xx安全运营中心规划与设计方案

1安全运营中心设计与规划方案1.1安全运营体系设计方案1.1.1安全运营框架设计设计背景1.1.1.1中国xx集团信息技术有限公司（以下简称“信息公司”）是由国家电力投资集团公司（以下简称“中国xx集团”）按照国家对中央企业信息化建设的总体要求，根据中国xx集团信息化建设的实际需要出资成立的全资子公司。信息公司是中国xx集团推进信息化的技术支持机构和专业服务机构，负责中国xx集团和各二级单位信息系统的实施、推广，信息系统的安全管理和运维工作，承担中国xx集团信息化方面投资管理、外包业务管理等工作，落实中国xx集团信息化建设规划和年度工作任务。随着信息技术的飞速发展和外部威胁环境日益严重，中国xx集团对网络安全工作开展的稳定性和秩序性需求日益增加，希望通过构建持续安全运营体系，打造安全运营能力，实现对集团总部及数据中心信息内外网深度安全监测预警，提升动态防御、主动防御水平，到2020年形成与中国xx集团国际一流综合能源企业相匹配安全运营能力。设计依据1.1.1.2本次设计主要参考以下外部合规要求。序号法律、发文、标准内容依据1、《网络安全法》第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：2（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；第三十四条：除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；2、《党委（党组）网络安全工作责任制实施办法》中共中央办公厅印发《党委（党组）网络安全工作责任制实施办法》明确各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人，进一步落实网络安全的组织保障。3、《等级保护2.0》安全管理机构：应成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。应设立网络安全管理工作的职能部门，设立安全主管、安全管理各个方面的负责人岗位，并定义各负责人的职责。应设立系统管理员、审计管理员和安全管理员等岗位，并定义部门各个工作岗位的职责。4、中央企业商业秘密安全保护技术指引保密〔2015〕3号各中央企业保密委员会是商业秘密保护工作的管理机构，负责贯彻有关法律、法规和规章，落实上级主管单位的工作要求，研究决定企业商业秘密保护工作的相关事项。各中央企业保密办公室作为本企业保密委员会的日常工作机构，应当配备专职工作人员，负责商业秘密安全保护管理及商业秘密信息系统安全技术防护的指导监督工作。5、关键信息基础设施安全保护条例（征求意见稿）第四章第二十二条运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。6、GB/T22080网络安最高管理层应确保与网络安全相关角色的责任和权限得3全管理体系要求ISO27001到分配和沟通。最高管理层应分配责任和权限以A确保网络安全管理体系符合本标准的要求，B向最高管理者报告网络安全管理体系绩效运营体系设计工作方法1.1.1.3网神公司根据多年的经验积累，以及对国家等保、ISO27001的深入理解，采用体系化咨询的思路进行xx集团的安全运营体系建设进行安全咨询。设计工作包括需求调研、体系框架设计、体系建设实施规划和落地实施。规划需求调研包括现状与安全需求调研、管理域识别与风险评估，体系框架设计包括组织体系设计、制度体系设计、流程体系设计和技术体系设计，体系建设规划包括规划需求分析、体系建设蓝图、行动路线设计，成果推广包括项目试点。－规划需求调研是安全运营规划的起点，通过对xx集团的信息资产进行评估，结合国际标准、等保标准，进行现状调研，识别安全活动及安全需求，得出组织面临的风险，形成规划安全需求。