网络安全运营体系建设方案

网络安全运营体系建设方案网络安全运营体系网络安全运营体系建设方案全文共197页，当前为第1页。建设方案网络安全运营体系建设方案全文共197页，当前为第1页。目录TOC\o"1-3"\h\u28430第1章.网络安全运营监控工作整体构想 730811.1.工作目标及原则 7180991.1.1.工作目标 7283061.1.2.工作原则 823821.2.安全运营流程分析 10297651.2.1.安全预测 11274691.2.2.安全防御 12251161.2.3.安全检测 1379101.2.4.安全响应 1397491.3.安全运营工作架构 14133961.3.1.安全防护框架 15186631.3.2.安全运维框架 1633761.3.3.安全验证框架 17149741.3.4.安全度量框架 189031.4.安全运营支撑架构 19141421.4.1.安全运营管理中心 20109011.4.2.安全防护框架 20133941.4.3.安全管理体系 20323251.4.4.安全服务体系 21295961.5.安全运营运行模式 2116373第2章.安全运营监控工作详细规划方案 2492172.1.安全运营监控工作规划思路 25291922.1.1.提升网络安全运营监控能力 25228152.1.2.加强网络安全运营监控手段 27126162.1.3.完善网络安全运营监控管理 29网络安全运营体系建设方案全文共197页，当前为第2页。157942.2.安全运营监控支撑平台规划方案 30网络安全运营体系建设方案全文共197页，当前为第2页。251362.2.1.大数据安全基础平台 31159292.2.2.网络安全运营监控态势分析平台 3565342.2.3.情报中心 6355222.2.4.安全控制中心 6489622.3.安全运营服务规划方案 66132252.3.1.威胁检测服务 67240052.3.2.应急响应服务 70303162.3.3.渗透测试服务 7597122.3.4.红蓝对抗服务 78122012.3.5.安全风险评估 84316492.3.6.安全咨询服务 9816592.4.安全运营管理规划方案 100233222.4.1.安全管理架构 100310812.4.2.安全策略和管理制度 10158572.4.3.安全管理机构和人员 103119002.4.4.安全网络安全运营监控工作建设管理 106194782.4.5.安全运维管理 107268132.4.6.文件管理 1102648第3章.网络安全运营监控保障工作实施方案 112304703.1.安全运营监控工作实施框架 112214843.1.1.组织机构优化 112199863.1.2.安全运营梳理 11383.1.3.安全运营试点示范 114205103.1.4.安全运营国际化路线 11562453.2.安全运营监控工作的实施标准 11557993.3.安全运营监控工作实施方案 116216463.3.1.实施原则 118网络安全运营体系建设方案全文共197页，当前为第3页。304713.3.2.安全运营监控工作体系 118网络安全运营体系建设方案全文共197页，当前为第3页。10374第4章.网络安全运营保障方案 1232504.1.网络安全运营监控管理委员会 123188744.2.网络安全运营监控管理组 124282474.3.网络安全运营执行组 124256874.4.网络安全运营审核组 125300804.5.网络安全运营事件应急响应小组 126195814.6.网络安全运营保障制度及流程 127154404.7.信息资产的安全管理 12745854.8.资产的安全等级分类 127224244.9.信息的安全标记和处理制度 127210004.10.信息资产使用的安全管理 128254524.11.资产使用记录清单 128173024.12.资产责任人制度 128252824.13.资产的合格使用管理规定 12841464.14.资产管理制度及流程示例 128187464.15.安服人力资源安全管理 134295794.16.人员选择的安全管理制度 134266364.17.人员使用安全管理制度 13754024.18.人员职责终结或变更的安全管理制度 139326174.19.人员离岗离职网络安全运营监控管理规定示例 139308524.20.安全区域制度 141327184.21.设备安全制度 1455264.22.常规控制措施 15089944.23.通讯及系统操作安全管理 151142954.24.防范恶意代码和移动代码 1569194.25.信息交换 156280764.26.监督 157网络安全运营体系建设方案全文共197页，当前为第4页。180764.27.信息备份管理策略及流程示例 158网络安全运营体系建设方案全文共197页，当前为第4页。145164.28.用户职责 160257034.29.监控系统访问与使用 162126154.30.信息系统的获取、开发和维护 16563784.31.信息系统安全要求 165319154.32.网络安全运营事故管理 165125754.33.报告网络安全运营事件和弱点 16596134.34.网络安全运营事故的管理和改进 166164074.35.网络安全运营事故管理程序流程示例 166167504.36.管理服务流程 168248854.36.1.ITIL服务 16947104.36.2.ISO20000 17165164.36.3.网络安全运营 17340574.36.4.网络安全运营监控工作蓝图设计 173142524.36.5.服务模式 176220474.36.6.远程服务 177215534.36.7.现场服务 177154074.36.8.值班服务 178210604.36.9.巡检服务 17819914.36.10.优势 1786699第5章.网络安全运营监控工作实施管理 181152715.1.实施质量管理 181145745.1.1.网络安全运营监控工作管理方法 18163615.1.2.变更控制管理 182151095.1.3.网络安全运营监控工作沟通管理 182294795.1.4.检查过程控制 1823865.2.保密控制和文档交接 183148765.2.1.保密控制 183网络安全运营体系建设方案全文共197页，当前为第5页。34505.2.2.保密期限 184网络安全运营体系建设方案全文共197页，当前为第5页。254235.2.3.保密信息的归还和销毁 184234765.2.4.保证 18419925.2.5.文档交接 185314735.3.进度控制措施 185219455.3.1.网络安全运营监控工作进度控制的前提

