安全运营是一个持续的过程,需要不断地评估风险、监测威胁、改进措施和更新策略,以确保组织的安全性和可靠性。由人员、数据、平台(工具)、流程的共同组合构成安全运营体系。
一、安全运营团队目标
安全运营团队是具有日常安全运营及实战化攻防对抗能力的专职安全团队,依托安全运营中心平台,有效使用各项安全工具,以标准化的作业流程驱动,开展各项安全运营活动,实现安全工作持续、主动、精细化、标准化的过程管理,通过持续有效的安全运营活动满足合规要求、降低网络安全风险、保障企业网络安全。
二、团队人员组织架构
三、运营团队职责分工
序号 | 运营工作内容 | 运营工作子项 | 频率 | 所属分组 | 相关职责 | 备注 |
1 | 安全资产识别与梳理 | 安全资产发现和识别 | 按需 | 安全资产管理 | 对已有安全资产和新增安全资产进行管理维护,协调督促业务部门安全资产责任人进行资产数据上报、agent安装。定期对异常资产、未纳管安全资产等进行通报督促整改。 | 常态化 |
安全资产信息梳理与管理 | ||||||
2 | 安全资产脆弱性管理 | 安全资产脆弱性识别与管理 | 对安全资产的脆弱性进行定期的识别,发布存在有脆弱性风险通知到安全资产责任人,督促整改,对脆弱性问题跟踪确认。 | |||
3 | 威胁监测 | 威胁监测 | 按需 | 监测研判 |
1.对安全监测平台进行日常的监测运营工作,形成相关交付物。(运营日报、周报、月报等) 2.对监测过程中发现的安全告警进行初步筛选,排查是否误报,对非误报告警进行安全级别判断,对判断后的安全告警进行安全事件的升级,并进行专人的研判分析。 3.对分析后重要安全事件,进行处置组递交沟通,提供事件分析报告。并对处置执行组反馈的处置情况进行复验审核工作。 |
常态化 |
威胁分析与通告 | ||||||
持续攻击对抗 | ||||||
事件分析与处置 | ||||||
应急响应 | ||||||
安全运营可视化 | ||||||
4 | 人工研判 | 安全事件人工研判 | ||||
定期安全运营汇报 | ||||||
5 | 安全问题处置 | 安全事件处置 | 按需 | 处置执行 |
1.对研判后的安全事件进行处置操作,负责协调相关业务部门及安全资产归属单位,对网络及安全策略进行调整优化控制(含平台策略优化)。 2.对责任部门或责任人按处置流程进行通告下发,并跟踪事件处置过程,提供处置建议与咨询。 3. 跟踪事件处置情况,并将处置反馈情况同步监测研判组进行复验,负责对安全事件处置进行闭环,归档工作。 |
常态化 |
安全事件归档 | ||||||
安全事件报告 | ||||||
6 | 安全通告 | 安全事件通告 | ||||
7 | 策略管理 | 策略管理 | ||||
8 | 平台保障 | 现场处置协调跟踪 | 按需 | 平台保障 |
1.对安全运营中心平台进行日常的巡检维护,对各平台功能,告警数据采集,设备权限,性能消耗进行巡检监控,对巡检过程中发现的问题及时跟踪处理。 2.协助处置执行组对安全事件进行处置闭环跟踪及协调工作。 3.根据运营需求进行平台规则优化、剧本流程优化。 |
常态化(平台建设方参与) |
现场故障应急处理 | ||||||
平台现场运营监测 | ||||||
平台运营日常巡检 | ||||||
平台规则流程优化 | ||||||
9 | 脆弱性评估与管理 | 漏洞、弱口令扫描 最新漏洞预警和响应 | 月/次 | 安全服务 |
1.负责漏洞管理、渗透测试、应急演练的方案整理及需求确认工作。 2.依据各服务内容流程,负责实施相关服务。 3.对服务过程发现安全问题进行协助处置工作,并提供处置方案。 4.负责方案服务总结,并对发现安全问题进行分析总结,提供加固建议及安全事件处理能力的建议。 |
按需,一般以服务外包的方式外包给专业团队 |
漏洞协助处置 | ||||||
10 | 渗透测试 | 渗透测试方案 | 按需 | |||
渗透测试内容 | ||||||
11 | 应急演练 | 应急演练 | 一年/次 | |||
12 | 风险评估 | 双新评估服务 | 一年/次 | 负责双新评估、定级备案风险评估等安全风险评估服务。 | ||
定级备案风险评估 | 一年/次 | |||||
13 | 流程优化 | 运营流程及人员调整优化 | 按需 | 安全运营管理 | 流程优化;团队管理; 培训组织;工作汇报; 质量审核;应急响应。 | 常态化,固定负责人 |
14 | 工作汇报 | 安全监测运营汇报(月报、季报、半年报) | ||||
15 | 培训组织 | 培训组织 |
博客地址:http://xiejava.ishareread.com/
关注:微信公众号,一起学习成长!