－安全运营框架设计，依据信息安全需求，进行需求分析，结合ASA自适应模型、等保2.0标准和行业最佳实践形成符合xx集团的安全运营体系框架，在框架下对组织体系、制度体系、流程体系进行详细设计。组织体系建设帮助xx集团建立或完善信息安全组织体系及各级组织间的工作职责，以及相应岗位和员工安全工作的流程。制度体系建设是建立xx集团的安全策略，根据策略建立组织的管理制度、标准规范、操作细则等。运营流程体系建设为了确保xx集团业务的正常开展，而对通信网络、计算环境、区域边界、基础设施等进行流程保障，确保后续信息安全工作流程标准化和指导性。－体系建设规划是为了明确安全运营建设方向和步骤，设计建设实施蓝图。体系建设蓝图，对实施任务从紧迫性、可实施性等评价任务优先级，依据项目之间的关联性形成体系实施蓝图。行动路线设计，设计安全运营三年行动计划。4－成果推广是为了传递项目成果，验证安全运营规划成果的落地性和路线图的适配度。总体运营架构1.1.1.4整体安全运营服务架构包括“服务对象”、“运营服务”、“服务方式”、“平台工具”、“数据来源”，全面覆盖中国xx集团的网络安全工作。本次项目以“构建持续安全运营体系，打造安全运营能力，实现对集团总部及数据中心信息内外网深度安全监测预警，提升动态防御、主动防御水平”为目标。安全运营服务是面向集团总部、数据中心和二三级试点单位的的信息化资产，包括网络、信息化基础设施、信息系统、终端技术设备、数据等资产。安全运营服务内容包括对网络安全资产台账进行持续治理服务，并通过全流量威胁及风险感知服务对资产进行持续监控，对资产全漏洞和风险实施全流程管理，并对网络安全事件进行及时预警等。安全运营服务方式采用远程为主，现场为辅的两种监控方式，运营分析人员在现场对平台安全状态进行监控，对威胁告警进行分析，及时发现安全威胁风险，并采取必要措施。二线和三线采用灵活支撑的方式。态势感知与安全运营平台是开展各项监控服务的基础，对资产、漏洞、威胁事件的管理的主要抓手，平台各组件则实现对流量、资产、日志等信息的采集。5通过平台的大数据分析能力对采集数据以及外部威胁情报、漏洞预警信息进行关联分析，可以确保安全威胁感知全面准确。1.1.2安全运营服务编排安全运营服务体系的建设，需要多个服务项予以支撑，服务项可划分为基础服务、增值服务、专项服务三部分，基于运营服务是支撑安全运营日常工作的主要形式，是增值服务和专项服务的基础。基础服务清单1.1.2.1基础运营服务包括资产管理、漏洞管理、威胁分析、预警通知等服务内容，通过基础运营服务可帮助用户掌握自身的资产情况，及时发现面临的内外部威胁风险等，提高自身的安全体系健壮性。1.资产管理（1）资产信息梳理一线运营人员对xx集团的各类资产进行梳理，识别资产属性，进行资产应用识别、资产攻击面分析、资产变更管理，结合运营人员监控分析结果及时发现资产异常连接，发现脆弱性资产。梳理内外网的主机设备、办公终端、网络设备、安全设备、应用系统等资产信息，梳理基础网络拓扑信息，协助xx集团建立完整的资产档案信息，维护资产分类和资产属性，能够从组织架构、地理位置、业务分组等不同纬度进行资产的维护和管理。针对不同的资产类别，有针对性的梳理资产的关键信息，保证资产信息的良好的可用性，具体梳理资产范围包括但不限于资产类型、WEB应用类型、中间件、开发语言、开放服务及互联网开放端口等信息。（a）主机类资产：IP、开放端口、中间件及版本（如：Apache、Tomcat、WebLogic、Nginx）、数据库及版本（如：PostgreSQL、MySQL、SQLServer、Oracle）、承载业务、开发语言（如：Java、PHP）、操作系统（Windows、Linux）、安全域（如：开放区、核心区、隔离区）、是否面向互联网、责任人及部门等信息。（b）网络设备类资产：IP、厂商、设备类型（如：VPN、负载、代理服务器、6路由器、交换机）、型号、版本、负责人及部门等信息。