某运营者建立网络安全保障体系实践

编辑:admin 日期:2021-09-04 16:30:44 / 人气:

前言
笔者先前根据我国关键信息基础设施保护的相关政策、法律法规、标准规范等,从规范性角度,与各位读者分享了关键信息基础设施保护的相关内容。今天笔者从实践角度,与大家分享一下某运营者在保护关键信息基础设施方面,是如何建设网络安全保障体系的。
一、项目背景
某运营者属于关键信息基础设施运营者,业务横跨多个关键信息基础设施行业领域,拥有众多的互联网业务。
前期,该运营者已按照网络安全等级保护第三级的要求,开展了网络安全等级保护的定级备案、建设、测评及安全整改等工作,并按照我国关键信息基础设施保护的相关政策、法律法规等要求,做了一些工作,如建立网络安全监测预警与信息通报工作机制。
在某次关键信息基础设施网络安全检查工作中,发现该运营者在网络安全方面存在一些突出问题和风险隐患。该运营者的多个信息系统承载着大量的经营分析数据,也是外部有组织团体眼中的“高价值目标”。该运营者高层认识到,必须要夯实网络安全基础,建立可应对有组织、高强度的网络对抗的关键信息基础设施安全保障体系,才能为公司数字化转型保驾护航,实现高质量发展。
二、解决思路和方法
该运营者网络安全工作的主要负责人、安全管理部门经过认真分析,并听取了某咨询机构的建议后,决定启动提升关键信息基础设施安全防护能力专项行动,并通过以下几个阶段有效并实质提升本单位的网络安全防护能力。

(1) 网络安全全面健康体检
某运营者抽调资源,组织专业团队对本单位目前存在的网络安全问题和风险隐患进行深入、细致的摸排调查,梳理形成详细的网络安全问题或需求清单,作为下一步进行网络安全保障体系规划设计和实施路线图制定的依据。
(2) 规划设计网络安全保障体系和制定实施路线图
在满足我国关键信息基础设施保护相关政策、法律法规、标准规范的基础上,借鉴国内外有益的、成功的通用实践经验,根据本单位实际情况,明确本单位的安全保障目标,规划设计关键信息基础设施网络安全保障体系,从技术和管理两方面着手设计安全机制和策略,并就存在的网络安全问题提出明确的安全实现方法和措施;制定项目实施路线图。
(3) 建设网络安全保障体系
采用包括但不限于网络产品或服务采购,安全集成,安全整改加固,安全团队职能调整和团队扩充,安全管理制度制修订等方式,对本单位的现有网络安全防护体系进行优化,建立网络安全保障体系。
(4) 建立常态化安全运营体系
根据网络安全保障体系的设计要求,对现有的不能满足需要的安全运营活动进行调整,补充新增部分安全运营活动,并就每项安全运营活动制定详细的操作规程,规范安全运营活动。在此基础上,开展系列常态化安全运营工作。
(5) 实战检验网络安全防护能力
网络安全保障体系运行一段时间后,通过多次实战形式检验网络安全防护能力的有效性,并持续改进。
三、网络安全保障体系实践过程3.1 网络安全全面健康体检
该运营者的安全管理部门评估认为,考虑到网络安全全面健康体检涉及的工作量较大,涉及部门较多,工作内容复杂且对网络安全的专业素养、能力和经验要求较高。经该运营者高层决议,成立由网络安全主要负责人牵头,安全管理部门、业务和使用部门以及受邀的某咨询机构共同组成联合工作组,共同开展本次网络安全全面健康体检工作。
网络安全全面健康体检的主要工作描述如下:
(1)某咨询机构派遣咨询团队到达该运营者现场,在与运营者签订保密协议后,经网络安全主要负责人协调,与安全管理部门,业务和使用部门派出的人员,共同组建成立联合工作组,明确分工安排,并按照约定期限制定工作计划和里程碑节点,随即启动网络安全全面健康体检工作。
(2)咨询服务团队经查阅资料、访谈、实地走访、上机查核、测试等方式,并采用基于网络安全等级保护制度/ISO27001的合规差距分析,基于动态网络安全风险的识别分析等方法,历时2周,完成对该运营者的资产梳理、需求和问题梳理工作。
(3)咨询服务团队开始编制调研分析报告,并在编制过程中,就发现遗漏的或者需要进一步补充了解的内容再次进行调研,经充分整理,历时1周,形成《某运营者关键信息基础设施网络安全全面健康体检报告》(以下简称《网络安全全面健康体检报告》)。
《网络安全全面健康体检报告》包含本次全面健康体检的背景、体检方式方法、体检对象,体检发现的网络安全问题和风险隐患详细信息,安全需求详细信息,原始输入信息包括各类资料、访谈记录等,编制人、时间,版本控制记录等。

