织安全运营所需过程能力

五、人员能力建设

“网络空间的竞争，归根结底是人才竞争”。加强网络安全人员能力建设已成为组织网络安全建设的核心需求，根据NIST Special Publication 800-181全国网络安全教育倡议（NICE）网络安全劳动力框架，组织的人员结构应包括安全准备、操作和维护、监督和治理、保护和防御、安全分析、收集和操作、安全调查，每种类型由相关专业领域组成并覆盖不同的工作角色，同时不同的工作角色需要由具备一定知识、技能和能力的人员来承当相应的任务。

1607564123_5fd17b5bf271a1b6d81d6.png!small?1607564129464

5.1 组织结构

根据NIST Special Publication 800-181全国网络安全教育倡议（NICE）网络安全劳动力框架，组织机构的类别提供了组织总体组织结构，分别为监督和治理、安全准备、操作和维护、保护和防御、安全分析、收集和操作、安全调查，由不同的专业领域和工作角色组成。

类别	描述	对应组织机构

安全准备	概念化，设计，采购和/或构建安全信息技术（IT）系统，并负责系统和/或网络开发的各个方面	网络安全和信息化领导小组/CEO、各业务部门、IT建设部门、安全运营部门
操作和维护	提供确保有效和高效的信息技术（IT）系统性能和安全所需的支持，管理和维护	各业务部门、IT运行维护部门
监督和治理	提供领导，管理，指导，发展和倡导能力，以便组织可以有效地开展网络安全工作	各业务部门、IT建设部门、IT运行维护、安全运营部门
保护和防御	识别，分析和减轻内部信息技术（IT）系统和/或网络的威胁。	安全运营部门
安全分析	对传入的网络安全信息进行高度专业化的审查和评估，以确定其对情报的有用性。	安全运营部门
收集和操作	提供专门的拒绝和欺骗操作技能，并收集可用于开发情报的网络安全信息。	安全运营部门
安全调查	调查与信息技术（IT）系统，网络和数字证据相关的网络安全事件或犯罪。	安全运营部门

不同的组织IT系统的建设、运行维护以及网络安全的责任部门有很大的差异，以上对应组织机构仅供参考。

5.2 专业领域

根据组织机构的类别，进一步细分为32个专业领域，每个专业领域都是网络安全和相关工作中集中工作或功能的领域，组织可以根据实际情况选择所需的专业领域或对各专业领域进行合并。