18564695.3.2.网络安全运营监控工作进度控制主要手段

186166185.3.3.进度控制内容

187269625.3.4.不同阶段的网络安全运营监控工作进度控制

18828543第6章.安全运营监控工作实施保障措施 18916546.1.xxx安全运营管理机制优化 18935936.1.1.安全运营体系的起草制定 189304896.1.2.安全运营体系的推广与实施 189197106.1.3.安全运营体系使用过程中的反馈评估 19099226.1.4.安全运营体系规范体系的修订与完善 19069226.2.安全运营监控评价体系建立 190157856.2.1.xxx安全运营评价总则 19027786.2.2.xxx安全运营实施思路 192107006.2.3.xxx安全运营评价框架模型 19221296.2.4.xxx安全运营评价总体框架 19235546.2.5.安全运营分项评价指标体系 193网络安全运营体系建设方案全文共197页，当前为第6页。网络安全运营体系建设方案全文共197页，当前为第6页。网络安全运营监控工作整体构想工作目标及原则工作目标为进一步落实强化公司网络安全保障，有效支撑公司数字化转型战略，建立健全公司网省两级协同的网络安全运行监控机制，形成一体化的网络安全防御、监测预警和应急处置体系。主要实现以下工作目标：（一）坚持统筹谋划、整体推进。统筹公司生产大区、管理大区安全监控重点，统筹资源配置和关键技术管理，构建全网网络安全监测预警能力，推进各项任务的有序开展。（二）坚持协同性，强调分级管控。整合公司内部资源，坚持全网网络安全一盘棋，组建网省两级运行监控队伍，明确工作界面，形成分级协同的安全运行监控体系。（三）坚持实战性，强调安全运营。重点突出网络安全运行监控体系的实战能力与保障能力，以安全事件发现、分析研判、通告预警、响应处置、追踪调查为核心，构建面向实战的安全运营体系，将技术、管理、流程进行有机整合，支撑业务实战，形成能保障业务、促进业务的闭环安全运营。网络安全运营体系建设方案全文共197页，当前为第7页。（四）坚持及时性，强调降低安全事件影响范围。建立网络安全运行监测值班机制，确保及时发现网络安全事件，形成网络安全与系统运行协同的一体化监控、应急防护体系，统筹协调事件处置，全力降低安全事件影响范围。网络安全运营体系建设方案全文共197页，当前为第7页。工作原则标准性原则尽可能遵循现有的与网络安全运营相关的国际标准、国内标准、行业标准，包括在技术框架中与具体的网络安全运营技术相关的标准，以及在管理框架中与安全管理相关的标准。标准性原则从根本上保证了xxx系统建设具有良好的全面性、标准性、和开放性。整体性原则从宏观的、整体的角度出发，系统地建设网络安全运营监控工作，不仅仅局限于安全技术层面，或者技术层面中孤立的安全技术，而是全面构架网络安全运营技术体系，覆盖从xxx系统物理安全、通信和网络安全、主机系统安全、到数据和应用系统安全各个层面。同时，建立全面有效的安全管理体系和运行保障体系，使得安全技术体系发挥最佳的保障效果。实用性原则建立网络安全运营监控工作，必须针对网络和信息系统的特点，在xxx系统现状分析和风险评估的基础上有的放矢地进行，不能简单地照抄照搬其它的网络安全运营保障方案。同时，网络安全运营监控工作中的所有内容，都被用来指导网络安全运营系统的建设和管理维护等实际工作，因此必须坚持可操作性和实用性原则，避免空洞和歧义现象。实用性还体现在网络安全运营监控工作的建设过程中，由于内容庞杂，必须坚持分步骤的有序实施原则，循序渐进地进行建设。先进性原则网络安全运营体系建设方案全文共197页，当前为第8页。网络安全运营监控工作中所涉及的安全技术和机制，应该具有一定的先进性和前瞻性，既能够满足当前系统的安全要求，又能够满足xxx系统未来3到5年时间内，网络安全运营系统建设的需要，为网络和信息系统提供有效的安全服务保障。网络安全运营体系建设方案全文共197页，当前为第8页。网络安全运营体系建设方案全文共197页，当前为第9页。

网络安全运营体系建设方案全文共197页，当前为第9页。安全运营流程分析网络安全运营监控工作活动应该主要包括两个方面：第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。网络安全运营体系建设方案全文共197页，当前为第10页。以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。网络安全运营体系建设方案全文共197页，当前为第10页。安全运营流程分析网络安全运营监控工作流程可以参考上图中的自适应安全框架，以资产为基础，以持续监控与分析为核心，整个安全运营流程可以分为防御、检测、响应、预测四个维度，自适应于不同基础架构和业务变化，形成统一的安全策略。安全预测网络安全运营体系建设方案全文共197页，当前为第11页。网络安全运营监控工作流程中安全预测应该基于资产进行安全预测，虽然xxx都明确要求进行定期资产风险检查，并颁布了明确的信息系统安全资产检查指导性文件。但目前还是存在一定的不足与缺陷，网络安全运营监控工作最重要就是保障平台资产安全，因此需要对平台资产管理定期管理，获取并记录资产中的主机及传统服务器上系统的上的各个端口、网站、Web容器、第三方组件、数据库、进程、账号等信息，进行统一的管理和清点解决安全运营阶段中网络安全监控能力和分析能力不足的难题，尤其针对网络新常态下，暴露资产监控、入侵行为追踪、高级威胁监控、失陷主机发现、漏洞闭环管理、攻击链还原、威胁情报管理等多种高价值安全业务和场景的监控与管理。。网络安全运营体系建设方案全文共197页，当前为第11页。但只有通过统一资产管理从可实时掌握IT系统内部的资产情况，支持资产变更分析对各类资产的变动情况进行记录，便于审计历史变动，自主发现异常行为；从而了解资产的风险，提前做出预测，从外部威胁及系统自身脆弱性两个维度进行全面分析，站在威胁视角，以网络入侵、异常流量和僵木蠕为切入点，做到知彼；站在脆弱性视角，以系统漏洞和网站安全为切入点，做到知己，提供全方位、全天候的感知能力。