某运营者建立网络安全保障体系实践_【黑客与极客】

前言

笔者先前根据我国关键信息基础设施保护的相关政策法律法规标准规范等，从规范性角度，与各位读者分享了关键信息基础设施保护的相关内容今天笔者从实践角度，与大家分享一下某运营者在保护关键信息基础设施方面，是如何建设网络安全保障体系的

一项目背景

某运营者属于关键信息基础设施运营者，业务横跨多个关键信息基础设施行业领域，拥有众多的互联网业务

前期，该运营者已按照网络安全等级保护第三级的要求，开展了网络安全等级保护的定级备案建设测评及安全整改等工作，并按照我国关键信息基础设施保护的相关政策法律法规等要求，做了一些工作，如建立网络安全监测预警与信息通报工作机制

在某次关键信息基础设施网络安全检查工作中，发现该运营者在网络安全方面存在一些突出问题和风险隐患该运营者的多个信息系统承载着大量的经营分析数据，也是外部有组织团体眼中的高价值目标该运营者高层认识到，必须要夯实网络安全基础，建立可应对有组织高强度的网络对抗的关键信息基础设施安全保障体系，才能为公司数字化转型保驾护航，实现高质量发展

二解决思路和方法

该运营者网络安全工作的主要负责人安全管理部门经过认真分析，并听取了某咨询机构的建议后，决定启动提升关键信息基础设施安全防护能力专项行动，并通过以下几个阶段有效并实质提升本单位的网络安全防护能力

（1）网络安全全面健康体检

某运营者抽调资源，组织专业团队对本单位目前存在的网络安全问题和风险隐患进行深入细致的摸排调查，梳理形成详细的网络安全问题或需求清单，作为下一步进行网络安全保障体系规划设计和实施路线图制定的依据

（2）规划设计网络安全保障体系和制定实施路线图

在满足我国关键信息基础设施保护相关政策法律法规标准规范的基础上，借鉴国内外有益的成功的通用实践经验，根据本单位实际情况，明确本单位的安全保障目标，规划设计关键信息基础设施网络安全保障体系，从技术和管理两方面着手设计安全机制和策略，并就存在的网络安全问题提出明确的安全实现方法和措施；制定项目实施路线图

（3）建设网络安全保障体系

采用包括但不限于网络产品或服务采购，安全集成，安全整改加固，安全团队职能调整和团队扩充，安全管理制度制修订等方式，对本单位的现有网络安全防护体系进行优化，建立网络安全保障体系

（4）建立常态化安全运营体系

根据网络安全保障体系的设计要求，对现有的不能满足需要的安全运营活动进行调整，补充新增部分安全运营活动，并就每项安全运营活动制定详细的操作规程，规范安全运营活动在此基础上，开展系列常态化安全运营工作

（5）实战检验网络安全防护能力

网络安全保障体系运行一段时间后，通过多次实战形式检验网络安全防护能力的有效性，并持续改进

三网络安全保障体系实践过程

3.1 网络安全全面健康体检

该运营者的安全管理部门评估认为，考虑到网络安全全面健康体检涉及的工作量较大，涉及部门较多，工作内容复杂且对网络安全的专业素养能力和经验要求较高经该运营者高层决议，成立由网络安全主要负责人牵头，安全管理部门业务和使用部门以及受邀的某咨询机构共同组成联合工作组，共同开展本次网络安全全面健康体检工作

网络安全全面健康体检的主要工作描述如下：

（1）某咨询机构派遣咨询团队到达该运营者现场，在与运营者签订保密协议后，经网络安全主要负责人协调，与安全管理部门，业务和使用部门派出的人员，共同组建成立联合工作组，明确分工安排，并按照约定期限制定工作计划和里程碑节点，随即启动网络安全全面健康体检工作

（2）咨询服务团队经查阅资料访谈实地走访上机查核测试等方式，并采用基于网络安全等级保护制度/ISO27001的合规差距分析，基于动态网络安全风险的识别分析等方法，历时2周，完成对该运营者的资产梳理需求和问题梳理工作

（3）咨询服务团队开始编制调研分析报告，并在编制过程中，就发现遗漏的或者需要进一步补充了解的内容再次进行调研，经充分整理，历时1周，形成某运营者关键信息基础设施网络安全全面健康体检报告（以下简称网络安全全面健康体检报告）

网络安全全面健康体检报告包含本次全面健康体检的背景体检方式方法体检对象，体检发现的网络安全问题和风险隐患详细信息，安全需求详细信息，原始输入信息包括各类资料访谈记录等，编制人时间，版本控制记录等