（c）安全设备类资产：IP、厂商、设备类型（如：IDS、IPS、AV、UTM、WAF）、型号、版本、责任人及部门。（d）工作主机类资产：IP、使用操作系统及版本、设备类型（终端、工作站等）、型号、责任人、责任人部门。（2）攻击面分析从攻防的角度来讲，梳理基础资产、访问控制策略、数据接口，可以有效管理用户的资产受攻击面，结合资产属性，资产应用识别等信息，进行资产攻击面分析、资产变更分析、资产异常连接分析，感知资产异常行为，防患于未然。资产关键信息识别以及分析内容包括：资产类型、开放服务及端口识别资产Web应用识别资产Web中间件识别资产Web业务类型识别资产Web开发语言识别资产应用绑定域名识别(违规上线)资产外联分析资产服务状态变更监测资产端口状态变更监测资产脆弱性服务检测资产间异常连接分析2.漏洞闭环管理通常情况下安全漏洞修复是一个缓慢的过程，用户的安全建设有其特殊性，不可能像传统企业一样能够承受较长的漏洞修复周期，安全漏洞利用的风险是从补丁发布到补丁修复期间的窗口期，攻击者往往利用这个时间发起攻击，因此对于如何快速有效推进漏洞和补丁的管理，消除已知漏洞，发现新的漏洞是对用户的一个挑战。我司在漏洞闭环管理服务方案方面经过多年实践验证总结一套切实可行的办法，在漏洞管理过程中综合考虑漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响等因素，并通过漏洞预警的方式来驱动漏7洞管理，结合可视化的手段，可实时掌握漏洞修复的具体情况。漏洞管理过程中严格按照制定对漏洞与安全补丁的管理的服务方案，明确漏洞和补丁的管理职责，明确漏洞消缺的流程，制定相应的管理办法和漏洞工作规范及报告等。依托我司国内领先的漏洞库，通过对用户的主机操作系统、中间件、数据库、安全设备、WEB应用等进行安全扫描服务，发现未修复的漏洞，并提供漏洞修复建议，提前采取补救措施，或者做好应急预案，实现漏洞闭环管理，帮助用户发现、分析、协助解决资产面临的脆弱性风险，消除未知风险。漏洞全过程管理主要包括漏洞预警、资产发现、漏洞检测和利用、漏洞修复、漏洞验证等环节，来实现漏洞的闭环管理，流程图如下：图1漏洞全过程管理（1）漏洞预警预测收集互联网事件、安全厂商设备漏洞以及重大系统补丁等信息，对互联网出现的最新漏洞利用、攻击行为等提出安全预警，并对集团内部下发相关预警通报文件，执行资产脆弱性排查、威胁事件分析等协同手段。定期对安全防护系统开展安全基线检查(技术支撑管理)和安全漏洞检查，编制安全加固和整改方案。建立漏洞预警及安全基线，多维度风险预警分析，根据外部漏洞威胁情况优化和调整安全策略，记录漏洞细节、影响资产、修复方案，帮助解决面对大量漏洞报告时如何决定修复优先级，建立安全基线。8通过情报驱动的漏洞闭环管理，从漏洞披露直到漏洞修补完成并确认的全过程漏洞管理，量化跟踪和分析流程执行情况，促进管理流程持续优化。预警通告信息的主要来源为：安全机构：安全机构会对一些影响特别大的安全事件进行通告；安全组织和安全公司：通过其网站获取最新的安全漏洞信息以及相关解决方案。（2）发现资产脆弱性资产脆弱性管理结合漏洞扫描结果和安全配置核查对资产脆弱性进行管理，通过监控平台的报告导入，资产富化，数据归并等功能及时发现网络环境中的脆弱性资产，消除安全隐患。（3）漏洞检测漏洞扫描是发现漏洞的主要手段，网络中重要的主机系统、网络设备都会出现安全漏洞，漏洞的存在会影响着网络的安全性，如果不对其发现和处置，则会成为潜在的安全风险。运营人员利用系统提供了漏洞管理模块，实现对重要主机系统和网络设备漏洞信息的收集和管理。一是漏洞扫描器联动，运营人员可对漏扫引擎进行集中管理，并对漏洞扫描引擎下发扫描任务，收集漏洞扫描结果，具备主动漏洞检测能力，并支持周期性任务模式，建立完整的持续监控手段；二是三方报告导入，运营人员可协助客户导入第三方的扫描结果，提供主流厂家漏洞扫描结果的导入；三是漏洞处置闭环，运营人员可帮助