3.2 规划设计网络安全保障体系和制定实施路线图
咨询服务团队根据国家关键信息基础设施保护的相关政策、法律法规、标准规范等,借鉴国内外有益的、成功的通用实践经验,并结合网络安全全面健康体检分析结果和该运营者的实际情况,设计满足该运营者实际需要的网络安全保障体系,编制形成《某运营者关键信息基础设施总体安全规划设计方案》(以下简称《总体安全规划设计方案》)。
咨询服务团队为该运营者设计的网络安全保障体系的核心思想是:关键信息基础设施在网络安全等级保护制度的基础上,着眼识别、防护、检测、预警、响应、处置等环节,围绕安全风险管理,建立网络安全框架,根据该运营者自身具体情况和识别的安全风险,选择应采取的安全技术类和管理类控制措施,确保将安全风险控制在可接受的范围。
《总体安全规划设计方案》详细阐述了运营者的基本情况,网络安全现状,存在的主要问题和风险隐患,网络安全需求,设计思念,设计思路,设计依据,设计原则,包括架构设计、网络设计、能力设计、流程设计、接口设计等在内的总体设计内容,针对每一项安全需求提出明确的安全实现方法和措施,配套的安全管理机构调整内容,安全管理制度制修订内容,开展常态化安全运营工作所需要建立或调整的各项活动,保障机制等内容。

咨询服务团队就落实和实现相关安全保护措施所需要的经费预算进行评估,并编制形成《某运营者关键信息基础设施保护安全建设项目规划文件》,经评审通过后,经安全管理部门主管、业务和使用部门的主管、网络安全主要负责人逐级审批后,正式形成《某运营者关键信息基础设施保护安全建设项目规划文件》。
该运营者的财务部门在年度预算编制时,根据《某运营者关键信息基础设施保护安全建设项目规划文件》所提出的投资估算,编制下一年度的网络安全预算,并获得该运营者高层审批通过。
3.3 建设网络安全保障体系
该运营者根据《某运营者关键信息基础设施保护安全建设项目规划文件》,通过网络产品和服务比选,招标、投标、评标、决标等程序后,选择某网络安全服务机构承建网络安全保障体系建设。
某网络安全服务机构启动供货管理,同时派遣项目实施团队到达该运营者现场,在与运营者签订保密协议后,经网络安全主要负责人协调,与安全管理部门,业务和使用部门派出的人员,咨询服务团队共同组建成立联合工作组,明确分工安排,并按照约定期限制定工作计划和里程碑节点,随即启动项目实施工作。
项目实施团队查阅了《网络安全全面健康体检报告》、《某运营者关键信息基础设施保护中长期发展规划》、《某运营者关键信息基础设施总体安全规划设计方案》、《某运营者关键信息基础设施保护安全建设项目规划文件》等材料,熟悉了基本情况,制定详细实施方案。在相关网络产品到场后,开始启动安全集成工作,并严格按照相关工程规范进行实施。
本次项目主要实施过程如下:

