一.网络安全综合管理服务定义
(一)发展现状
随着网络安全产业的不断发展及网络安全技术的不断进步,安全即服务的理念不断深入人心,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》这些国家基本法律均对网络安全服务提出过具体要求,如《中华人民共和国个人信息保护法》明确提出要推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。除此之外,关基条例、高质量发展行动计划、等保等也提出对于网络安全综合服务能力和从事该活动机构的运营者的具体要求。网络安全服务是大安全观下保障持续安全状态能力的有效手段,党的二十大报告明确提出:以新安全格局保障新发展格局,作为大安全观下细分的网络安全服务踩在时代的节点上,我国网络安全市场虽然近几年在创新性上有所突破但多数仍停留在“产品+服务”层面,与国外网络安全服有较大差距。
(二)服务演进
根据国家最新技术标准,网络安全综合服务是针对客户网络系统全生命周期来开展的开发安全、安全规划设计、安全测试、安全部署、安全运维及安全运营等专业服务,通过专业的安全人才、优质的安全服务工具、标准化的管理体系和流程,以保障网络系统全生命周期安全为目的,帮助客户实现业务的安全性与可持续性,实现安全能力集约化、安全决策科学化、安全运营数字化、安全治理现代化。
网络安全综合服务践行着“从经验主义—实用主义—创新主义的演进过程”,整体实现“从传统服务模式—平台增值模式—智能学习模式”三个阶段的转变,从三个方面进行了服务提升:
(1)对安全能力,特别是能力赋能的提升。
(2)对切实安全和降本增效的要求提升。
(3)对可视可感、可量化、可评估、可分析的提升。
具体的演进路径体现为“通用安全服务(如安全运营、安全咨询、安全实战、安全培训、安全集成等)——细化落地的行业安全服务(如运营商的双新评估、等级保护咨询、商用密码评估等)——新兴安全服务(如针对供应链安全、车联网和云安全服务等)”。
(三)定义和标准
网络安全综合管理服务制定一系列综合的安全管理和保护措施的服务,为用户提供的相关网络保障、人员、体系或标准服务。它涵盖了多个方面的安全领域,使用户可以获得全面、系统化的网络安全保护,提高网络系统的安全性和稳定性,减少安全事件的发生,并降低损失。
(1)威胁情报和风险评估:综合管理服务提供对当前威胁情报的及时收集、分析和评估,帮助单位了解当前的安全威胁,并制定相应的应对措施。
(2)安全策略规划与制定:综合管理服务根据单位的风险情况和特定需求,制定一套适合的安全策略和制度,确保网络系统和数据的安全。
(3)安全设备和技术部署:综合管理服务负责配置、部署和管理各种网络安全设备和技术,例如防火墙、入侵检测系统、蜜罐等,以保护单位网络免受攻击。
(4)事件监测与响应:综合管理服务提供7*24小时的实时监测,及时发现和响应安全事件,迅速采取措施进行应急响应和修复,防止恶意行为对单位造成损害。
(5)安全培训和意识提升:综合管理服务通常提供分别针对单位员工、技术人员的安全培训和意识提升活动,提高员工对网络安全的认识和敏感性,减少人为失误带来的安全风险。
二、网络安全综合管理服务新要素
(一)新应用场景
网络安全发展的初始阶段仅是满足基线要求和符合性要求。一般通过采购软硬件安全设备来保障。随着网络安全事件频发,安全形势日益严峻,云计算、大数据、物联网等新技术正带来IT架构颠覆式的变革,传统的网络安全服务远不能满足需求,客户对网络安全的聚焦点也在发生迁移,网络安全服务内容也相应更为丰富。一方面随着新的政策与法律的不断出台与更新,传统的网络安全服务不断演变催生出新兴的安全服务,例如安全开发管控、攻防演练中的红队及蓝队服务、应急演练服务、网络资产测绘、威胁情报服务等;另一方面随着新技术的出现,网络安全服务向新兴应用场景进行拓展,例如、区块链安全评估、安全云SaaS服务、物联网安全威胁分析、工业互联网一站式安全服务、5G应用安全评估、智慧城市安全运营服务、车联网安全评估、数据安全风险评估等;带来了很多新的安全服务的方向和新的安全服务商业模式,例如网络安全保险等。
(二)实现要素
网络安全服务的实现要素主要包括服务人才、服务工具以及服务流程。其中,服务人才在服务流程的驱动下,使用服务工具协助客户构建整体联动的主动安全防御体系,围绕业务活动场景,实现安全监测、预警、分析、响应的运营管理闭环,有效抵御内外部威胁,保障业务安全、稳定地运行。
(1)体系化人才培养、选拔和使用机制