安全防御网络安全运营体系建设方案全文共197页，当前为第12页。在网络安全运营监控安全防御工作，我们可以根据安全预测的结果及时调整安全防护措施，帮助解决网络设备、安全设备、主机资产等各类形态IT资产，所产生的安全信息孤岛难以形成威胁情报的难题。利用数据采集、实时或准实时等检测技术手段，分析和发现攻击行为、流量异常等安全威胁，通过打通各系统间产生的安全数据，转化为安全情报，实现单一的安全信息能力转化为自适应安全信息能力，弥补用户在网络安全运营数据整合能力、威胁行为预判能力上可能存在的短板。平台各开启各类监控包括登录监控、完整性监控、操作审计、进程监控、资源监控、性能监控。从端点安全的角度，全天候监控服务器的运行情况，能确保第一时间发现服务器问题，最大限度的缩小排除故障时间，帮助单位快速发现安全风险和性能瓶颈。另外，通过安全预测发现的问题系统能自动进行问题归类到漏洞风险及入侵威胁模块中，方便管理人员做针对性处理。网络安全运营体系建设方案全文共197页，当前为第12页。安全检测日常安全检测是不可缺少的工作，能够实时掌握安全风险状况，极大的降低突发事件出现的概率，从安全维护成本上考虑非常有利。通过安全检测对信息系统配置操作是否安全，是安全风险控制的重要方面，安全配置错误一般是人员操作失误导致，而满足大量信息系统设备的安全配置要求，对人员业务水平、技术水平要求相对较高，所以一些行业和大型企业制定了针对自身业务系统特点的配置检查Checklist和操作指南，而国务院《中华人民共和国计算机信息系统安全保护条例》（147号令）以及公安部颁布的一系列网络安全运营等级保护标准，也明确了信息系统安全等级保护测评的纲领性要求。但行业规范和等级保护纲领性规范要求让运维人员有了安全检测风险的标准，但是面对网络中种类繁杂、数量众多的服务器，如何快速、有效的检查，又如何集中收集核查的结果，以及制作风险审核报告，并且最终识别那些与安全规范不符合的网络安全运营监控工作，以达到整改合规的要求，这些是安全检测面临的难题。安全响应网络安全运营体系建设方案全文共197页，当前为第13页。网络安全响应是指在对网络安全事件的事前预防、事发应对、事中处置和善后恢复过程中，通过建立必要的应对机制，采取一系列必要措施，应用科学、技术、规划与管理等手段，保障公众财产、基础设施、应用系统、信息数据等安全，促进社会和谐健康发展的有关活动，因为安全响应是无规律可寻找的，因此我们在日常安全响应工作中要制定规范的应急响应预案。网络安全运营体系建设方案全文共197页，当前为第13页。应急响应预案是指针对可能发生的事故，为迅速、有序地开展应急行动而预先制定的行动方案。网络安全应急预案应形成体系，针对各级各类可能发生的网络安全事件和所有风险源制定专项应急预案和处置方案，并明确事前、事发、事中、事后的各个过程中相关部门和有关人员的职责。要明确了各类网络安全事件分级分类和预案框架体系，规定了应对网络安全事件的组织体系、工作机制等内容，是指导预防和处置各类网络安全事件的规范性文件。综合应急预案是从总体上阐述处理网络安全事件的应急方针、政策，应急组织结构及相关应急职责，应急行动、措施和保障等基本要求和程序，是应对各类网络安全事件的综合性文件。安全运营工作架构网络安全运营体系建设方案全文共197页，当前为第14页。为确保安全运营工作架构能够灵活扩展，方案将安全运营架构按业务功能分为四个模块进行描述：安全防护框架、安全运维框架、安全验证框架、安全度量框架。网络安全运营体系建设方案全文共197页，当前为第14页。安全运营框架安全防护框架安全防护框架包括检测与防护两部分，主要通过在网络不同层次不同域部署各类安全监测探针，提供实时检测能力，为安全运维框架提供可视化信息采集，并通过安全防护设备策略设置，实现安全防护。安全运维框架主要是统一采集安全防护框架各探针的检测数据，并做进一步的处理及关联分析，通过统一展示平台输出事件告警数据，进入事件处理平台和流程，人工介入处理。安全运维框架还包括安全事件的定期review和向管理层汇报。安全验证框架主要是综合通过黑盒白盒验证措施，确保安全防护框架和安全运维框架有效性。安全度量框架通过一系列的安全度量指标，衡量评价安全运营质量水平，并针对性持续过程改进，实现质量的螺旋上升。网络安全运营体系建设方案全文共197页，当前为第15页。系统安全保护环境由安全计算环境，安全区域边界，安全通信网络和（或）安全管理中心组成。相应的，我们认为安全防护框架由安全计算环境，安全区域边界和安全通信网络组成。由于目标环境主要由传统数据中心环境及云计算环境组成，我们在防护框架上也主要考虑通用安全计算环境及云计算环境的需要。网络安全运营体系建设方案全文共197页，当前为第15页。其中，通用安全计算环境主要包括用户身份鉴别、访问控制、安全审计、数据完整性保护、数据保密性保护、客体安全重用、入侵检测、恶意代码防范等要求。针对云安全计算环境，除上述要求在云计算环境的体现外，还需要包括数据备份与恢复、虚拟化安全、镜像和快照安全等要求。通用安全区域边界包括区域边界访问控制、区域边界包过滤、区域边界安全审计、区域边界完整性保护等要求。云安全计算环境出上述要求的体现外，还包括区域边界结构安全。通用安全通信网络要求包括通信网络安全审计，通信网络数据传输完整性保护，通信网络数据传输保密性保护等要求，对云安全通信网络设计，还需要考虑通信网络可信接入保护。安全防护设备通常可兼做安全管理平台的探针，把各类检测数据、防护日志、安全审计记录等传输到安全管理平台做进一步的处理分析。亦可部署专用数据探针，采集环境数据并上传到安全管理平台。安全运维框架的数据上传，需要考虑到底是发送原始检测信息还是处理后的监测告警信息。在需要对事件进行取证溯源的情况下，需要尽量发送原始信息，以便于安全管理平台进行分析。安全运维框架安全运维框架的建设目标是成为企业安全的大脑、神经中枢、耳目和手脚。安全运维框架包括安全管理中心、人与流程三部分。网络安全运营体系建设方案全文共197页，当前为第16页。安全管理中心是企业安全的大脑及神经中枢，通常基于大数据分析平台基础上进行建设。安全运营管理中心应当包括系统管理、安全管理、审计管理。对系统管理，可通过系统管理员对系统的资源和运行进行配置和控制。对安全管理，需具有对攻击行为回溯分析及对网络安全事件进行预测和预警的能力；需具有对网络安全态势进行感知、预测和预判的能力。