分类	专业领域	专业领域描述
安全准备	风险管理	监督，评估和支持必要的文档，验证，评估和授权过程，以确保现有的和新的信息技术（IT）系统满足组织的网络安全和风险要求。从内部和外部角度确保风险，合规性和保证的适当处理。
	软件开发	根据软件保证最佳实践开发和编写/编码新（或修改现有）计算机应用程序，软件或专用实用程序。
	系统架构	开发系统概念及开发系统开发生命周期的功能阶段; 将技术和环境条件（例如法律和法规）转化为系统和安全设计和流程。
	技术研发	进行技术评估和整合过程; 提供并支持原型能力和/或评估其效用。
	系统需求规划	协商收集和评估功能需求，并将这些需求转化为技术解决方案，提供有关信息系统适用性的指导以满足业务需求。
	测试和评估	开发和实施系统测试，通过应用成本效益计划，评估，验证和验证技术，功能和性能特征（包括互操作性）系统或包含 IT 的系统元素的原则和方法来评估符合规范和要求的情况。
	系统开发	在系统开发生命周期的开发阶段工作。
操作和维护	数据管理	开发和管理允许存储，查询，保护和使用数据的数据库和/或数据管理系统。
	知识管理	管理和管理流程及工具，使组织能够识别，记录和访问知识资本和信息内容。
	客户服务和技术支持	解决安装，配置，排除故障问题，提供查询维护和培训，通常为事件响应专业提供初始事件信息。
	网络服务	安装，配置，测试，操作，维护和管理网络及其安全产品
	系统管理	安装，配置，排除故障并维护服务器配置（硬件和软件）以确保其机密性，完整性和可用性。管理账户和补丁。负责访问控制，密码以及账户创建和管理。
	系统分析	研究一个组织当前的计算机系统和程序，并设计信息系统解决方案，以帮助组织更安全，高效和有效地运作。通过了解两者的需求和局限，将业务和信息技术（IT）融合在一起。
监督和治理	法律咨询和倡导	向领导层和员工就各种相关主题领域内提供合法的意见和建议。宣扬法律和政策变更，并通过各种书面和口头工作产品代表客户提起诉讼，包括法律简报和诉讼程序。
	培训、教育和意识	在相关学科领域内进行人员培训。酌情制定，计划，协调，交付和/或评估培训课程，方法和技术。
	网络安全管理	监督信息系统或网络的网络安全计划，包括管理组织内部的信息安全影响，特定计划或其他责任领域，包括战略，人员，基础设施，要求，政策执行，应急计划，安全意识和其他资源。
	战略规划和策略	制定政策和计划和/或倡导改变支持组织网络空间举措或需要改变/增强的政策。
	执行网络领导	监督，管理和/或领导执行网络和网络相关和/或网络运营工作的工作人员。
	计划/项目管理（PMA）和收购	应用数据，信息，流程，组织交互，技能和分析专业知识以及系统，网络和信息交换能力的知识来管理采购项目。执行管理硬件，软件和信息系统采购计划和其他计划管理政策的职责。为采用信息技术（IT）的采购提供直接支持，应用与 IT 相关的法律和政策，并在整个采购生命周期中提供与 IT 相关的指导。
保护和防御	网络防御分析	使用从各种来源收集的防御措施和信息来识别，分析和报告网络中发生或可能发生的事件，以保护信息，信息系统和网络免受威胁。
	网络防御基础设施支持	测试，实施，部署，维护，审查和管理有效管理网络防御服务提供商网络和资源所需的基础架构硬件和软件，监控网络以主动修复未经授权的活动。
	事件响应	应对相关领域内的危机或紧急情况，以缓解直接和潜在的威胁。根据需要使用缓解，准备以及响应和恢复方法，以最大限度地提高生存期，财产保全和信息安全。调查并分析所有相关的响应活动。
	漏洞评估和管理	对威胁和脆弱性进行评估，确定风险可接受水平，并在运营和非运营情况下制定和/或建议适当的缓解对策。
安全分析	威胁分析	识别和评估网络安全罪犯或外国情报机构的能力和活动，产生调查结果以帮助初始化或支持执法和调查或活动。
	开发分析	分析收集到的信息以识别漏洞和潜在的利用。
	全源分析	分析情报社区中多个来源，学科和机构的威胁信息。在情境中合成和放置情报信息；吸取关于可能产生影响的见解。
	目标	应用当前对一个或多个地区，国家，非国家实体和/或技术的了解。
	语言分析	应用语言，文化和技术专业知识来支持信息收集，分析和其他网络安全活动。
收集操作	收集操作	使用适当的策略并在通过收集管理流程确定的优先级内执行收集。
	网络运营计划	执行深入的联合目标和网络安全规划过程。收集信息并制定详细的操作计划和订单支持要求。针对综合信息和网络空间作战的全部业务执行战略和业务层面的规划。
	网络运营	执行活动收集犯罪或情报实体的证据，以缓解可能的或实时的威胁，防止外部共计或内部威胁。
安全调查	网络调查	全面的调查工具和流程应用策略，技巧和程序。
安全调查	数字取证	收集，处理，保存，分析和提供计算机相关证据，以支持网络漏洞缓解和/或犯罪，欺诈或执法调查。

