3.3　安全运营技术体系建设

3.3.1　运营层

1. 安全可视化

安全可视化支持对资产态势、脆弱性安全态势、数据安全态势、安全事件态势、攻击态势、安全防护态势、威胁态势进行多维度深度分析。

2. 资产态势

平台支持基于资产信息数据，按照区域、类型、重要程度等，结合资产安全事件、漏洞信息进行多维深度分析，形成资产类型分布、数量对比、资产弱点、资产健康度、资产风险分布等分析数据，并支持无码化、可拖曳的视图态势展示。

资产态势感知通过资产卡片形式实时监控重大保障活动中的关键资产，利用标签切换不同的活动资产分组，及时发现并处置风险资产，保障用户业务的可持续平稳运行。

3. 脆弱性安全态势

脆弱性安全态势基于漏洞和配置核查信息，结合应用系统、区域资产等基础数据，进行多维度分析，从资产、业务系统、组织架构、责任人等视角，给出漏洞与资产的全面关联分析，形成在不同系统和资产上的脆弱性分布、高危漏洞及排名等分析数据，并且支持无码化、可拖曳的态势展示。

4. 数据安全态势

数据安全态势包括管理、校验、调整数据自动分级规则及其学习优化策略，将自动分级规则统一下发到各数据处理技术系统，包括数据鉴权、敏感数据检查等，结合数据分类标记制定各处理系统上的敏感数据识别与防护策略；同时，对各处理系统上发现的敏感数据态势、违规情况、异常行为情况及风险进行统一展示和分析，并将各系统上的分级识别结果反馈给数据自动分级规则学习流程，不断迭代优化数据分级规则。

（1）主要的安全能力：数据安全态势、分级规则管理、安全督查管理、元数据管理、数据源管理、敏感数据管理、用户行为管理、协同联动管理和数据泄露溯源管理等。

（2）数据安全态势：支持数据安全态势感知、数据资源全景、敏感数据地图、数据使用流转、数据安全预警、异常行为发现、违规分级访问等；支持热力图、数据图表、趋势图、散点图等可视化效果；支持时间、地址、设备、应用、数据源等多维展示。

（3）分级规则管理：支持分级规则制定、分级规则审核、分级规则下发、分级规则校验、分级规则目录和自动规则引擎等。

（4）安全督察管理：支持事件响应、事件处置（阻断策略下发）、事件溯源、报告等。数据安全督察管理形成数据安全防护体系闭环，在发现安全事件后进行快速响应，根据事件类型或级别快速下发预制的阻断策略，将安全风险降至最低，事后通过溯源分析形成证据链和相应报告。

（5）元数据管理：对元数据对象的各种属性、结构和关系进行管理，识别业务元数据、管理元数据、技术元数据、保密元数据等标识，支持手动添加、修改和删除。

（6）数据源管理：对数据源进行验证，对数据接入过程进行记录，对数据源配置信息进行管理，支持手动添加数据源。

（7）敏感数据管理：对存在敏感数据的数据源、数据库、数据表、数据字段及特殊业务属性等进行管理。通过管理元数据对工作中的敏感数据进行标识，通过保密元数据对国家安全、社会秩序和公共利益、个人隐私等数据进行标识。

（8）用户行为管理：面向数据访问的用户行为管理（UEBA），根据安全规则进行异常行为分析并发现数据泄露风险，快速判定用户行为是否存在异常，并且进行预警。

（9）协同联动管理：支持安全设备管理、阻断策略管理、安全告警管理、审计日志分析等。

（10）数据泄露溯源管理：对数据泄露进行溯源分析，定位相关组织、人员、设备、IP、位置等信息，分析泄露路径和途径，还原数据泄露场景，形成分析报告。

5. 安全事件态势

平台支持按照安全事件时间段从事件级别、区域分布、事件类型等方面对公安信息网中发生的安全事件进行多维深度分析，形成不同区域事件分布对比、安全事件发展趋势等分析数据，并支持无码化、可拖曳的视图态势展示。外部攻击态势主要关注来自全世界不同地区的安全事件，实时监控不同攻击源的地域分布和国家排行，掌握各攻击链阶段的威胁变化趋势和最新安全事件。