网络安全运营体系建设方案全文共197页，当前为第16页。安全运维框架的耳目是安全情报、安全监视和侦察系统。通过安全防护框架中的探针数据采集，实现异常行为的实时监测。通过介入安全情报，让安全运维框架看的更远。安全运维框架的建设，需要建设事件处理安全运营监控流程，纳入ITIL事件管理流程，通过下发工单和发送告警邮件、短信等方式进行安全提醒。而安全事件的确认和溯源分析及处置常常通过自动化结合人工分析和确认的方式进行。对于100%确定异常的安全攻击可以通过自动化方式进行阻断。通过安全事件日报、周报、月报等方式对安全事件进行闭环管理。安全验证框架安全验证框架解决安全有效性问题，承担对安全防护和安全运维两个框架的功能验证。安全验证框架是企业安全的蓝军，在和平时期，蓝军扮演着对手角色，利于及时发现、评估、修复、确认和改进安全防护和运维框架中的脆弱点。包括白盒检测（过程验证）和黑和检测（结果验证）两部分。网络安全运营体系建设方案全文共197页，当前为第17页。白盒检测（过程验证）是指建立自动化验证平台，对安全防护框架的管控措施实现100%的全面验证，并可视化集成至安全管理平台中，管控措施失效能够在指定时间内发现。通过自动化验证平台达到：网络安全运营体系建设方案全文共197页，当前为第17页。1）验证探针安全监测功能有效；2）验证探针所产生监测信息到安全管理平台的信息采集有效；3）验证安全管理中心的安全检测规则有效；4）验证告警方式（邮件、短信与可视化展示）有效。基于上述目标，自动化验证要求所验证事件必须为自动化模拟真实事件产生，不能使用插入记录方式产生，同时自动化验证事件应提供判断是否为验证事件的唯一标识。安全管理平台应能检测到验证未通过的系统和规则，并产生告警信息，通知运维人员介入处理。黑盒检测（结果验证）是通过多渠道安全渗透机制和红蓝对抗演习等，先于对手发现自己的漏洞和弱点。渗透测试及红蓝对抗演习需要企业具有较高攻防技能的安全人员，也可聘请专业安全服务机构完成，用于检测安全防护框架和安全运维框架的有效性。安全度量框架安全度量框架主要用于衡量评价安全有效性。安全度量框架可以分为如下几个层次：一是技术维度。通过配置核查系统对资产合规性进行检测，包括防病毒软件的安装率、正常率，各类策略配置是否符合合规性要求；入侵检测的检测率，防护有效性、误报率；安全事件的发生频率，响应时长、处理时长；高危预警漏洞排查所需时间和完全修复时间。基于资产脆弱性及所受威胁进行资产风险评估。基于各类响应及处置情况及事件发生趋势进行安全运维状况评估。部分数据指标可由安全管理平台直接计算得出；部分指标需要通过管理平台数据结合人工分析得到。网络安全运营体系建设方案全文共197页，当前为第18页。二是安全运营成效。包括覆盖率、检出率、攻防对抗成功率。有多少业务和系统处于安全保护之下，有多少无人问津的灰色地带。检出率和攻防对抗成功率都是衡量安全有效性的有效指标。安全运营成效的度量，可以结合安全验证框架进行。网络安全运营体系建设方案全文共197页，当前为第18页。三是安全满意度和安全价值。安全价值反映在安全对业务支撑的能力，TCO/ROI，安全用多少资源，支撑了多少业务，支撑的程度。安全价值还体现在内部的影响力以及对业务的影响力，是做微观安全还是广义安全，是为业务带来正面影响还是负分拖后腿。安全满意度是综合维度指标，可理解为是对安全团队和人员的最高要求，既要满足上级领导和业务部门对安全的利益诉求，又要满足同级横向其他IT团队对安全的利益诉求，还要满足团队内部成员的利益诉求，要提供最佳的安全服务，让安全的用户成为安全的客户，让使用者满意，真的是非常非常有挑战的一件事情。这种度量往往结合使用者访谈等方式进行。安全运营支撑架构结合上述运营流程分析及安全运营架构，设计如下运营支撑体系组成架构：网络安全运营体系建设方案全文共197页，当前为第19页。运营支撑体系组成架构网络安全运营体系建设方案全文共197页，当前为第19页。运营支撑体系主要由安全运营管理中心、安全防护框架、安全管理体系，安全服务体系组成。安全运维架构中的安全运维框架、安全验证框架、安全度量框架三大模块，由安全运营管里中心、安全管理体系、安全服务体系共同实现。安全运营管理中心安全运营管理中心是整个运营支撑体系的大脑和神经中枢。包括网络安全运营监控态势分析平台、4A平台、情报中心、安全控制中心、ITIL平台五部分。其中网络安全运营监控态势分析平台实现整体网络安全态势感知和运维管理功能。4A平台对整个网络业务系统及用户实现集中账号管理、集中认证管理、集中授权管理和集中审计管理的功能。安全控制中心实现封堵、下发防护策略、SDN流表策略控制等的功能。ITIL平台主要实现事件处置流程处理，如工单管理等功能。情报中心接入多源情报信息，并提供给安全管理平台进行关联使用。安全防护框架安全防护框架包括安全域建设及边界安全防护，传统数据中心防护，私有云安全防护，实现对数据中心网络的防护措施，以及为安全管理平台提供探针功能，进行安全数据及审计数据的采集。安全管理体系网络安全运营体系建设方案全文共197页，当前为第20页。安全管理体系通过机构和人员管理、制度和规范管理实现安全组织保障，并指导安全建设、安全运维从流程运行的角度开展系统全生命周期的管理实施工作。网络安全运营体系建设方案全文共197页，当前为第20页。安全服务体系安全服务体系引入专家服务的视角。本着“让专业的人做专业的事”的原则，通过安全专家，提供威胁检测与响应服务、应急响应服务、安全评估服务、渗透测试、红蓝对抗服务，满足安全运维、安全验证、安全度量等的需要。安全运营运行模式安全运营支撑体系包括三个基本元素和一个目标。三个基本元素分别对应于人、技术和流程，这三个要素互相关联、互相制约，共同决定安全防护体系运行的成效。基本元素“人”强调人员组织，突出了任何一个体系中人的重要作用。对于“人”的建设不仅仅是安全组织机构的建设，确立人员的职责，更重要的是制定安全策略，安全管理规范和安全指南。安全策略详细描述了网络安全运营各方面的目标，用于指导安全管理规范和安全指南的建设和修改；安全规范为“人”提供了安全行为的规范和制度，安全指南为实施安全的管理人员或者最终用户提供了安全操作的具体指南和手册。同时，安全建设由于其复杂性和全面性的要求，一个完整的安全组织架构还必须有外部安全服务体系作为有力支撑。此外，对于安全管理规范的制定只是安全管理的第一步，更为重要的是如何将安全管理规范有效地推广和实施，真正成为的安全标准和人员的行为准则。