3.2 规划设计网络安全保障体系和制定实施路线图

咨询服务团队根据国家关键信息基础设施保护的相关政策法律法规标准规范等，借鉴国内外有益的成功的通用实践经验，并结合网络安全全面健康体检分析结果和该运营者的实际情况，设计满足该运营者实际需要的网络安全保障体系，编制形成某运营者关键信息基础设施总体安全规划设计方案（以下简称总体安全规划设计方案）

咨询服务团队为该运营者设计的网络安全保障体系的核心思想是：关键信息基础设施在网络安全等级保护制度的基础上，着眼识别防护检测预警响应处置等环节，围绕安全风险管理，建立网络安全框架，根据该运营者自身具体情况和识别的安全风险，选择应采取的安全技术类和管理类控制措施，确保将安全风险控制在可接受的范围

总体安全规划设计方案详细阐述了运营者的基本情况，网络安全现状，存在的主要问题和风险隐患，网络安全需求，设计思念，设计思路，设计依据，设计原则，包括架构设计网络设计能力设计流程设计接口设计等在内的总体设计内容，针对每一项安全需求提出明确的安全实现方法和措施，配套的安全管理机构调整内容，安全管理制度制修订内容，开展常态化安全运营工作所需要建立或调整的各项活动，保障机制等内容

咨询服务团队就落实和实现相关安全保护措施所需要的经费预算进行评估，并编制形成某运营者关键信息基础设施保护安全建设项目规划文件，经评审通过后，经安全管理部门主管业务和使用部门的主管网络安全主要负责人逐级审批后，正式形成某运营者关键信息基础设施保护安全建设项目规划文件

该运营者的财务部门在年度预算编制时，根据某运营者关键信息基础设施保护安全建设项目规划文件所提出的投资估算，编制下一年度的网络安全预算，并获得该运营者高层审批通过

3.3 建设网络安全保障体系

该运营者根据某运营者关键信息基础设施保护安全建设项目规划文件，通过网络产品和服务比选，招标投标评标决标等程序后，选择某网络安全服务机构承建网络安全保障体系建设

某网络安全服务机构启动供货管理，同时派遣项目实施团队到达该运营者现场，在与运营者签订保密协议后，经网络安全主要负责人协调，与安全管理部门，业务和使用部门派出的人员，咨询服务团队共同组建成立联合工作组，明确分工安排，并按照约定期限制定工作计划和里程碑节点，随即启动项目实施工作

项目实施团队查阅了网络安全全面健康体检报告某运营者关键信息基础设施保护中长期发展规划某运营者关键信息基础设施总体安全规划设计方案某运营者关键信息基础设施保护安全建设项目规划文件等材料，熟悉了基本情况，制定详细实施方案在相关网络产品到场后，开始启动安全集成工作，并严格按照相关工程规范进行实施

本次项目主要实施过程如下：

3.3.1 夯实网络安全基础

在前期网络安全全面健康体检工作的基础上，进一步深入开展资产梳理工作，建立详细资产清单

按照网络安全等级保护第三级要求和ISO27001 信息安全管理体系要求，对现有网络安全防护体系不能满足要求的，优先级较高的部分，上线相应的网络安全产品工具等；对部分安全漏洞基线不合规项等安全问题实施安全加固与整改

3.3.2 优化以网络安全态势感知系统为核心的网络安全运行体系

在已有安全管理平台的基础上，建设基于大数据安全技术的网络安全态势感知系统包括：

（1）采用不限于代理（agent）http/snmp/syslog等协议采集定制化接口等方式采集终端网络设备安全设备数据库中间件应用系统等的资产安全日志运行日志网络全流量等数据

（2）通过统一的接口规范标准和协议，对日志数据流量数据行为数据漏洞数据运行数据信息资产合规测评数据威胁情报以及其他知识信息等网络安全信息资源进行统一汇聚解析泛化等处理，实现对各类数据的统一接入汇聚处理和分析

（3）充分利用已有的安全监测资源，如恶意域名监测网络流量监控等专业安全监测设备，引入高级威胁监测分析系统弥补和改善当前对新型网络攻击检测能力的不足，通过多引擎智能化监测分析，实现对网络安全事件的交叉研判

（4）引入关联分析行为分析情报融合分析溯源分析等多类专业智能化分析引擎以及基础库业务库知识库等信息资源库，开展综合研判分析，快速精准鉴定各类网络攻击，实现对各类网络攻击恶意代码异常及违规行为等的综合研判分析，发现潜在的安全威胁，为安全管理决策提供支撑

