<
    • 需求背景
    • 方案简介
    • 方案价值
    >

    需求背景

    随着数字化进程不断加快以及新技术的不断发展与应用,同时为满足《中华人民共和国网络安全法》、《网络安全等级保护2.0》等相关标准在网络安全监测预警、安全管理和运维制度相关方面的要求,组织应建立配套的常态化、长效化新型安全运营指挥技术和管理体系,通过自动化手段实现安全事件处置、隐患发现,完善应急指挥机制,建立设备资源、人力资源、管理资源之间的高效协同,对安全事件进行及时有效处置。实现统一的网络安全协同运营,保障本单位网络安全稳定运行,业务系统持续安全运转。

    安全不是一次性投入,
    需要持续优化升级

    首先第一个现状和挑战是安全不是一次性投入,需要持续优化升级,主要的原因是现有安全建设由于缺乏有效的安全运营,导致安全效果不理想。
     

    安全运维压力大,
    处置不及时,不彻底

    第二个现状和挑战是安全运维压力大,导致安全事件处置不及时、不彻底。包括三个方面的原因:安全运维工作量大、人力资源不足、基础薄弱,安全运维工作效率低。
     

    工作价值难体现,
    受认可度低

    第三个内部因素就是安全工作价值和绩效难体现,对于安全部门或者负责安全工作的人员来说,如何体现安全工作的价值成为经常被困扰的问题。具体来讲主要就是:成果说不清、绩效难衡量、工作难推进。
     

    政策监管愈加严格,
    通报情况时有发生

    《网络安全法》、等保2.0等法律法规不断完善,要求越来越严。公安、主管、监管单位的安全监测检查趋于常态化,重大网络安全保障的压力也越来越大,如攻防演练、两会、国庆等重点时期需要重点保障,需要避免被通报扣分,但很多用户缺乏有效的技术和人员支撑。
     

    方案简介


    设计思想


    安全运营中心的核心目标是提高组织的整体安全能力、提升运维效率、体现安全效果和价值。通过建设包括人员、工具、流程三大体系的安全运营中心,打造从感知、分析、决策、响应四个维度,具备OODA循环的自动安全处置闭环能力。安全运营中心通过大数据、机器学习、UEBA、SOAR、威胁情报等技术和工具,结合自动化流程和安全运营专家服务,打造“威胁感知、分析定位、智能决策、响应处置(OODA)”的快速安全闭环能力,帮助用户不断提升安全效果、提升安全运维和安全管理效率、展现安全成果,最终实现“自动响应闭环、持续安全运营”的目标。



    整体架构


    安全运营中心整体架构包括安全运营人员、安全运营平台、安全运营流程三部分组成,安全运营平台通过SOAR、UEBA、机器学习、威胁情报等技术实现安全事件的自动闭环与持续威胁对抗。安全运营人员明确组织结构与安全运营权责,安全运营流程制定各类安全运维制度和事件处置流程。同时,依托深信服云端安全能力和安全云脑,可提供专业化、持续化的安全运营服务和本地安全赋能。


    安全运营平台
    安全运营平台从下往上分为五层:即对象层、采集层、技术层、功能层、展现层。通过 SOAR、UEBA、机器学习、威胁情报等技术实现安全事件的自动闭环与持续威胁对抗。通过监控中心大屏进行全网安全态势、网络攻击态势、安全事件态势等综合展现,为安全经理和上层领导提供整体决策支撑。
     
    安全运营人员
    建设三级梯队的安全运营组织架构,根据企业或组织的实际情况进行权责划分和人员分组,根据人员能力划分三级人员:T1、T2、T3不同级别的安全能力。可以将不同等级的安全事件分配到不同能力等级的安全人员,实现网络安全的“分级诊疗”和安全运营服务。
     
    安全运营流程
    安全运营流程的目标主要是建立符合组织自身情况的安全运维管理制度和流程,如事件处置流程、漏洞修复流程、应急响应流程等,并将这些线下的运营流程通过安全运营平台实现电子化的线上流程,实现高效安全运营。整个方案的设计是要打造具备四维安全闭环能力特点的安全运营中心,即安全监测与感知、深度分析与展示、智能决策与评估、协同响应与处置的安全运营中心,这四个维度也是发现问题、分析问题、评估问题、处理问题的过程。
     
    安全监测与感知
    包括理资产、找威胁、摸风险的过程。通过主动发现的方式进行资产识别与梳理,并采集全网关键业务流量,全面检测已知/未知安全威胁,通过全方位资产及脆弱性管理,实现安全风险可视。
     
    深度分析与展示
    简化分析工作量及提升安全运维效率。通过检测日志、安全产品日志与第三方日志做智能关联分析,结合安全运营中心内置的智能算法,实现攻击链展示,入口点溯源和威胁面分析。并通过多维度可视化大屏实现全网安全风险动态可视。
     
    智能决策与评估
    通过人机共智和基于SOAR的自动编排实现对安全事件处置的辅助决策,以及工作价值的量化与评估。通过自定义预设条件,给不同的预设条件设置响应策略,再选择相关联动的安全组件,设置响应策略,并存储处置记录获得闭环结果的反馈。
     
    协同响应与处置
    建设“3+3+3”的安全处置闭环能力。通过以设备为中心的云网端系统联动能力、以人为中心的电子化工单能力,基于SOAR的人机共智工单处置流程编辑能力这三大响应能力,依托本地运维、线上MSS安全运营服务、VPN安全接入运维这三种服务模式、轻松从容应对攻防演练、重要活动保障和应急演练三大场景。
     

    方案价值

    背景图
    提升运维效率
    • 智能辅助决策
    • 人机交互简化运维
    • 自动分析处置
    • 策略有效验证
    背景图
    提升安全效果
    • 网端云联动
    • 全网安全风险可视
    • 安全专家服务
    • 自动响应策略
    背景图
    体现安全绩效
    • 漏洞处置率
    • 事件处置效率
    • 整体安全评级
    • 安全建设指标
    背景图
    缓解合规压力
    • 等级保护2.0
    • 防监管单位通报
    • 合规报告(主管)
    • 重保应急指挥