构建企业网络安全运营能力成熟度方法与实践

随着信息技术的高速发展和广泛应用，企业运营效率和服务质量得到显著提升，但同时也带来了新的网络安全挑战。因此，增强企业网络安全运营能力，构筑有效的安全防御机制，已经成为企业持续稳定健康发展的必要条件。提升网络安全防御水平不仅需要依靠技术措施，更需要从组织管理层面进行全面考量。

本文旨在探讨如何构建适合企业的网络安全运营能力成熟度模型，以提升对网络安全的管理和控制，帮助企业创造安全价值。

安全运营能力成熟度模型理论(SOCMM)

能力成熟度模型概念源自20世纪80年代美国卡内基梅隆大学，起初用于评估和改进软件开发工程，后逐渐被广泛应用至其他各个领域。企业安全运营能力成熟度模型旨在帮助企业评估、改进网络安全运营能力，识别自身优势和弱点，指导实施改进计划，以提升企业网络安全防御水平。安全运营能力成熟度如图1所示。本文基于五个等级给出如下定义。

图1 安全运营能力成熟度

1.初始级

初始级代表企业的网络安全处于混乱无序的状态，缺少人员或团队负责处理网络安全工作，没有标准明确的网络安全管理策略和流程，采取“反应-应对”机制开展网络安全工作，缺少网络安全活动的监控和度量标准。

2.定义级

定义级代表企业已经意识到网络安全运营工作的重要性，通过预定义、文档化来建立和实施网络安全标准和流程。在此阶段，安全运营工作开始标准化和系统化，有专人或团队负责网络安全工作，不依赖于个人知识经验，遵循预定义的安全策略和标准，但仍然无法有效提高企业网络安全水平。

3.管理级

管理级代表企业在建立和实施网络安全标准和流程基础上，制定网络安全活动的度量和管理机制。在此阶段中，企业网络安全运营工作具有一定的可控性和预见性，能够发现当前企业面临的网络安全风险，并通过度量及管理机制评估和衡量网络安全运营工作的效果。

4.量化级

量化级代表企业制定了成熟的网络安全运营工作量化度量和管理机制，能够通过指标和数据来改进和衡量企业网络安全风险状态及防御效果。在此阶段中，企业网络安全活动具有明显的预见性和可控性，但未达到完全自我优化提升的阶段。

5.优化级

优化级代表企业能够通过量化评估数据、标准化管理流程和反馈优化机制，自动地根据网络安全的状态和效果来调整网络安全策略与流程，能够初步实现自主可控，具有预见性地灵活应对网络安全的风险变化和挑战。

构建企业网络安全运营能力

当前，企业网络运营环境越来越复杂，同时也产生了很多新的安全挑战。其中，来自外部网络安全威胁的不断增加，导致更加复杂、多样化和隐蔽化的APT攻击事件层出不穷。企业内部人员能力水平差异，系统开发、测试和安全技术人员无法形成合力，加之外部供应链的多方参与，攻击面收敛难度大，使企业整体的网络安全运营工作变得难上加难。安全运营能力建设模型如图2所示。

图2 安全运营能力建设模型

1.安全运营基础

企业在构建网络安全运营能力的过程中，明确网络安全战略是基础，制定风险管理策略是方法，满足合规监管要求是底线，落实安全技术和人员配置是保障。企业规划安全战略必须以清晰、明确的政策形式发布，定义企业首要的安全目标和政策规定。通过风险管理策略判断自身的风险偏好和容忍度，制定符合成本效益的风险管理策略。例如，如何识别风险和评估风险的流程，实现风险闭环管理，并同步规划落实网络安全专项预算，实施适当的风险控制措施，以及如何监督和检查风险状态。

2.安全事件管理及响应

网络安全事件管理与响应是网络安全运营工作的一项重要任务，主要包括应急响应管理、安全事件管理和备份与恢复等部分。应急响应管理目标是对网络安全突发事件进行快速有效的处理过程，通过建立并维护应急响应工作组，制定应急响应处置计划，定期开展应急演练活动等。

备份与恢复计划应当根据具体业务的敏感程度来制定对应的备份机制，例如是实时热备还是每天备份，抑或异地备份、本地备份等。同时，还需要定期对备份数据进行恢复性测试，确保备份数据真实有效。

安全事件管理是收集、分析和响应处置安全事件的过程，分为事件识别、分析调查和处置恢复等环节。SIEM(安全信息和事件管理)系统能够收集和分析日志，以发现潜在安全威胁等。

3.风险评估和管理

风险评估管理是安全运营工作的核心环节，做好风险度量的关键在于完善的资产管理机制和风险监控、风险处置流程。对于重要的核心系统，要做好威胁建模工作，落实威胁态势感知系统，全面监控网络安全风险的动态变化。