6. 攻击态势

平台支持基于公安信息网中的流量信息、访问行为信息、事件分布信息等进行多维深度分析，形成包括攻击主体、攻击事件类型、攻击行为异常趋势、操作对象和处置状态等的分析数据，并支持无码化、可拖曳的视图态势展示。

攻击者追踪溯源可视化分析大屏为安全运维人员提供攻击行为分析、团伙分析、攻击取证信息、攻击趋势、攻击手段、攻击影响范围等信息，支持任意攻击者信息查询，可生成详细的攻击者溯源报告，并能够一键导出报告。

7. 安全防护态势

平台支持基于安全防护引擎、安全防护策略、安全防护对象、安全事件处置情况等数据进行多维度分析；能够形成安全防护引擎分布、拦截阻断记录、网络带宽、事件处置进度等分析数据，并支持无码化、可拖曳的视图态势展示。

资产威胁溯源可视化分析大屏为安全运维人员提供被攻击行为分析、影响资产范围分析、攻击取证等信息，支持任意资产查询，可呈现被访问趋势、被攻击趋势、被攻击手段、资产状态、资产评分等信息。

8. 威胁态势

平台支持基于内部攻击、漏洞信息、病毒、违规行为等数据进行多维度分析；能够形成内部跨安全域横向威胁方向、病毒蔓延趋势等分析数据，利用一系列可视化手段实现攻击拓扑关系，并支持无码化、可拖曳的视图态势展示。

横向威胁感知主要关注内部资产之间的违规操作和病毒传播，实时监控跨安全域的访问行为和业务系统访问情况，通过自由布局和圆形布局观测资产之间的威胁关系，及时发现并制止违规资产对内部网络环境造成的破坏。

3.3.2　功能层

1. 资产管理

资产管理主要包含对主机、应用、终端、网络设备、安全设备及外设等网络信息相关的资产管理。主要实现的功能包括支持发现、注册、标记、梳理和管理等功能。

2. 漏洞管理

漏洞管理主要是指在平台内设置本地漏洞库，接收大量的漏洞信息，用于与本地的资产进行匹配、安全事件关联分析等。主要的功能包括漏洞接收、漏洞审核、漏洞分析、漏洞修复及漏洞验证等。

3. 基线管理

基线配置模块支持对基线的监测、整改、验证的闭环管理，包括网络设备安全配置基线、安全设备安全配置基线、操作系统安全配置基线、数据库安全配置基线、中间件安全配置基线、云平台安全配置基线等。通过信息系统安全基线及基线核查策略库的构建，可以提升安全事件管理、预案管理、安全监测管理、安全通报管理的安全运行管理能力。随着业务系统的不断变化，基线需要核查和更新，基线核查的主要研究内容就是如何通过机器语言，采用高效、智能的识别技术，以实现对网络资产设备自动化的安全配置检测和分析，并提供专业的安全配置建议与合规性报表，在提高安全配置检查的方便性、准确性并节省时间成本的同时，让安全配置维护工作变得有条不紊且易于操作。

4. 知识库管理

知识库为应急处置提供相关资料信息，包含常用命令、小技巧、漏洞分析等内容，以满足不同场景下对应急处置工具及相关知识的需求，辅助网络安全事件的取证溯源和快速恢复。具体包含以下内容。

（1）安全大数据的知识库要包括：安全数据清洗规则库、安全标签库、告警规则库、机器学习算法库、威胁情报库、恶意代码库、IP地址库、漏洞信息库、资产指纹库等。

（2）知识库应根据实际应用场景，周期性地进行更新、补充。

（3）知识库的内容来源广泛、全面，具有代表性。

5. 策略管理

策略控制实现对安全告警、安全风险、安全态势等信息的汇总，并进行关联分析、智能推理、分析研判和决策，形成安全防护控制策略和业务安全控制策略，基于决策结果进行服务的编排、调度和配置，包括业务安全策略控制和安全防护策略控制。