网络安全运营体系建设方案全文共197页，当前为第21页。基本元素“技术”涉及运营支撑体系建设的整个生命周期，“创造价值的不是技术本身，而是通过技术的部署和实现有效地满足了网络的需求”，同样，安全技术的价值也是体现在通过安全技术的部署和实现，推动安全服务提高水平，满足业务需求。网络安全运营体系建设方案全文共197页，当前为第21页。因此，“技术”体系以业务视角为起点，对资产进行归类，梳理关键业务流，分析评估风险，确定风险控制的环节，最终实现具体的安全功能。以网络安全运营评估为切入点和着手点，识别评价当前的网络安全运营风险，作为安全设计和规划的依据。同时，风险会不断变化，风险的管理也必然是动态和长期的，整个技术体系都应当不断地根据新的风险的引入响应变化。动态的安全风险管理思想指导用户关注、监控风险，在风险累积到一定程度，危害业务安全时，及时进行安全策路的调整和新一轮的安全体系完善建设。基本元素“流程”模块不但是技术和人之间的桥梁，也是安全运营支撑体系与整个IT服务管理体系的界面。等级保护支持的各个流程：安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理等流程规范了安全管理活动，按照流程的方式加以组织，并且赋予每个流程以特定的目标、范围和职能，安全管理对组织业务的支持更为彻底和有效。等级保护管理流程为安全管理提供了最佳的操作实践。安全事件可以作为事故管理流程的输入，安全知识库可以作为问题管理流程的输入，任何安全操作必须按照变更管理和配置管理流程进行。网络安全运营体系建设方案全文共197页，当前为第22页。“一个目标”体现了安全运营支撑体系建立的最终目的，是为了保障网络安全运行。而衡量是否达到目标的方法就是定义、评价和管理服务级别。因此，安全的目标的量化体现就是安全体系框架所描述的安全服务提供水平。之所以要在安全体系框架中引入ITIL服务提供，一个重要的原因是：ITIL要求在服务中设计并制定出一致的、可衡量的网络安全运营指标，而不是事后着手。网络安全运营体系建设方案全文共197页，当前为第22页。安全体系框架人、技术、流程本身是互相关联，相互作用的关系。人是核心，技术是基础架构和载体，流程是导向。三要素共同支撑实现了最终的目标：保障系统安全，安全服务满足业务所要求的服务提供水平。综上，无论技术和流程，都应遵循持续改进的永恒定律，逐步培育出自适应的安全运营支撑体系。持续改进的体系运行模式网络安全运营体系建设方案全文共197页，当前为第23页。网络安全运营体系建设方案全文共197页，当前为第23页。安全运营监控工作详细规划方案安全运营监控工作的形成并非一蹴而就，单位管理者应重视安全体系建设，建立起“以人员为核心、以数据为基础、以运营为手段”的安全运营模式，逐步形成威胁预测、威胁防护、持续检测、响应处置的闭环安全工作流程，打造“四位一体”的闭环安全运营体系，通过日常网络安全建设和安全运营的日积月累，建立起相应的安全技术、管理、运营体系，形成面向实战的安全防御能力，主要方式可以通过以下方面进行：（一）进一步加强网络安全运营监控的规范与管理办法的建设，并进一步细化相关配套措施，优化安全运营管理全程规范体系；（二）优化统一的网络安全运营监控中心，统一指导、统一协调、统一督促关键信息基础设施应急管理、公共基础设施信息系统网络安全运营管理等工作；（三）关注网络安全运营监控管理文化建设，通过多种方法、多种形式对人员进行不同层面的网络安全意识教育，提高全民网络安全意识；建立完善的预警检测和通报机制，及时分析安全信息，发布警报信息和制订预警预案，做到有备无患；（四）应密切跟踪网络网络安全运营领域新技术和新应用的发展，开展新的网络框架下网络安全问题的研究，以有效应对网络网络安全运营面临的各种挑战；网络安全运营体系建设方案全文共197页，当前为第24页。（五）积极支持网络安全学科专业和培训机构建设，努力培养一支管理能力强、业务水平高、技术素质过硬的安全运营管理人才和网络安全应急处置人才队伍；网络安全运营体系建设方案全文共197页，当前为第24页。（六）建立健全网络安全运营监控工作评估机制，由定性走向定量，建立统一规范的网络安全运营监控规则、工具、方法和评价标准体系，确保网络安全运营监控工作的安全运营监控和规范化；（七）建立全方位的、开放的、统一的网络安全运营监控工作经验交流，推进行业、地区相互观摩，以加强横向交流和沟通，通过总结经验，把网络安全运营监控工作的最佳实践及时进行推广。安全运营监控工作规划思路提升网络安全运营监控能力（1）建立安全运营监控支撑平台网络安全运营体系建设方案全文共197页，当前为第25页。借鉴国际相关成立网络安全运营监控中心的建设经验，可以选择安全设备及桌面软件及相关决策支持系统为突破口，不断提高网络安全运营监控信息化水平和实用性。通过自主创新和外交合作，加快平台化建设，建立基于云计算的，集预警通报、信息共享、应急指挥协调于一体的网络安全运营监控模拟中心。在线模拟突发事件处置流程和实际操作检验，通过系统进行任务设定和模拟演练，演练结束后，也由系统进行电子测评。最终形成演练全程记录及报告，对演练过程作出评估。建议成立网络安全运营监控中心，建立统一的网络安全运营监控管理平台工作机制和指引，集中力量重点建设一批具有世界先进水平的国家级、区域性、行业性网络安全运营监控中心，使其成为网络安全运营监控的科研、训练、保障和国际交流的重要基地，并通过成果示范提升行业整体水平。网络安全运营监控中心的建立，也将偏流程的网络安全运营监控工作转变为全面演练，真正提高网络安全网络安全运营监控工作的管理和技术水平。网络安全运营体系建设方案全文共197页，当前为第25页。（2）提高网络安全运营监控水平立足我xxx实际情况，坚持理论先行和标准先行，通过技术攻关和实验试点，尽快建立统一规范的网络安全运营监控规则、网络安全运营监控平台、网络安全运营监控方法和评价标准体系及其定期修编制度，确保网络安全运营监控的安全运营监控和规范化。其中建立健全网络安全运营监控绩效评估机制，由定性走向定量，由仅注重实施环节走向覆盖全过程，是网络安全运营监控评估工作的发展趋势。建立明确方法，量化指标，通过系统的全过程全方位的评估总结，将网络安全运营监控工作过程中的感性认识提升为理性认识，并进而转化为预期的应急能力。