Question

安全运营架构如图 20-1 所示。

图 20-1　安全运营架构

为确保安全运营架构能够灵活扩展，推荐按功能划分成四个模块：安全防护框架、安全运维框架、安全验证框架、安全度量框架。

1.安全防护框架

安全防护框架的目的是部署尽可能多和有效的安全感知器（Sensor），这些安全感知器构成了信息安全的“天网”，这部分是基础工作，也是安全的传统主战场，需要历经多年的持续投入积累。安全感知器的部署遵循纵深防御的理念，如图 20-2 所示。

实际上可能远远不止图 20-2 中这些 Sensor。比如网络层，可以把防火墙监测信息特别是 Deny 信息采集了，有些防火墙还自带 IPS 功能，如 CheckPoint 的 SmartDefense，就是特别好用的安全 Sensor，交换机、路由器的 ACS 服务器信息，堡垒机登录信息，虚拟层虚拟主机操作信息，Windows、Linux 主机日志，在主机部署安全客户端的监测信息，数据库审计系统监测信息，AD 系统信息，存储备份系统操作信息，KVM、ILO 等带外管理系统信息，ITIL 系统工单信息，应用系统应用信息（如 OA 系统应用日志），SAP 系统应用信息，公文传输系统日志，FTP 数据传输日志等。

图 20-2　安全防护框架

企业基础安全的大部分内容就是建设各类安全 Sensor，解决点状的安全问题和需求。比如企业防火墙多了，如何管理防火墙规则的有效性和合规性，可能需要部署诸如 Algosec、firemon 等防火墙规则审计工具，审计发现的信息就可以作为安全运维框架的输入。如果想监测企业内网或服务器访问了哪些恶意地址，可以采集类似 ArcOSI 这样的开源恶意地址库。

安全防护框架建设，需要考虑两个问题：

·给安全运维框架发送原始监测信息还是 Sensor 处理后的监测告警信息？如果是防火墙、IPS 等安全防护系统，尽量是全量原始信息；如果是 Windows、linux 主机日志，合规检测，登入登出等信息，考虑对原始信息进行过滤，只和安全相关的信息才作为安全运维框架的输入。

·要不要做业务安全监测？Ayazero 认为企业安全涵盖七大领域：①网络安全；②平台和业务安全；③广义的信息安全；④IT 风险管理、IT 审计&内控；⑤业务持续性管理；⑥安全品牌营销、渠道维护；⑦CXO 们的其他需求。对于传统行业，建议做①③④⑤；对于互联网公司，建议做①②⑤；对于金融行业，建议做①③④；能力强的安全团队，建议做①②③④⑤⑥⑦。

2.安全运维框架

安全运维框架的建设目标是成为企业安全的大脑、耳目、神经中枢和手脚。在军队现代化作战体系中，美军创造性地提出了 C4 ISR 作战指挥系统，即指挥、控制、通信、计算机与情报、监视、侦察。一个完整的信息安全“作战指挥自动化系统”应包括以下几个分系统：基础架构平台、安全情报监视系统、数据分析系统、安全控制系统。

·“大脑”—基础架构平台。基础架构平台是构成指挥自动化系统的技术基础，指挥自动化系统要求容量大、速度快，兼容性强。

·“耳目”—安全情报，安全监视、侦察系统。主要是对安全防护框架中各安全 Sensor 的安全信息进行收集和处理，实现异常行为的实时安全监测。

·“神经中枢”—数据分析系统。综合运用各类智能分析算法和数据挖掘分析技术，实现安全信息处理的自动化和决策方法的科学化，以保障对安全控制设备的高效管理，主要技术是智能分析算法和模型及其实现。

·“手脚”—安全控制系统。安全检测和控制系统是用来收集与显示安全信息、实施作战指挥系统发出安全控制指令的工具，主要是各类安全控制技术和设备，如防病毒和主机安全客户端、防火墙等，实现异常行为的实时安全控制。