3.3.1 夯实网络安全基础
在前期网络安全全面健康体检工作的基础上,进一步深入开展资产梳理工作,建立详细资产清单。
按照网络安全等级保护第三级要求和ISO27001 信息安全管理体系要求,对现有网络安全防护体系不能满足要求的,优先级较高的部分,上线相应的网络安全产品、工具等;对部分安全漏洞、基线不合规项等安全问题实施安全加固与整改。
3.3.2 优化以网络安全态势感知系统为核心的网络安全运行体系
在已有安全管理平台的基础上,建设基于大数据安全技术的网络安全态势感知系统。包括:
(1)采用不限于代理(agent)、http/snmp/syslog等协议采集、定制化接口等方式采集终端、网络设备、安全设备、数据库、中间件、应用系统等的资产、安全日志、运行日志、网络全流量等数据。
(2)通过统一的接口规范、标准和协议,对日志数据、流量数据、行为数据、漏洞数据、运行数据、信息资产、合规测评数据、威胁情报以及其他知识信息等网络安全信息资源进行统一汇聚、解析、泛化等处理,实现对各类数据的统一接入、汇聚、处理和分析。
(3)充分利用已有的安全监测资源,如恶意域名监测、网络流量监控等专业安全监测设备,引入高级威胁监测分析系统弥补和改善当前对新型网络攻击检测能力的不足,通过多引擎智能化监测分析,实现对网络安全事件的交叉研判。
(4)引入关联分析、行为分析、情报融合分析、溯源分析等多类专业智能化分析引擎以及基础库、业务库、知识库等信息资源库,开展综合研判分析,快速精准鉴定各类网络攻击,实现对各类网络攻击、恶意代码、异常及违规行为等的综合研判分析,发现潜在的安全威胁,为安全管理决策提供支撑。
(5)整合引入威胁情报数据,为该运营者提供私有化、定制化的情报数据,实现威胁情报数据的及时同步,并且支持云端的情报溯源分析,为威胁预警和追踪溯源提供支撑。
(6)结合该运营者实际应用场景,打造综合业务管理平台,包括态势管理、资产管理、漏洞管理、威胁管理、风险管理、通报预警管理、联动管理、应急管理、审批管理等核心功能;设计演练场景,对通报预警、事件处置、应急响应等主要的核心能力进行实测。
3.3.3 调整安全管理机构
在以上工作告一段落后,项目实施团队在某咨询服务机构的指导下,对安全管理部门的岗位设置、职责划分等提出具体建议。
安全管理机构调整主要围绕以下三方面进行:
(1)根据网络安全等级保护第三级要求以及围绕安全风险管理,确保将安全风险控制在可接受的范围的需要,按照合规管理类岗位以及风控类岗位优化岗位设置。
(2)从人员审查、人员筛选、人员调动、人员离职、职责分离以及安全意识教育、专业技能培训等方面调整安全从业人员的管理工作机制。
(3)安全从业人员管理工作机制通过安全管理制度加以明确,为开展安全从业人员管理相关工作提供指导、约束和规范。
感兴趣的读者可参见《浅谈关键信息基础设施运营者专门安全管理机构的组建》一文。
3.3.4 制修订安全管理制度
以“对安全管理活动中的各类管理内容建立安全管理制度”为基本原则,围绕该运营者的网络安全保护等级第三级要求,我国关键信息基础设施保护的相关政策、法律法规,保护工作部门的监督管理要求,关键信息基础设施各环节、各阶段的网络安全活动,风险管理,特定应用场景以及该运营者特殊安全管理需要等方面,建立由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
感兴趣的读者可参见《浅谈关键信息基础设施运营者如何制修订安全管理制度》一文。
3.4 建立常态化安全运营体系
邀请某网络安全服务机构参与该运营者关键信息基础设施的常态化安全保护工作,以弥补该运营者自有安全团队力量的不足。
某网络安全服务机构根据《某运营者关键信息基础设施保护安全建设项目规划文件》、《某运营者网络安全保障体系建设项目招标文件》等文件的要求,结合安全管理制度体系内容和运营者实际情况,协助该运营者的安全管理部门对现有的若干安全运营内容进行了调整,如网络产品和服务采购与使用管理活动、安全管理制度维护管理活动等,新增若干项安全运营活动,如安全风险管理活动、安全运维规范管理活动、检测评估管理、网络产品和服务采购与使用管理活动等。
某网络安全服务机构协助该运营者的安全管理部门对每一项安全运营活动的目标、操作规程、风险的规避措施以及持续改进的策略、方法和内容等进行了规范。
某网络安全服务机构和该运营者的安全管理部门共同组建形成了该运营者的安全保障团队,协同开展安全运营工作。
3.5 实战检验网络安全防护能力
该运营者多次组织不同网络安全团队以攻防对抗形式检验网络安全防护的有效性,同时,邀请专业背景和技能的个人对的网络安全防护能力进行“众测”。经多次实战检验,该运营者的网络安全防护体系已能应对复杂、高强度网络攻击。
四、效果评价和经验总结
网络安全保障体系建立并运行一段时间后,结果表明:通过这次实践,取得以下效果:
(1)摸清家底,建立起了资产全生命周期管理工作机制; (2)网络安全全面健康体检发现的若干网络安全问题和风险隐患基本解决,夯实了网络安全“地基”; (3)以网络安全态势感知系统为核心的网络安全保障体系对动态网络安全风险的识别、分析、处置能力显著增强; (4)调整岗位设置和职责划分后的安全管理团队运作顺畅,网络安全战斗力增强; (5)安全管理制度很好的指导、规范和约束对每一项网络安全活动的开展; (6)常态化安全运营工作有序开展,建立起了网络安全风险管理计划和持续改进的方法、策略和机制。
经过本次网络安全保障体系实践,该运营者认识到,保护关键信息基础设施安全,首先必须夯实网络安全基础,其次围绕安全风险管理,根据该运营者自身具体情况和识别的安全风险,选择应采取的安全技术类和管理类控制措施,确保将安全风险控制在可接受的范围;最后通过主动持续改进,保持网络安全防护体系的有效性,并通过实战演练、测试等方式不定期检验网络安全防护能力。
小结
本文描述了某运营者开展网络安全保障体系建设的实践过程、运行效果以及经验总结。
本文难免挂一漏万,不足之处,敬请指正。

现在致电 020-6622222 OR 查看更多联系方式 →

Top 回顶部