6. 事件管理

对监测到的安全事件，按照不同安全事件级别进行应急响应处置，可对监测到的攻击事件进行合并汇总、分析研判等操作；可将攻击事件与取证应用相关联，获取事件相关的取证信息。

一是事件的发现与推送管理。根据安全事件的归属地原则，将系统自动发现的安全事件以自动推送的方式，将大数据分析形成的明确的安全事件以专家上报的方式，推送到事件发生地所属的组织机构，并由该组织完成事件的后续处置工作；支持安全事件的报警功能，包含重点应用系统安全状态报警、攻击事件报警、入侵检测报警、防火墙报警、网中网报警、病毒报警等。

二是事件处置工作台。支持多级用户的安全事件流转管理，如创建、上报、下发、核查、审核和办结等一系列操作；支持安全事件的访问和操作权限控制；支持基于特定事件的群组讨论功能；支持用户对事件的操作审计等功能；支持事件按区域的统计和考核功能；支持个人信息的管理，如个人贡献分的计算与系统中上报的事件挂钩。按个人贡献分排名，支持个人排名及等级信息查询；支持按照部门级别、岗位对安全事件的访问权限进行控制；支持按照部门级别、岗位对系统资源的访问权限进行控制；支持主用户、组织、角色和应用等平台正常运维所需的管理功能。

三是安全事件配置管理。支持对组织机构所管辖的IP地址段进行配置，实现事件创建时通过源IP地址关联区域，事件下发时绑定签收区域，针对某个组织机构可配置一个或多个IP地址段，新建时需要校验IP地址段是否与已配置的IP地址段有交叉；支持对组织机构的IP地址段进行查询、删除等操作；支持用户新增、编辑、删除安全事件类型；支持用户自定义安全事件类型的描述字段名称及字段类型；支持与处置流转相关的特定功能参数配置，如办结截止日期等。

在充分理解需求的基础上，为了提高处置效率和方便警员操作，专门针对发生的网络安全事件进行应急处置工作；分析总结网络安全事件成因，修复管理或技术隐患；形成安全事件高效率下发、处置，并对安全事件处理全过程、结果进行记录和管理，支持对安全威胁的录入、修改、删除操作，并标注热点事件，支持按预警等级、发现时间、单位、区域、热点、处置情况进行组合查询。

7. 安全编排

将客户不同的系统或一个系统内部不同组件的安全能力通过可编程接口（API）和人工检查点，按照一定的逻辑关系组合到一起，用以完成某个特定的安全操作，达到安全编排的效果。同时，通过可视化的剧本编辑器自定义编排安全操作的流程来实现自动化执行、人工编排及部分化（混合）编排。

3.3.3　数据层

1. 数据源

数据源包括各类安全系统/模块等产生的告警数据、与安全相关的审计日志、安全取证的证据日志/文件、安全配置策略等数据，以及基础数据、知识数据等。主要接入的数据包括安全基础设施、网络、终端、云平台、边界和业务应用等关键部位的相关数据。标准化数据如表3-2所示。

2. 数据接入

数据接入主要设计针对安全应用所需数据的采集或接入功能，形成统一的安全基础数据资源，为后续安全应用的开发和运行提供数据支撑。主要包含安全数据探查、安全数据定义、安全数据读取和安全数据对账四个数据接入流程，分别实现认识数据、元数据结构定义、获取数据、数据质量核对效验功能。

3. 数据处理

数据处理模块按照数据接入阶段对安全数据的定义，在数据入库之前对杂乱的安全数据进行实时处理，提升数据价值密度，为安全数据应用实现数据增值、数据准备和数据抽象。主要对采集到的数据实施清洗/过滤、标准化、关联补齐、添加标签等处理，并将标准数据加载到数据存储中，对于被标准化的数据应保存原始日志。