与此同时，加大行业地区的网络安全运营监控力度，通过多层次、多角度、全方位的网络安全运营监控实践持续改进方法和流程，广泛征求意见并深入论证，力求在充分实践与优化相结合的基础之上，摸索出一套能够指导网络安全运营监控工作高效开展的成熟的网络安全运营监控管理和评估流程，形成完整的网络安全运营监控程序循环系统，从规划、设计、实施到评估和改进，实现对网络安全运营监控工作的全方位管理，从而为各地市电网网络安全运营监控工作实施提供有效指导，提高网络安全运营监控工作的科学性、可行性、有效性。网络安全运营体系建设方案全文共197页，当前为第26页。（3）推广网络安全运营监控工作实施网络安全运营体系建设方案全文共197页，当前为第26页。应要求行业及地区根据各自特点实行精细化网络安全运营监控工作管理，因地制宜，结合电网行业、xxx的情况，探索最有效的网络安全运营监控形式。按照系统重要性、时效性等进行等级划分，预案分级，安排分级，定期，不断提高网络安全运营监控工作质量与水平，结合行业实际情况，对行业网络安全运营监控工作提出要求并落实，及时更新。同时，进一步整合电网部门、科研机构、企业等各方网络安全运营监控资源，建立全方位的、开放的、统一的网络安全运营监控工作经验交流和信息共享平台，推进各行业、地区相互观摩，以加强横向交流、沟通，总结经验，并对网络安全运营监控工作做最佳实践推广。加强网络安全运营监控手段（1）完善预警机制建设在网络安全运营监控工作中科学完善的预警机制不仅能够在突发事件发生前监控、预防灾难的发生，而且在突发事件发生后能够有条不紊的实施处理，最大程度降低突发事件带来的损失。目前xxx在预警机制还比较落后，存在的问题较多，使得这个层面在应对突发事件时往往较为被动和滞后。因此，尽快完善网络安全运营监控应对突发事件的预警机制，提升应急响应能力，也是xxx现阶段面临的重要工作。网络安全运营体系建设方案全文共197页，当前为第27页。在条件允许的情况下，可以考虑建立网络安全运营监控中心，负责协调关键基础设施拥有者和经营者，保障在业务连续性、危害管理、信息系统攻击、网络犯罪、保护关键场所免受破坏等方面的信息共享，并与相关部门建立密切联系，共享网络威胁情报，提高网络安全风险形势研判能力。网络安全运营体系建设方案全文共197页，当前为第27页。（2）加大技术研发应用加强在网络安全运营监控工作及平台方面的研发，密切跟踪网络网络安全运营领域新技术、新应用的发展，加强相关技术特别是关键核心技术的攻关力度，着力开展新的网络框架下网络安全问题的研究，推动网络网络安全运营产业的发展，以有效应对网络网络安全运营面临的各种挑战。随着科学技术的飞速发展，越来越多的新型技术设备和宣传手段被开发并运用到应急工作中。在应急工作中，有条件的机构可考虑运用新型技术和设备，依照自身实际情况开发操作性和可用性更强的系统或软件，并在网络安全运营监控工作中投入使用。应当注意的是，应不断测试系统、检验性能，及时改良。在使用过程中，提高人与设备、系统的磨合度，熟练操作方法，提高实际应用中的操作水平。（3）加强人才能力培养网络安全运营体系建设方案全文共197页，当前为第28页。近年来，网络安全形势的日趋严峻也对网络安全人才、网络安全应急处置人才提出了更高要求。因此，建议从对资源投入给予相应支撑，加强人才队伍建设，完善相关网络安全运营监控工作教育培训，发挥科学研究部门和高等院校的优势，积极支持网络安全学科专业和培训机构建设，努力培养一支管理能力强、业务水平高、技术素质过硬的复合型人才队伍，为加强网络安全应急管理提供坚实的人才保障和智力支持。要不断提高网络安全应急人才队伍素质，定期组织对网络安全人员的能力培训，强化和补充新的网络安全威胁知识，进一步加强对有关网络安全应急一线工作人员技术业务培训。同时，注重培养专门的应急教育人员，使之有效发挥危机传递的重要纽带作用。此外，还要充分发挥网络安全行业企业在网络安全运营监控工作中的作用，科学调配企业中的人才资源，为网络安全运营监控工作提供多元的人力资源支持。网络安全运营体系建设方案全文共197页，当前为第28页。完善网络安全运营监控管理（1）建立健全安全运营管理制度当前，我xxx虽然有开展应急演练等关于网络安全运营监控工作的框架性要求和指导意见。但xxx应该从战略全局的高度，尽量完善网络安全运营监控工作体系与应急机制、制定工作，将网络安全运营监控工作全面纳入系统化的轨道中来。与此同时，辅助有关部门制定网络安全运营监控工作及网络安全事件应急演练业务流程和相关业务标准，进一步加强有关网络安全运营监控工作的标准规范、管理办法，并进一步细化相关配套措施，构建网络安全运营监控工作规范体系。（2）统筹协调，职责明确网络安全运营体系建设方案全文共197页，当前为第29页。完善的网络安全运营监控工作协调机制有助于在网络安全危机发生时有效开展应急协调和资源调度。借鉴美国及欧盟的网络安全运营监控工作经验，辅助成立网络安全运营监控工作中心，作为应对特别重大网络安全突发事件的网络安全运营监控工作机构，统一指导、统一协调、统一督促关键信息基础设施应急、公共基础设施信息系统应急、网络内容管理应急等网络安全运营监控工作，建立不同地区、部门、系统之间网络安全运营监控工作的联动机制。进一步明确行业监管部门与地方机构之间的职责边界，明确网络网络安全运营监控工作任主体，梳理应急工作中的交叉环节和空白地带，把目前仍然较为模糊和分散的网络安全应急管理职能适当加以整合。将不同业务部门所涉及到的不同类型的网络网络安全运营监控工作机制与系统有机地统筹、结合在一个体系中，以避免形成多头监管的局面，提升网络安全运营监控工作体系与系统的应急指挥、协同部署的效率与效能。网络安全运营体系建设方案全文共197页，当前为第29页。（3）加强全民意识宣贯网络网络安全运营监控工作往往更加关注技术和资源建设，而忽略了网络安全运营监控工作文化建设。普通民众缺乏必要的安全观念和危机意识，对于网络安全突发事件的预警、防范意识也较为缺乏，因此要加强安全意识宣贯教育。可以通过多种方法、多种形式对我xxx人员进行不同层面的网络安全意识教育，提升必要的网络安全观念及意识。，以“网络安全运营监控工作演练”的方式促进网络安全应急工作的发展完善。安全运营监控支撑平台规划方案网络安全运营体系建设方案全文共197页，当前为第30页。安全运营监控工作离不开平台及技术手段的支撑，为了更好服务于安全运营监控工作实现对整个目标环境的安全管理与运营。安全运营监控工作的支撑不是单纯依靠某台安全设备就能实现的，而是需要全局进行统筹，对所有的设备进行联动互通，形成一体化的安全运营服务平台。