5.3 工作角色

工作角色是网络安全和相关工作中最详细的组合，其中包括以知识，技能和能力形式履行角色所需的属性列表以及在该角色中执行的任务。

类别	领域	工作角色	工作角色描述
安全准备	风险管理	高层领导	高级官员或执行官，有权正式承担在组织运营（包括任务，职能，形象或声誉），组织资产，个人，其他组织和国家可接受的风险水平下运营信息系统的责任
	风险管理	风险管理师	对信息技术（IT）系统内部管理，运营和技术安全控制和增强控制进行独立综合评估，以确定控制的整体有效性
	软件开发	软件开发人员	开发，创建，维护和编写/编码新的（或修改现有的）计算机应用程序，软件或专用实用程序。
	软件开发	安全的软件评估	分析新的或现有的计算机应用程序，软件或专用实用程序的安全性并提供可操作的结果。
	系统架构	系统架构师	开发并维护业务，系统和信息流程以支持企业任务需求;开发描述基线和目标体系结构的信息技术（IT）规则和要求。
	系统架构	安全架构师	确保在企业架构的所有方面（包括参考模型，细分市场和解决方案架构以及支持这些任务和业务流程的最终系统）充分解决保护组织的使命和业务流程所需的利益相关方安全需求。
	技术研发	研究和开发专家	开展软件和系统工程和软件系统研究，开发新功能，确保网络安全完全整合。开展全面的技术研究，以评估网络空间系统的潜在脆弱性。
	系统需求规划	系统需求规划员	咨询客户以评估功能需求并将功能需求转化为技术解决方案。
	测试和评估	系统测试和评估专家	计划，准备并执行系统测试，根据规格和要求评估结果，并分析/报告测试结果
	系统开发	信息系统安全开发者	在整个系统开发生命周期中设计，开发，测试和评估信息系统安全。
	系统开发	系统开发者	在整个系统开发生命周期中设计，开发，测试和评估信息系统。
操作和维护	数据管理	数据库管理员	管理允许安全存储，查询，保护和使用数据的数据库和/或数据管理系统。
	数据管理	数据分析师	检查来自多个不同来源的数据，以提供安全和隐私洞察力。设计并实现用于建模，数据挖掘和研究目的的复杂企业级数据集的自定义算法，工作流程和布局。
	知识管理	知识经理	负责流程和工具的管理和管理，使组织能够识别，记录和访问智力资本和信息内容。
	客户服务和技术支持	技术支持专家	根据既定或批准的组织过程组件,提供硬件和软件技术支持。
	网络服务	网络运营专家	计划，实施和运营网络服务/系统，包括硬件和虚拟环境。
	系统管理	系统管理员	负责设置和维护系统或系统的特定组件（例如，安装，配置和更新硬件和软件;建立和管理用户账户;监督或执行备份和恢复任务;实施操作和技术安全控制;并遵守组织安全政策和程序）。
	系统分析	系统安全分析师	负责分析和开发系统安全的集成，测试，操作和维护。
监督和治理	法律咨询和倡导	网络法律顾问	就网络法相关主题提供法律咨询和建议。
	法律咨询和倡导	隐私官/隐私合规经理	开发和监督隐私合规计划和隐私计划人员，支持隐私和安全管理人员及其团队的隐私合规性，治理/政策和事件响应需求。
	培训，教育和意识	网络教育课程开发者	根据教学需求开发，计划，协调和评估网络培训/教育课程，方法和技术。
	培训，教育和意识	网络教师	开发并开展网络领域内人员的培训或教育。
	网络安全管理	信息系统安全经理	负责项目，组织，系统或飞地的网络安全。
	网络安全管理	通信安全经理	管理组织通信安全资源的个人或加密密钥管理系统的密钥管理员。
	战略规划与政策	网络劳动力开发人员和经理	制定网络空间劳动力计划，战略和指导，以支持网络空间劳动力的人力，人员，培训和教育需求，并解决网络空间政策，原则，物资，部队结构以及教育和培训要求的变化。
	战略规划与政策	网络政策和策略规划	制定和维护网络安全计划，战略和政策，以支持和协调组织网络安全举措和法规遵从。
	行政网络领导力	执行层领导	执行决策权并为组织的网络和网络相关资源和/或运营确定愿景和方向。
		项目经理	领导，协调，沟通，整合，并对项目的整体成功负责，确保与机构或企业优先事项保持一致。
		IT项目经理	直接管理信息技术项目。
		产品支持经理	管理现场所需的一揽子支持功能，并保持系统和组件的准备就绪和运营能力。
		IT计划审计员	对IT计划或其各个组件进行评估，以确定是否符合公布的标准
保护和防御	网络防御分析	网络防御分析师	使用从各种网络防御工具（例如IDS警报，防火墙，网络流量日志）收集的数据来分析其环境中发生的事件，以减轻威胁。
	网络防御基础设施支持	网络防御基础架构支持专家	测试，实施，部署，维护和管理基础架构硬件和软件。
	事件响应	网络防御事件响应者	调查，分析并响应网络环境或飞地内的网络事件。
	漏洞评估和管理	漏洞评估分析师	对网络环境内的系统和网络进行评估，并确定这些系统/网络偏离可接受配置，衡量深度防御架构针对已知漏洞的有效性。
分析	威胁分析	威胁/警告分析师	开发网络指标以保持对高度动态运行环境状态的认识。收集，处理，分析和传播网络威胁/警告评估。
	开发分析	开发分析师	确定通过网络收集和/或准备活动可以满足的访问和收集差距。利用所有授权资源和分析技术来渗透目标网络。
	全源分析	全源分析师	分析来自一个或多个来源的数据/信息，以开展环境准备，响应信息请求，并提交情报收集和生产要求以支持规划和运营。
	全源分析	任务评估专家	制定评估计划和绩效/有效性措施。根据网络活动的要求进行战略和运营效果评估。确定系统是否按预期执行，并为确定运有效性提供输入。
	目标	目标开发者	执行目标系统分析，构建和/或维护电子目标文件夹，以包括来自环境准备和/或内部或外部情报源的输入。与合作伙伴目标活动和情报组织协调，并提出候选目标进行审查和验证。
	目标	目标网络分析师	对收集和开源数据进行高级分析，以确保目标的连续性;分析目标及其活动;并开发获取更多目标信息的技术。根据对目标技术，数字网络及其应用程序的了解，确定目标如何进行通信，移动，操作和生活。
	语言分析	多学科语言分析师	应用具有目标/威胁和技术知识的语言和文化专业知识来处理，分析和/或传播从语言，语音和/或图形资料中获取的情报信息。创建并维护特定语言的数据库和工作辅助工具，以支持网络行动执行并确保关键知识共享。提供外语密集或跨学科项目的主题专业知识。
收集和操作	收集操作	全源收集经理	确定收集当局和环境;将优先信息要求纳入收集管理;开发符合领导意图的概念。确定可用收集资产的能力，确定新的收集能力;并构建和传播收集计划。监控任务收集的执行情况，以确保收集计划的有效执行。
	网络运营规划	全源收集需求管理者	评估收集操作并开发基于效果的收集需求策