资产管理是风险评估工作的基础，包括软硬件设备、办公系统、网络链路甚至细化至系统API接口数量等，重点关注数据孤岛和老旧系统。建立资产库，记录所有资产的详细信息，例如类型、位置、所有者以及重要性等，并定期审查发现资产库的更新变化。

风险识别和监控采取主动和被动两种方式，通过态势感知系统和实施定期安全扫描监控等手段，监控企业内部网络安全风险状态，针对可疑的访问行为，及时采取分析处置工作。

4.培训与人员

在网络安全运营能力建设中，安全技术人才是关键资源。一方面，建立完善的人才培训管理体系，有助于帮助企业采用系统化方法开展岗位人员培训工作，包括培训需求分析、岗位角色定位、确定培训范围、制定培训和实施计划等。另一方面，通过培训体系管理，能够减少人员岗位流动带来的技术能力缺失，进一步规范岗位角色技术能力培养。

5.安全运营平台的集成

面对日趋复杂的网络运营环境，安全运营平台能够有效地监控、分析和管理各类网络安全风险。安全运营平台的建设应当具备以下能力。

(1)业务安全。业务安全是安全运营平台的重点保护目标。例如，在业务系统中，利用插桩技术进行监控检测，实施反欺诈、反爬虫措施等，并将监控数据同步至运营平台。

(2)数据与隐私安全。数据是企业的重要信息资产，应对企业进行数据分类分级，采取不同层次的技术保护措施，同时需要关注国家法律法规和行业相关规定。对敏感隐私数据采取加密、脱敏技术，以保护数据隐私安全。

(3)日志分析系统。日志分析系统能够监控审计各类IT系统的运行状态，是运营人员收集、存储和分析日志的重要工具，用来发现异常行为和攻击事件。

(4)威胁情报服务。威胁情报服务能够弥补企业获取互联网最新安全威胁的信息获取能力，帮助企业提前预防和应对威胁。可以利用威胁情报共享平台，将情报信息整合到安全运营平台。

(5)漏洞扫描评估系统。漏洞扫描评估系统能够帮助企业掌握内部信息化系统和业务系统的漏洞信息情况，通过定期进行漏洞扫描和评估，发现和修复潜在的系统安全漏洞。

(6)传统安全防御设备。当前，传统安全防护设备的重要性仍然不可替代，它们是构建企业网络安全的基石。在日常安全运营工作中，应正确配置和管理这些安全设备，例如防火墙、Web应用防火墙、入侵防御系统和堡垒机等。

(7)API安全监控。API是系统的重要接口，也是当前数据信息泄露事件发生的重要路径。采取API安全审计和监控，部署API安全网关，能够有效保护API安全。

(8)态势感知系统。态势感知系统提供了企业网络安全状态的全景视图，能够实时监控网络状态，最大化了解安全风险态势，帮助运营人员快速响应和处置安全事件。

云环境安全运营工作的实践应用

随着云计算的普及，企业许多业务系统已经转移到云环境。针对云环境技术特点，企业应重点关注以下五个方面的网络安全运营工作。

1.数据安全和隐私保护

数据是企业的核心资产，数据安全和隐私问题直接关系到企业的声誉和合规性，上云的业务系统更是需要实施严格的数据保护措施。例如，对关键数据采取字段级加密来保护数据的机密性，使用基于角色访问控制来限制对数据的访问和数据脱敏技术，以防止数据泄露。

2.安全配置和管理

云环境通过安全配置基线保证业务系统基础环境安全。例如，使用云服务安全组配置最小权限访问原则，关闭不必要的服务，及时更新和修补系统，使用安全监控服务实时监测网络安全风险状态。

3.应用和API安全

应用和API是云环境中的主要攻击面。可以灵活利用云服务商的应用安全防御系统来保障应用系统运行安全，再加入应用系统上线测试和代码审计环境，使用规范化的开发编码实践和API安全网关进行安全监控和审计等，有效保障云业务系统应用和API安全。

4.云原生安全

伴随云原生技术诸如容器和Serverless的广泛应用，企业应部署容器安全工具来扫描容器镜像的漏洞，使用容器运行时安全工具监控容器的运行时行为，充分隔离容器网络。而Serverless应用需要重点关注函数的权限和依赖性，确保函数只拥有执行其任务所需的权限，对于依赖项进行规范化安全管理。

5.业务连续性

尽管云环境具有高可用性和弹性伸缩功能，但仍然可能因为各种原因，如云服务商故障、网络攻击等导致服务中断。因此，应建立灾难恢复和业务连续性计划，包括定期备份数据，设置故障转移机制，以确保在发生故障或攻击时，能够尽快恢复业务。总的来说，基于云环境的企业网络安全运营工作是一个相对复杂的过程，需要企业有明确的安全策略，使用适当的安全工具，建立有效的安全管理机制，并与云服务供应商密切合作，才能有效应对云环境中的各种安全威胁，保护业务和数据的安全。