（5）整合引入威胁情报数据，为该运营者提供私有化定制化的情报数据，实现威胁情报数据的及时同步，并且支持云端的情报溯源分析，为威胁预警和追踪溯源提供支撑

（6）结合该运营者实际应用场景，打造综合业务管理平台，包括态势管理资产管理漏洞管理威胁管理风险管理通报预警管理联动管理应急管理审批管理等核心功能；设计演练场景，对通报预警事件处置应急响应等主要的核心能力进行实测

3.3.3 调整安全管理机构

在以上工作告一段落后，项目实施团队在某咨询服务机构的指导下，对安全管理部门的岗位设置职责划分等提出具体建议

安全管理机构调整主要围绕以下三方面进行：

（1）根据网络安全等级保护第三级要求以及围绕安全风险管理，确保将安全风险控制在可接受的范围的需要，按照合规管理类岗位以及风控类岗位优化岗位设置

（2）从人员审查人员筛选人员调动人员离职职责分离以及安全意识教育专业技能培训等方面调整安全从业人员的管理工作机制

（3）安全从业人员管理工作机制通过安全管理制度加以明确，为开展安全从业人员管理相关工作提供指导约束和规范

感兴趣的读者可参见浅谈关键信息基础设施运营者专门安全管理机构的组建一文

3.3.4 制修订安全管理制度

以对安全管理活动中的各类管理内容建立安全管理制度为基本原则，围绕该运营者的网络安全保护等级第三级要求，我国关键信息基础设施保护的相关政策法律法规，保护工作部门的监督管理要求，关键信息基础设施各环节各阶段的网络安全活动，风险管理，特定应用场景以及该运营者特殊安全管理需要等方面，建立由安全策略管理制度操作规程记录表单等构成的全面的安全管理制度体系

感兴趣的读者可参见浅谈关键信息基础设施运营者如何制修订安全管理制度一文

3.4 建立常态化安全运营体系

邀请某网络安全服务机构参与该运营者关键信息基础设施的常态化安全保护工作，以弥补该运营者自有安全团队力量的不足

某网络安全服务机构根据某运营者关键信息基础设施保护安全建设项目规划文件某运营者网络安全保障体系建设项目招标文件等文件的要求，结合安全管理制度体系内容和运营者实际情况，协助该运营者的安全管理部门对现有的若干安全运营内容进行了调整，如网络产品和服务采购与使用管理活动安全管理制度维护管理活动等，新增若干项安全运营活动，如安全风险管理活动安全运维规范管理活动检测评估管理网络产品和服务采购与使用管理活动等

某网络安全服务机构协助该运营者的安全管理部门对每一项安全运营活动的目标操作规程风险的规避措施以及持续改进的策略方法和内容等进行了规范

某网络安全服务机构和该运营者的安全管理部门共同组建形成了该运营者的安全保障团队，协同开展安全运营工作

3.5 实战检验网络安全防护能力

该运营者多次组织不同网络安全团队以攻防对抗形式检验网络安全防护的有效性，同时，邀请专业背景和技能的个人对的网络安全防护能力进行众测经多次实战检验，该运营者的网络安全防护体系已能应对复杂高强度网络攻击

四效果评价和经验总结

网络安全保障体系建立并运行一段时间后，结果表明：通过这次实践，取得以下效果：

（1）摸清家底，建立起了资产全生命周期管理工作机制；

（2）网络安全全面健康体检发现的若干网络安全问题和风险隐患基本解决，夯实了网络安全地基；

（3）以网络安全态势感知系统为核心的网络安全保障体系对动态网络安全风险的识别分析处置能力显著增强；

（4）调整岗位设置和职责划分后的安全管理团队运作顺畅，网络安全战斗力增强；

（5）安全管理制度很好的指导规范和约束对每一项网络安全活动的开展；

（6）常态化安全运营工作有序开展，建立起了网络安全风险管理计划和持续改进的方法策略和机制

经过本次网络安全保障体系实践，该运营者认识到，保护关键信息基础设施安全，首先必须夯实网络安全基础，其次围绕安全风险管理，根据该运营者自身具体情况和识别的安全风险，选择应采取的安全技术类和管理类控制措施，确保将安全风险控制在可接受的范围；最后通过主动持续改进，保持网络安全防护体系的有效性，并通过实战演练测试等方式不定期检验网络安全防护能力