网络安全运营能力建设思路（一） – 作者:oneeleven-安全小百科

一、安全运营能力建设的意义

安全运营成为网络运营者持续不断思考、优化的命题与活动。安全运营是一系列规则、技术和应用的集合，用以保障组织核心业务平稳运行的相关活动；是通过灵活、动态的实施控制以期达到组织和业务需要的整体范围可持续性正常运行。安全运营需要明确安全运营的目标，从系统性、动态性、实战性的角度加强认识。

系统性

一是组织业务自身的系统性和完整性，二是针对防护体系的系统性和完整性。安全运营需要将构成业务系统完整运行的各个要素看成一个整体，防护体系的构建能够完整、有效的梳理并覆盖安全风险，不因遗落或木桶原理造成整体性影响。

动态性

IT技术的飞速发展使得网络攻击和防护水平能力不断提升，安全运营需要在不断迭代中提升管理和技术防护能力。同时，组织面临的网络安全风险层出不穷，除传统的外部攻击威胁，地下黑产驱动的漏洞利用，内部员工主动恶意行为都将导致组织业务系统的防护手段和方法要与时俱进，更是需要安全运营更加具有针对性，并及时调整工作流程和行为规范。

实战性

网络攻击具有突发性、隐蔽性、潜伏性、持续性等特点，安全运营也需要保证良好的网络安全攻防状态，有应对经验和攻防能力储备。安全运营团队不断进行深人思考与刻意练习，始终保持良好的预警监测、分析研判、处置总结的能力。

因此，网络安全运营能力建设通应坚持“事先防范、事中控制、事后处置”的理念，以安全治理为核心、风险态势为导向、安全合规为基础，结合组织基础安全能力，在人、技术、过程层面不断完善组织网络安全体系，满足安全运营的系统性、动态性和实战性的需求，不断提升组织安全防御能力。

二、安全运营能力建设的驱动力

2.1 合规层面

2017年6月正式出台《中华人民共和国网络安全法》，标志着网络安全工作已上升到国家层面，《中华人民共和国网络安全法》第一章第五条规定“采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序”。第五章“监测预警与应急处置”则将监测预警机制提到了一个全新的高度，要求各行业和各领域均建立完善的网络安全监测预警机。

2019年12月1日《信息安全技术网络安全等级保护》正式实施，宣告等级保护进入2.0时代。等级保护2.0提出网络安全战略规划目标，定级对象从传统的信息系统扩展到网络基础设施、信息系统、大数据、云计算平台、工业控制系统、物联网系统、采用移动互联技术的信息系统；网络安全综合防御体系包含安全技术体系、安全管理体系、风险管理体系、网络信任体系；覆盖全流程机制能力措施包括组织管理、机制建设、安全规划、安全监测、通告预警、应急处置、态势感知、能力建设、技术检测、安全可控、队伍建设、教育培训、经费保障。

2.2 业务层面

随着组织的信息化程度不断加深，IT系统的复杂度与开放度随之提升，以人工智能、大数据、云计算、边缘计算等基础的新技术带来组织业务发展的新模式，对传统的网络安全模型带来了巨大的挑战。人工智能与大数据对组织的运作基础起到了颠覆性的作用，组织以往的运营模式进入了依赖大量非结构化数据和无关数据的机器学习和深度学习建立模型的人工智能模式；而云计算和边缘计算使组织从传统的自建机房建设模式下的计算基础设施转换为集约化运营的云端以及业务成为可能，从新技术对网络安全影响的角度分析，呈现出无边界、零信任、不对称的趋势，对网络安全提出了重大的挑战。

无边界

网络安全首先希望的都是把敌人拒之门外，网络安全体系一个关键的理念就像中国建设的长城和欧洲的马奇诺防线，无论从物理还是逻辑都是边界保护。但在目前的云计算、物联网、移动互联网技术演进带来的业务发展来看，这个边界的定义，面对前所未有的挑战。组织的IT系统依存的基础设施，物理环境从传统的自建，到公共IDC的租赁，硬件基础设施从传统的服务器、网络设备、存储到私有云建设，进一步延伸到公有云以及混合云的架构，IT系统从原来的业务功能模块化架构逐渐过渡到互联网企业的解决方案，把庞大笨重的业务功能模式架构拆解成无边界公共服务组合的业务模组，带来的不仅是建模、实施的复杂度，由于服务和运营可能是以应用即服务的云计算模式，IT系统的边界也已经跨越了传统意义上的边界。

零信任

对安全而言，另外一个绕不过去的核心概念是信任，而诸多安全机构的调研证明，内部风险往往是网络安全的核心问题。传统意义的信任包括人员的信任，如何识别内部人员的身份、角色与权限，另一个关键问题是外包模式带来的信任问题，包括在供应链管理，合作伙伴管理基础上带来的人员信任问题，这些场景中，不仅在于身份的识别与认证，还包括合格性的检查和监督管理。在信任的概念上，容易被忽视的是信息化系统的相关组件。在信息化系统开发、部署、实施过程中，除了购买商用的套件之外，组织为了满足高速的发展以及差异化带来的定制化需求，越来越多的采用第三方的开源软件，引入第三方的代码库，采用第三方的公共服务，而这些第三方的软件、组件、代码和公共服务的身份、权限往往可以访问组织的核心系统和核心资源，缺少信任机制的验证和监控，会带来重大的安全问题。数据同样是信任体系中不能被忽视的关键环节，在云计算、大数据、物联网、移动互联网背景下的数据，来源复杂，结构多样，如何确认数据的来源可靠，采集、传输、存储完整，可以信任是一个绕不过的问题。因此，在人员、设备、应用、接口、数据层面，在复杂的组织场景中，要以零信任作为网络信息安全的起点。

不对称

组织面对的攻击场景中，也不再是传统意义的无差别攻击，而是具有针对性的、长期持久的APT攻击和精准打击，无论出于何种目的，组织一旦被作为攻击对象，就会面临巨大的攻防不对称性。黑客攻击的漏洞挖掘，0day漏洞，黑客武器库，高精尖的攻击模式和攻击手段，对组织全方位的攻击，而组织出于投入产出比的原因，网络安全保障体系的建设投入资源不是无限的，这种攻防角度的不对称性，是组织网络安全体系不得不面对的现实情况。