网络安全运营体系建设方案全文共197页，当前为第30页。目前xxx已经部署了防火墙、IPS、SOC、IOS和天眼相关网络安全设备及平台，但目前平台之间数据都是单独存在，无法实现对所有平台的有效联动及采集分析，因此如何构建一体化安全运营管理平台是我们落实网络安全运营监控工作的关键，因此我觉得可以参考上图的网络安全运营平台框架对平台进行梳理及优化，结合目前现状提出如下模块构想。其中包括网络安全运营监控态势分析平台、安全控制中心、威胁情报中心基于大数据安全基础平台之上部署。它们既可以作为独立平台（含大数据安全基础平台部分）单独部署，也可以部署在同一个大数据安全基础平台集群上。在部署在同一个大数据安全基础平台集群时，三者数据可按需共享或隔离访问。大数据安全基础平台网络安全运营体系建设方案全文共197页，当前为第31页。大数据安全基础平台，是整个安全运营监控支撑平台基础平台，为在其上部署的应用提供基础运行环境，实现数据接入、数据存储、应用管理等功能，并为上层应用提供大数据分析所需的组件。网络安全运营体系建设方案全文共197页，当前为第31页。大数据安全基础平台架构大数据安全基础平台功能架构大数据安全基础平台包括所有安全设备的数据接入，北向接口，集群管理、权限管理、系统管理、数据存储及数据管理、数据计算、人物管理、APP管理等功能。基于分布式大数据框架进行实现。在大数据安全基础平台之上运行的应用（如网络安全运营监控态势分析平台），在基础平台进行安装部署，并可按需卸载。网络安全运营体系建设方案全文共197页，当前为第32页。大数据安全基础平台支持分布式多节点部署，应分为Master节点与Worker节点两种。其中Master节点实现对整个集群的管理与调度功能，Worker节点提供大数据计算资源。网络安全运营体系建设方案全文共197页，当前为第32页。大数据平台部署图数据接入处理大数据处理平台一般的处理流程都包括，数据的解析、增强、规范化、统一化处理，最终存入分布式文件系统，提供给其它业务处理模块使用。框架中采用成熟的分布式消息队列、分布式大数据处理框架、分布式流处理和分布式检索技术，提供海量基础日志数据的处理、存储和检索能力，还需要提供框架运行所需要的任务管理和系统监控等功能。分布式消息队列主要用途包括：消息异步处理，业务应用解耦，数据流量削锋以及进程间消息通讯。在大数据处理平台中，使用kafka实现分布式消息队列。其中Kafka利用顺序IO，保证了处理效率，并能够持久化部分数据，在一定时间内保证数据的安全性和可用性，通过分布式机制可以进行平滑升级。在日志数据处理中是最优选择。分布式流处理网络安全运营体系建设方案全文共197页，当前为第33页。使用SparkStreaming，实现分布式流处理，对无边界数据集进行连续不断的处理、聚合和分析，利用Hadoop的YARN资源调度框架实现自动调度处理任务，有效利用集群中服务器资源。网络安全运营体系建设方案全文共197页，当前为第33页。数据存储利用分布式文件系统提供高性能数据存储，提供多备份冗余机制保证数据安全性。对所存储的数据，分为热数据和冷数据部分。依据所存储的数据的特点，分别存储在Hive，Hbase，关系数据库等数据库或分布式文件系统中。为提升海量数据检索能力，提供ElasticSearch，支持分布式索引及存储。数据存储模式为了兼顾数据的存储和检索效率，必须根据业务数据的特征对数据存储进行分区操作。对于列式存储模式：网络安全运营体系建设方案全文共197页，当前为第34页。每种日志数据以二维表的形式进行定义，每种日志系列每天都会构建一个分表，该表会以小时为单位进行分区（Partition）；相同类别的日志以数据库(Schema)的形式进行组织。网络安全运营体系建设方案全文共197页，当前为第34页。对于索引存储模式：每种日志以类型的形式进行定义，相同类别的日志以索引(Index)的形式进行组织，每个索引系列每天都会构建一个新的实例。网络安全运营监控态势分析平台网络安全运营监控态势分析平台从大的方面，包括态势感知与运维两大部分，网络安全运营监控态势分析平台是安全运维框架的重要组成部分，同时，为安全验证框架提供数据，为安全度量框架提供数据及计算支持。对网络安全态势进行感知分析，是网络安全运营的基础。网络安全态势分析模型网络安全态势感知是在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，而最终的目的是要进行决策与行动。传统的态势感知层次模型，包括察觉、理解与预测三个环节。网络安全态势感知层次图网络安全运营体系建设方案全文共197页，当前为第35页。网络安全运营体系建设方案全文共197页，当前为第35页。态势察觉层主要实现要素提取，攻击识别和确认（发现有攻击，确认攻击类型，攻击源和攻击目标），状态确认（从现象抽象成状态，比如说内存使用超过80%〉忙碌状态，可用性受损），网络拓扑变化。理解层对相同类型及不同类型的要素进行关联，比如说把状态变化与具体攻击进行关联；把攻击与漏洞进行关联，或把不同的攻击进行关联形成攻击过程。并且对态势进行量化评估。预测层是对未来趋势及可能性的预测。而随着态势感知应用的发展，目前在产业界与学术界，越来越多的把态势感知与运维闭环结合在一起，强调对态势的感知分析，以及其后所采取的决策闭环。在本方案中，把网络安全态势感知与运维揉在一起，形成网络安全运营监控态势分析平台。网络安全运营监控态势分析平台整体架构网络安全运营体系建设方案全文共197页，当前为第36页。网络安全运营监控态势分析平台整体架构网络安全运营体系建设方案全文共197页，当前为第36页。网络安全运营监控态势分析平台整体逻辑架构如上图所示。网络安全运营监控态势分析平台接收云、网站、终端、中间件、服务器、安全设备的各类探针数据进行分析，对网络安全态势进行感知预测，并作分析展示。同时，对整体网络安全环境进行统一管理，对态势状况进行处置，形成闭环运营。从逻辑架构看，网络安全运营监控态势分析平台分为基础平台、支撑组件、分析组件、运维组件、业务应用等部分。基础平台即大数据安全基础平台，为网络安全运营监控态势分析平台提供基础运行环境，提供数据存储、数据计算、任务管理、集群管理、运行容器、APP管理、系统管理等基础支撑服务。支撑组件层提供非业务层面或能力支撑性的公用组件。包括数据接入、北向接口、报表引擎、工作流引擎、地理组件、漏洞库、知识库等。