要进一步推动网络安全事业发展的关键在于加快网络安全运营人才的培养,让安全运营人才真正成为网络安全的核心驱动力量。作为安全综合管理服务的关键构建要素,安全综合管理服务人才梯队建设显得尤为重要。为了顺应安全服务数据化、智能化、自动化、集约化、实战化、闭环化的发展新趋势,从容应对多云、混合云、大数据、边缘计算、数字孪生、AI智能化等场景,安全综合管理服务必须配备具有不同专业安全能力的人才,和科学、高效、合理的人才梯队架构,才能持续有效地提供安全综合管理服务。网络安全服务应当以“人”为核心,通过建立网络信息安全服务人才体系对于考核评估人才水平、发挥人才价值、规划人才培养具有重要参考价值。
根据安全综合管理服务对建设、改进、处置、防御、优化、突破、赋能、情报、管理多个能力域的要求,安全服务必须配备具有匹配各个能力域的专业安全人才,才能实现人才、流程和工具的有机联动,保障安全综合管理服务的效率和质量。
(2)专业化的平台和工具
安全服务工具能够打破安全服务边际成本高的壁垒,提高安全服务业务的效率;能够成为知识数据的节点,为安全服务的运营及人才培养提供更好的支撑点;能够将安全服务及产品进一步的拉通,创造更大的价值。根据安全服务的发展趋势,服务工具应以安全综合管理服务和人才梯队的需求为导向,以大数据架构为底层,利用关联分析、流检测、威胁情报、UEBA、机器学习、AI建模、资产画像等创新技术为安全综合管理服务提供支撑,构建数据化、智能化、自动化、集约化、实战化、闭环化的服务工具。安全服务工具是在网络安全服务中采用的工具及平台,按照咨询/评估、开发/建设、防御/分析、运营/管理、应急/处置、改进/优化六个类型可以分为不同功能的服务工具,这其中包括在态势感知平台、攻防演练中台、攻击协同平台、安全开发管控平台、安全测试社区化平台等各种类型的工具及平台。
(3)标准化的服务流程
安全综合管理服务面向多用户、大数据量、异构数据的复杂网络环境,要保障安全综合管理服务人才梯队在如此环境中的高效工作效率和服务水平,必须设计一套整体化、标准化、合理化的服务流程,以适配人才梯队的管理要求。同时安全服务需要进行精细化管理,保证高质量完成交付时也能快速复制赋能传递。
流程主要包含资产管理流程、SDL咨询流程、合规咨询流程、安全规划流程等建设类流程;应急响应流程、应急取证流程、网络案件响应等响应处置类流程;威胁狩猎流程、安全运维流程、日志分析流程、安全值守流程、攻击溯源流程、威胁情报分析流程、国家级网络安保流程等防御类流程;安全意识培训流程、安全技能培训流程、安全管理咨询流程、安全开发流程、情报管理流程等赋能类流程;安全运营体系建设咨询流程、安全运营管理流程、高级安全顾问服务、红蓝对抗演练服务、风险评估服务、咨询管理服务等管理及运营类流程;红队测试流程、可信众测流程、漏洞扫描流程、渗透测试流程、安全巡检流程、基线检查流程、物联网安全测试流程、远程安全评估流程等优化改进类流程。
三、网络安全综合管理服务的实施步骤
(一)评估和规划:通过与单位客户深入沟通、网络环境调研等,评估其网络环境和风险,并制定一个适合其需求的综合管理计划。这可能涉及到对现有安全措施的审查、安全漏洞评估和弱点分析。
(二)安全策略和策略制定:根据客户的需求,网络安全供应商将帮助制定适当的安全策略,并确保该策略与客户的业务目标和法规要求一致。这可能包括制定网络访问控制策略、数据保护策略和安全意识培训等。
(三)实施和配置安全解决方案:网络安全供应商将配置和部署各种安全解决方案,以保护客户的网络和系统。这可能涉及设备和软件的安装、配置和优化,如防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)和安全信息和事件管理系统(SIEM)等。
(四)监测和响应:网络安全供应商将提供7*24实时监测和响应服务,以及安全事件的管理和处理。
(五)定期评估和改进:定期评估客户的安全状况,并提供报告和建议以改进安全性。这包括进行安全演练和渗透测试,发现新的安全漏洞,并制定改进计划。
四、网络安全综合管理服务的实操案例
(一)xxx集团网络资产测绘服务案例
1、问题
项目根据行业监管以及政策法规要求,结合xxx集团当前自身资产管理的不足,且面临着特殊时期针对资产排查的需求,需要对内外网所有资产信息进行采集、确保所有资产能够在有效的管辖范围,不因管理不当造成系统被攻击的情况。
2、方案
资产测试与风险管理
3、成效