4. 数据治理

安全数据治理模块作为安全大数据的核心功能之一，可以运行大数据分析平台中的所有组件，实现B/S架构下的全功能Web页面操作。数据治理平台的整体逻辑框架如图3-3所示，首先通过数据集成工具从数据源采集并获取数据，在数据仓库里实现建立目录、主题、索引的存储，然后通过WebService接口调用仓库中存储的数据，构建并部署上层应用。

5. 数据查询服务

数据查询服务提供安全数据的查询和管理能力，包括原始库、资源库、主题库、业务库、知识库，以及元数据、数据资源目录等数据。安全数据查询服务提供安全数据资源情况的查询接口，应用和程序可以通过统一的接口访问和查询权限范围内的安全数据；提供基于分布式存储的各类结构化和非结构化安全数据的多种查询接口，并提供全文检索功能。

安全数据查询服务支持精确查询、模糊查询、分类查询、组合查询、批量查询等多种查询方式，并支持返回数据统计汇总信息及数据摘要或明确信息。

3.3.4　基础层

1. 物联网安全技术体系

物联网终端遍布于IT基础设施当中，尤其是监控设备、在线物联网设备等智能设备，这就决定了其通常有分散化、规模庞大、边界模糊等特点，极易受到黑客攻击和利用。因此，在安全方面的风险存在多个方面。我们必须从物联网终端自身的全面安全加固、准入严格管控及安全实时监测三个方面保障物联网终端的安全。

（1）物联网终端全面安全加固。对于新接入的视频摄像头，优先选用符合国家安全标准的前端设备。同时，针对物联网终端的脆弱性，在安全运营的过程中，通过在终端设备中嵌入加固软件，对终端系统控制的动作指令和读写状态进行监控，建立进程、网络、文件关系分析模型，对内部数据的关系和完整性进行安全防护，并实现终端数据安全加密，将终端的安全风险和数据上传至安全运营中心，让中心的物联网态势感知平台实时监控各终端的安全状态。

（2）终端准入严格管控。针对物联网终端的接入，确保仅有认证授权通过的、合法的终端能够接入网络。通过部署在网络边界的安全网关与物联网安全监测平台对发现的非法接入、非法替换等威胁行为进行联动，运营中心一线安全运营人员7×24小时随时对白名单资产进行放行，对黑名单资产进行阻断，以此保障只有认证通过的合法授权终端、授权允许的协议流量才能通过该设备，其他流量全部被阻断，从而保障物联网终端的合法、安全接入。

（3）终端安全实时监测。安全运营中心实时或周期性地对视频监控网进行安全摸底检查，从网络资产快速摸底、设备弱口令、漏洞检测及网络边界检测等几个方面，对网络进行快速的扫描检测，及时发现存在的各类安全隐患，全面摸清视频监控网的安全现状，排查并督促整改重要网络安全隐患、安全风险和突出问题，掌握公共安全视频监控网整体网络安全态势，从而防止重大网络安全事件的发生。

2. 云计算环境安全技术体系

1）态势感知与安全运营平台

态势感知与安全运营平台建设的核心目标是在基础架构安全和被动安全防御体系的基础上构建积极安全防御体系。以大数据采集及安全分析挖掘能力为基础，通过安全运营实现对威胁可视化展现、提前感知、分析研判、快速响应和追踪溯源。积极安全防御体系构建必须以基础架构安全体系和被动安全防御体系为基础，二者相互依存、相互促进。

整个态势感知与安全运营平台整体建设将从七个方面进行考虑：数据采集与关联分析、数据计算与存储资源、大数据计算与分析能力、威胁情报驱动、基于规则链的自动检测、自动化的告警响应处置、调查分析及安全态势感知。

