**小型企业关注基础安全运营,重点把安全产品“管好”和“用好”。**大型企业通过SOC平台(安全运营中心)把所有安全产品串联起来,对大量的日志进行关联分析,发现事件和告警。通过SOAR平台把运营工作中能“自动化”内容进行预案编排,缩短响应时间,提升处置效率。

整体上属于网络安全运营范畴,关注网络安全攻防、流量监测、事件处置、应急响应等事情。

把网络安全运营的概念理解清楚,为后面“数据安全运营”工作做好铺垫和区分,网络安全仍然是基础,需要努力做好。

“以数据为中心”的数据安全运营总体上属于比较新概念,在整体设计时避免陷入“网络安全运营”的建设思路,到底该如何做好,本文尝试提出一些初步探索思路。

图片

研究数据安全运营前,有必要把网络安全运营中重点内容分析清楚,下面是梳理后一些参考点:

图片

中国信息安全测评中心官网对信息安全服务资质申请时,其中对安全运营有明确要求,要求申请该服务资质的企业,应该具备十二项“信息安全运营过程能力”,具体见下图:

图片

图片

图片

图片

中国网络安全审查认证对安全运维服务资质认证中,明确提出相关要求,包括:技术实施安全评估、技术实施安全加固、安全漏洞补丁通告、安全事件响应、信息安全运维咨询、信息系统的安全运维工作、修复安全隐患等内容。

图片

CISSP作为安全领域的最专业认证,认证教材CISSP官方学习指南(OSG)第8版**“安全运营”也是最核心的知识域之一**,对其中内容进行详细学习,可分类三类:

  • **基础安全管理、监管支持:**偏向安全运营的管理流程、人员安全、调查和监管的安全支持等。

  • **基础安全运维:**安全资产管理、配置资源、漏洞管理、补丁管理、变更流程、物理安全、操作和维护中检测和预防措施。

  • **专业安全运营:**日志记录和检测、事件管理、应急响应、灾难恢复、实施恢复策略等专业技术。

图片

图片

理解安全运维与安全运营的区别非常重要,结合工作经验和理解,整理相关区别如下:

图片

适合小规模企业,没有专业安全人员,关注基础安全产品的运行维护,包括安全巡检、配置核查、设备检查、产品升级、补丁更新、规则库更新等内容,目标是保障信息系统的稳定运行,涉及安全资产正确有效防护。

通常以人工为主,对已部署的安全产品进行基础的使用和管理,即“用好”和“管好”,没有各安全产品的联动分析,一般没有统一的分析平台。个人认为该项工作从落地实践看,非常有价值,属于必须要做的事情,就算大型企业也需要落实好。

图片

企业达到一定规模后,大量的事情无法全靠手工执行,需要提升工作效率。

**安全运营以“人”“流程”“工具”为核心。**通过梳理安全运营中典型流程,通过平台工具进行统一管控、统一策略管理,把各安全产品日志进行综合分析,形成联动分析,整体检测风险、发现预警事件,对企业的整体安全态势进行分析,提升整体效率。

安全运营会涉及专业安全能力,比如安全攻防能力、应急处置能力、灾难恢复能力,均需要专业的人才,出现问题时需要专业人才去解决问题。

工作内容上看,除了安全巡检、资产管理、补丁管理外,需要专业的渗透测试、安全风险评估、威胁管理、情报分析等内容。另外运营需要建立运营指标,把指标进行量化,体现安全运营的价值,比如提升效率、赋能业务、减少风险带来的损失等。

图片

网络安全运营关注网络安全产品、安全事件、应急响应等,从安全日志、网络流量中发现攻击事件,关注对象是网络、信息系统的CIA目标。

**数据安全运营关注数据层面的CIA,与业务合规和数据合规强关联。**除了基础安全运营外,个人认为重点关注内容如下:

  • **数据资产梳理及分类分级。**数据业务分类和数据分级安全保护。

  • **数据安全能力的正确运行、有效配置。**比如数据库审计、数据加密(传输、存储)、数据删除、数据备份真实生效等。

  • 账号权限梳理与控制,定义人接触数据的各类场景。

  • 数据全链路的安全监测能力**(实时性)**。根据数据处理活动每个环节识别风险,类似于人属于随身携带的实时监测,比如实时测血压、心跳等。

  • 通过数据安全风险评估(周期性)全面、全量评估发现存在安全风险,和数据安全标准、合规要求进行对比,体系化的检查风险,属于静态化、周期性的“静态体检”。

  • **API资产管理与技术管控。**除了业务侧API,还应关注后端应用程序的内部API管理,及时发现脱离管控API资产。

  • **关注业务软件自带的安全功能。**根据业务特点进行定制化安全配置和功能启用,正确的配置业务自带的安全功能,从功能层面而非安全产品层面考虑应用安全。

图片

通过网络安全手段可能无法防范数据泄漏,或者泄漏了都不知道。现在反馈的数据泄漏情况,可能数据很早之前就泄漏,并不是实时泄漏,也无法实时溯源。

数据安全运营面目的是保护数据的CIA,如何监测数据泄漏情况,目前面临较多困境,如下:

图片

  • **防护手段不足。**数据库审计、日志审计、脱敏等安全产品无法有效防止数据泄漏,通常是单点考虑问题。

  • **监测预警能力不足,缺少数据层面的监测。**比如正常用户的非法窃取、员工安全意识淡薄大量无意识的泄漏,业务、数据管理流程不完善,该下线接口未下线。缺少从数据层面全链路的监测。

  • **人接触数据的场景太多太复杂。**任何一点出现问题都将导致数据泄漏,尤其是无意识的泄漏。

  • **数据安全人才综合能力要求太高。**缺少缺少业务思维,数据敏感度低,无法从网络视角切换到以数据为中心视角。

  • **没有通用型的解决方案。**数据安全行业属性明显,没有一套“网络安全”通用的解决方案,需要结合业务特点进行定制。

图片

数据安全运营是新的概念,按目前经验,个人理解可以分成三阶段开展,如下:

图片

以网络安全为主,把网络安全运营基础打牢,从安全产品底盘做起,把安全产品“管好”和“用好”。从常态化工作做起,定义一些必须要做的工作:

✅ 关注安全资产(增加数据)盘点

✅ 关注软件组件清单,闭环漏洞预警匹配

✅ 建立安全巡检机制,关注产品运行、安全配置、策略配置

✅ 增加安全周报机制,要求关键的业务系统形成周报机制

✅ 关注变更管理和数据基础备份,避免出现异常数据可恢复

图片

在网络安全监测的基础上,建设数据安全防护、监测能力,信息系统、数据资产的统一纳管、安全策略的统一配置。

以数据安全风险评估为抓手,通过周期性的评估机制,对照数据安全的全量标准,主动发现管理、技术、数据处理活动等风险,满足合规基础要求。

图片

运营需要建立指标,需要把安全态势情况进行量化,大屏展示。赋能业务,自动化、智能化提升全链路的风险感知能力。

上述三个阶段,从落地实践角度和大部分信息系统“重建设、轻运营”的特点看,建议关注第一阶段,从无到有建立,定义规范、流程,建立基础安全运营机制,手工的方式建立标准的流程和工作。

从小处着手把网络安全基础运营做好,逐步过渡到数据层面的安全运营。数据安全运营是比较新的内容,个人会持续摸索和实践。

图片

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉【整整282G!】网络安全&黑客技术小白到大神全套资料,免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