提供了内外网资质测绘服务,包括资产探测报告、资产状态监控、安全漏描报告、域名资产列表、主机资产列表等,全面的资产台账信息和资产漏洞展示,资产动态管理和风险级别展示。通过本次服务大大降低了集团运维成本,SaaS化方式实现了零部署、零运维;全面掌握资产底数、明确了网络资产监管范围,消除监管死角和盲区;实时跟踪资产动态,及时发现未经审批的资产带来的风险;建立集团的网络资产基础信息库,实现可落地的预警与风险整改督促等,大大降低了集团资产的风险管理难度。
(二)xxx银行大数据安全态势感知服务案例
1、问题
目前xxx银行对互联网安全监测方面的建设比较薄弱,缺乏有效可行的安防技术,安全风险的认识或防控,都集中在基础的技术手段之中。无法针对多个安全事件联动分析,难以追踪溯源和无法整体评估系统的安全状况。
2、方案
在本地部署大数据安全态势感知平台,同时部署相应的数据采集探针,包括流量采集探针、日志采集探针等,对办公区、测试区、生产网边界进行部署,全方位采集;根据xxx行当前需求进行策略优化,提供驻场安全专家服务,对整个网络系统安全态势进行实时监测。
3、成效
通过对大数据安全态势感知平台的建设及时发现大规模网络安全事件,避免网络安全事件带来损失;满足银行监管部门的监管及《网络安全法》要求;为安全运维人员提高可靠的数据保障,提高工作效率;提供多维度多源数据关联分析,上下文回溯分析,为传统的安全设备提供很好的补充。
(三)xxx局云安全管控服务案例
1、问题
XXX局作为数据管理的专职机构,承担着对各部局、各事业单位的数据资源共享任务,已经基于阿里云、华为云、华三、浪潮建成自己的云资源池,但面向不同云平台的日常管理已经严重影响大数据管理中心的运营效率,需要实现多个云上的统一运营管理。
2、方案
搭建管理平台,对已经纳管的各类云平台中的云资源进行可视化的全生命周期管理,云主机监控体检与成本优化,享受全新的多云运维体验,实现多云纳管、混合式的集中化多云管理。
3、成效
通过多云管理平台的建设,管理员能实时感知主机健康状态,明晰云资源的费用支出结构,实现对多云平台的可视化监管,同时满足多云运维方面的安全管控,提升云资源运维效率,为政府数据资源共享安全管理保驾护航。
(四)xxx银行威胁情报服务案例
1、问题
随着威胁态势向专业化、组织化、隐蔽化、服务化转变,对应的网络安全攻击和风险也呈现出专业化、定向性。xxx行虽然依托于行业情报信息以及自身的安全风险管控知识库,管理当前网络系统降低安全风险,但针对国内外最新的攻击手法、漏洞信息等无法第一时间获取,以及在日常的安全运维过程中针对异常ip无法进行有效识别是否为攻击地址,
2、方案
建立自己的威胁情报查询和知识库。威胁情报资讯和查询实施步骤包括:1、用户订阅威胁情报服务,定期收到关于自身或行业的安全情报信息;2、用户提交情报查询请求,由商务进行对接,开通查询账号后,可自主进行情报信息的云查询。
威胁情报查询和处置流程
3、成效
本项目向xxx行交付成果包括:定期的情报分析报告、情报查询的账号。通过定期推送针对金融行业及针对银行的威胁情报,使得xxx行可以在第一时间了解或知晓针对自身的网络系统是否存在相应的安全风险或漏洞,针对攻击行为和漏洞特性第一时间做出应对措施,保障网络系统的安全性。其次提供情报查询服务可快速分析和定位异常ip或攻击ip,对其进行溯源,确定真正的攻击来源。
(五)xxx集团网络安全服务案例
1、问题
随着威胁态势向专业化、组织化、隐蔽化、服务化的转变以及国内网络安全攻防演练的常态化发展,xxx集团在人员紧张,网络系统安全防护措施未十分健全的情况下,无法面对有组织、针对性的攻击行为。
2、方案
对网络系统安全措施的现状、安全需求等调研;进行资产梳理、业务流程梳理、安全风险评估、安全需求分析等;开展管理流程建设规划、防御体系技术建设规划、团队建设规划等;落实安全运营服务方案运行阶段:开展安全架构加固、应急演练、暴露面监测、防御强化、实时监测、应急处置等;进行人员培训赋能、定期工作复盘、攻防对抗演习等。
安全防护系统和服务实施流程
3、成效
本次项目成果形成了服务、人员、技术、流程相结合的整体防御体系,为xxx集团提供安全专项检查服务、网络安全攻防演练服务、安全产品部署服务、制度流程梳理服务、安全监测和值守服务等。在特殊时间节点内提供持续的监测和应急处置,保障整体的网络系统的安全性。
为集团实现动态且闭环的风险管理机制,包括事前识别与降低、事中监控与发现、事后响应与溯源。协助集团实现对异常行为及风险的实时监测,对全网网络安全态势的实时把控,有效抵御了来自特定组织的攻击行为且对攻击进行反制,成功获取攻击者指纹信息,为集团后续的安全防守成绩增彩,为集团在行业内的整体表现提供了有力的支撑。
最后再次感谢杭州安恒信息技术有限公司、昆明安恒时代信息科技有限公司的大力支持!