2）安全接入管控系统建设

安全接入管控系统提供面向社会公众、政府部门工作人员、运维人员的统一身份认证、统一用户管理和统一访问控制服务。

3）云基础架构安全保障体系建设

通过对云平台的安全需求调研分析，建立一整套云平台安全保障体系，在建设过程中一定要遵循国家信息安全等级保护第三级要求和相关安全建设标准规范。云基础架构安全保障体系建设的目的在于，将全面提高信息安全管理水平和控制能力，适应并符合不断发展变化的业务新需求。

整个云基础架构安全保障体系的建设主要从三个方面进行考虑：云基础平台侧安全、云服务客户侧安全和云运维管理侧安全。

3. 大数据安全技术体系

大数据安全可以从多个维度进行考虑：底层基础架构安全、平台安全、数据安全、应用安全、网络通信安全和用户接入访问安全。一些大数据平台共享云计算基础架构，所以底层的基础架构安全可以由云基础架构安全保障体系统一构建。在整个大数据平台安全保障体系内，安全防护首要考虑的就是对平台边界进行安全防护，在外部访问到大数据平台之前，通过平台边界安全检查（大数据平台的首道安全防线），直接暴露在外部。因此，至少需要实施访问控制、接入身份认证、边界入侵防护等安全措施。

4. 应用系统安全技术体系

1）应用系统监测及防护

应用系统作为IT建设的最终交付窗口，其遭受的安全威胁也最为直接。当前主流的应用系统均为B/S架构，所以对于应用系统的安全防护重点在于Web应用安全，包含对Web应用漏洞的全生命周期管理，针对Web漏洞攻击、SQL/XSS攻击、DDoS攻击/CC攻击的防护，针对网站可用性、更新率、挂马暗链、网站敏感词、钓鱼网站的监测及业务审计等内容。中间件和数据库安全可参考业务平台的防护手段，如果有部分APP应用，则需要进行APP加固和源代码审计。

2）应用系统上线前评估

各业务应用系统经过设计、开发，在上线运行前需要开展应用层面的安全评估，主要从代码安全检测、渗透测试、APP安全检测三个方面检测安全设计及代码开发中存在的潜在风险，避免系统“带病”上线运行，从而保障网络整体安全。

5. 安全态势感知技术体系

网络信息安全保障工作内容众多、涉及面较广，其核心是安全运营，为保证安全运营工作的高效开展，需要安全态势感知平台作为工具支撑。通过搜集云平台、电子政务内外网等各个边界的网络流量数据，依托全局日志采集器（主机、网络、平台、安全设备等），汇总整个区域的本地基础数据，将一体化态势感知与安全运营平台相结合，有效开展威胁持续监测、威胁分析研判、事件及时通告、快速响应处置与威胁追踪溯源等关键工作，一体化的态势感知与安全运营平台是区域性安全运营中心的统一监测响应与指挥调度中心。

针对当前国内外严峻的网络安全形势，提出智能网络安全事件分析的需求。为安全运营人员提供简单、实用、高效的安全数据平台，内置重点安全分析场景，重点发现高级别安全攻击、持续型攻击、顽固安全问题，采用大数据技术在更大量数据下以更全面、更透彻的方式分析安全威胁，综合提升安全运营中心应对高级安全威胁、隐蔽安全事件的能力。

建设安全态势要素的输出和整体安全态势可视化感知能力，实现预警通知效果，并对其范围、类型、危害以图形方式展示，为安全分析人员提供直观、强大、清晰的安全威胁预警信息，以及重大问题、事件的整体性报告，为安全运营人员提供可靠的数据支持。

大数据智能安全平台遵循“全面安全数据采集、高质量数据长期存储、数据开放、充分利用信息价值、不断扩充场景”的原则，按照“安全数据集中存储、基于实践开发安全场景”的方式进行建设，定位于为全网络提供安全威胁分析与预警能力、为安全运营中心提供“集中存储、不断扩充”的安全分析能力。