安全运维框架实际落地时，企业会部署 SIEM、安全大数据等类似平台，实现安全检测信息的统一采集、分析处理和存储，大部分平台支持内置或自定义的黑名单检测规则进行实时检测。安全运维框架还有很重要的一部分—安全事件的流程化处理和定期 review、汇报。安全事件的流程化处理应遵循企业事件管理流程（如 ITIL），通过自动化下发安全工单，发送告警邮件、短信等方式进行安全提醒，安全事件确认和溯源分析主要通过人工分析和确认的方式进行。对于 100%确定的安全攻击通过自动化方式进行阻断。同时，通过安全事件日例会、周报、月报、年报等方式进行闭环管理，并进行必要的管理层汇报。

3.安全验证框架

安全验证框架解决安全有效性的问题，承担对安全防护和安全运维两个框架的功能验证。安全验证框架是企业安全的蓝军，在和平时期，蓝军扮演着对手角色，利于及时发现、评估、修复、确认和改进安全防护框架和安全运维框架中的脆弱点。验证包括白盒检测（过程验证）和黑盒检测（结果验证）两部分。

白盒检测（过程验证）是指建立自动化验证平台，对安全防护框架的管控措施实现 100%的全面验证，并可视化集成至安全运维平台中，管控措施失效能够在 24 小时内发现。通过自动化验证平台，可以达到：

·验证安全 Sensor 的安全监测功能有效。

·验证安全 Sensor 所产生的监测信息到 SIEM 平台的信息采集有效。

·验证 SIEM 平台的安全检测规则有效。

·验证告警方式（邮件、短信与可视化展示平台）有效。

基于上述目标，自动化验证要求所有的验证事件必须为自动化模拟真实事件产生，不能使用插入记录的方式产生。同时，自动化验证事件应提供判断是否为验证事件的唯一标识，验证事件产生时间需统一安排，防止集中触发。安全运维平台应能够监测到安全验证未通过的系统和规则，并产生告警信息，通知安全运维人员介入处理。

黑盒检测（结果验证）是指通过多渠道安全渗透机制和红蓝对抗演习等，先于对手发现自己的漏洞和弱点。多渠道安全渗透机制目前常见的就是安全众测，红蓝对抗演习需要企业具有较高攻防技能的安全人员，也可聘请外部专业机构完成，用于检测安全防护框架和安全运维框架的有效性。

4.安全度量框架

安全度量框架主要用于衡量评价安全有效性，这是挺难的一件事，此处仅做一些探讨。度量可以分成以下几个层次：

一是技术维度。包括防病毒安装率、正常率，入侵检测检出率、误报率，安全事件响应时长、处理时长，高危预警漏洞排查所需时间和完全修复时间等。还可以考虑安全运维平台可用性、事件收敛率等。合规性方面可以设置合规率、不合规项数量、内外部审计发现数量和严重度等。

二是安全运营成效。包括覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下，有多少无人问津的灰色地带，安全能在企业内部推动得多深入、多快速，这是需要综合技术和软性技能的，成败主要系于安全团队负责人。检出率和攻防对抗成功率都是衡量安全有效性的有效指标，安全团队即使不能拍着胸脯保证不出事，也不能靠运气和概率生存，那么，持续提升检出率和攻防对抗成功率就是努力的方向。

三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能力，如 TCO/ROI、安全用多少资源、支撑了多少业务、支撑的程度等。安全价值还体现在内部的影响力以及对业务的影响力，是做微观安全还是广义安全，是为业务带来正面影响还是负分拖后腿。安全满意度是综合维度指标，是对安全团队和人员的最高要求，既要满足上级领导和业务部门对安全的利益诉求。又要满足同级横向其他 IT 团队对安全的利益诉求，还要满足团队内部成员的利益诉求。要提供最佳的安全服务，既让安全的用户成为安全的客户，又让使用者满意，真的是非常非常有挑战的一件事情。