分析组件指的是面向威胁分析、脆弱性分析等态势分析型的组件。包括攻击识别引擎、脆弱性分析银器、态势推理引擎、态势评估引擎等。运维组件是面向运维管理的组件。包括策略管理、资产管理、云资源调度、扫描管理、设备管理等。网络安全运营体系建设方案全文共197页，当前为第37页。业务应用分为态势感知门户和运维两大门户，提供用户监控及运维可视化接口。网络安全运营体系建设方案全文共197页，当前为第37页。支撑组件数据接入数据接入数据接入组件所接收处理的数据，包括安全日志、流量数据、Flow数据等多种异构环境数据，同时也包括平台级联时的级联数据。数据接入流程包括数据接收、数据解析、日志去噪、数据增强、数据规范化、数据入库等步骤。其中，数据增强由业务插件实现，数据入库不在数据接入组件范围内。数据接收：监听或主动请求方式获取数据。数据解析：把数据识别转换成内部使用的数据结构。数据去噪：过滤去掉错误或无用的噪声数据。数据增强：按照业务需要增加额外字段或对部分日志数据字段进行改写数据规范化：依照日志规范调整日志字段，增加一些标准日志字段。网络安全运营体系建设方案全文共197页，当前为第38页。数据接入组件支持直通网络、异构网络、单向网闸等多种网络接入环境。其中对异构网络及单向网闸使用转发器实现对数据的转发，以适配不同网络环境的数据接入能力。网络安全运营体系建设方案全文共197页，当前为第38页。北向接口北向接口提供平台对外的数据传输或交换接口。包括Syslog、Restful接口、Email发送、SFTP、私有TCP加密通道等接口。通过北向接口，实现平台级联环境下的数据级联发送，并实现对其他平台的数据交换，包括通报预警、运维处置等环境下的数据交换。报表引擎报表引擎实现自定义报表功能，同时提供业务报表的开发接口，以满足不同层次的报表需求。工作流引擎工作流引擎实现对运维工作流的支持。地理库地理库提供对国内外IP地址所处地理位置等的信息查询。包括IPv4及IPv6地理库。漏洞库提供对网络安全漏洞信息的检索查询。包括漏洞ID（含厂商ID、权威漏洞库ID如CVEID等）、名称、发布日期、类别、等级、影响产品、解决方案建议等信息。知识库与威胁建模网络安全运营体系建设方案全文共197页，当前为第39页。知识库主要提供威胁模型、应对措施的的知识管理功能。通过威胁建模，实现对威胁主体、攻击目标、攻击方法、防御手段等的分析。基于知识图谱建立不同元素之间的关系。网络安全运营体系建设方案全文共197页，当前为第39页。威胁建模威胁模型元素分析：结合攻击者视角和防御者视角，统一从威胁主体、资产识别分类、攻击方法和防护手段四个方面展开建模研究。威胁统一描述规范：为BC威胁主要元素构建一套统一的描述规范，以便对威胁数据信息进行范式化处理。基于知识图谱威胁模型：通过知识图谱的分析手段，该阶段的威胁数据和分析模型能够为后续的溯源分析、攻击组织分析、防护策略构建和攻击态势预测提供强有力的支持。网络安全运营体系建设方案全文共197页，当前为第40页。威胁场景建模：从海量告警事件、行为数据和知识图谱的数据中，还原攻击场景、分析攻击手段和攻击者意图、定位脆弱点并制定防护策略，是前三阶段的建模成果的实例化应用。网络安全运营体系建设方案全文共197页，当前为第40页。威胁元素分析分析组件攻击识别引擎攻击识别引擎实现从网络安全日志/流量数据到平台安全事件的识别生成流程。攻击识别引擎完成攻击态势察觉以及部分理解环节的工作。网络安全运营体系建设方案全文共197页，当前为第41页。攻击识别引擎逻辑网络安全运营体系建设方案全文共197页，当前为第41页。攻击识别引擎的输入时安全运营监控后的日志，通过日志分类，其中由安全设备产生的攻击日志（一般包括一些告警特征或攻击方法，攻击源IP、目标IP等信息），通过攻击规则匹配，生成待处理的原始事件信息，攻击回包日志作为攻击结果判断的辅助数据，直接等待进入攻击结果判断环节。其它的诸如流量会话日志、Flow信息、或者审计日志或其它的日志信息，需要通过机器学习进行行为特征判断的，经过“机器学习特征匹配”模块，针对部分特征进行分类或聚类或其它的学习方法，然后依据需要过规则匹配引擎。最后对同一数据触发（同源，主要指时间及会话五元组相同）的原始事件信息进行同源攻击判定，按照攻击类型互斥等原则，判断该攻击最终属于什么样的事件类型，去掉不匹配项，保留最后判定的原始事件，结合回包日志，以及终端日志和其它可表征攻击结果的日志，对攻击结果进行判断。最后对一段时间内的原始日志进行归并老化，生成最终的安全事件。攻击识别引擎，针对海量的多源异构日志，生成最终的安全事件，最终提供给用户看到的事件数量是多个数量级的减少，同时，针对攻击方法和攻击结果进行判断，为威胁运营提供数据依据。脆弱性分析引擎脆弱性分析引擎，接受漏洞处置单数据，处理分析生成资产漏洞及脆弱性数据，包括漏洞发现、修复的信息，并针对漏洞关联资产信息，分析漏洞的影响范围与网络环境的隐患情况。脆弱性分析引擎实现针对脆弱性态势的态势察觉以及理解。网络安全运营体系建设方案全文共197页，当前为第42页。脆弱性分析引擎，同时针对配置核查处置单进行分析，依据配置基线，得到资产配置不符合项，如弱口令、端口服务开放等信息，综合资产漏洞情况，得到资产脆弱性全貌。网络安全运营体系建设方案全文共197页，当前为第42页。态势推理引擎态势推理引擎态势推理引擎，针对攻击识别引擎得到的安全事件做进一步的推理分析，实现态势理解与态势预测。攻击链推理一个攻击者的攻击过程，通常会使用不同的攻击方法，经历多个攻击阶段，在不同的阶段达到不同的目标，最终实现其攻击目的。我们通过攻击链模型描述这一攻击过程。攻击链模型攻击链模型分为七个阶段，下表是攻击链七个阶段的描述及典型例子。网络安全运营体系建设方案全文共197页，当前为第43页。攻击链阶段描述网络安全运营体系建设方案全文共197页，当前为第43页。七阶段描述典型例子侦查对目标进行研究、识别和选择扫描、爬虫、通过社会工程收集信息工具制作制作或开发攻击工具钓鱼网站制作投递把攻击工具投递到目标系统通过邮件发送钓鱼网站渗透通过漏洞利用，在目标系统安装并初始化恶意软件溢出攻击，木马安装控制控制目标系统建立C2信道执行采取行动达到目的拒绝服务，篡改潜伏在目标系统或网络长时间潜伏修改系统日志抹去进入痕迹攻击链模型基于不同层次的态势分解如下表所示：网络安全运营体系建设方案全文共197页，当前为第44页。攻击链态势层次分解网络