xx安全运营中心规划与设计方案

安全运营中心设计与规划方案

1.1安全运营体系设计方案

1.1.1安全运营框架设计

设计背景

中国xx集团信息技术有限公司（以下简称“信息公司”）是由国家电力投资集团公司（以下简称“中国xx集团”）按照国家对中央企业信息化建设的总体要求，根据中国xx集团信息化建设的实际需要出资成立的全资子公司。信息公司是中国xx集团推进信息化的技术支持机构和专业服务机构，负责中国xx 集团和各二级单位信息系统的实施、推广，信息系统的安全管理和运维工作，承担中国xx集团信息化方面投资管理、外包业务管理等工作，落实中国xx集团信息化建设规划和年度工作任务。

随着信息技术的飞速发展和外部威胁环境日益严重，中国xx集团对网络安全工作开展的稳定性和秩序性需求日益增加，希望通过构建持续安全运营体系，打造安全运营能力，实现对集团总部及数据中心信息内外网深度安全监测预警，提升动态防御、主动防御水平，到2020年形成与中国xx集团国际一流综合能源企业相匹配安全运营能力。

设计依据

本次设计主要参考以下外部合规要求。

序号法律、发文、标准内容依据

1、《网络安全法》第二十一条：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

全管理体系要求ISO27001 到分配和沟通。最高管理层应分配责任和权限以A确保网络安全管理体系符合本标准的要求，B向最高管理者报告网络安全管理体系绩效

运营体系设计工作方法

网神公司根据多年的经验积累，以及对国家等保、ISO 27001的深入理解，采用体系化咨询的思路进行xx集团的安全运营体系建设进行安全咨询。

设计工作包括需求调研、体系框架设计、体系建设实施规划和落地实施。规划需求调研包括现状与安全需求调研、管理域识别与风险评估，体系框架设计包括组织体系设计、制度体系设计、流程体系设计和技术体系设计，体系建设规划包括规划需求分析、体系建设蓝图、行动路线设计，成果推广包括项目试点。

－规划需求调研是安全运营规划的起点，通过对xx集团的信息资产进行评估，结合国际标准、等保标准，进行现状调研，识别安全活动及安全需求，得出组织面临的风险，形成规划安全需求。

－安全运营框架设计，依据信息安全需求，进行需求分析，结合ASA自适应模型、等保2.0标准和行业最佳实践形成符合xx集团的安全运营体系框架，在框架下对组织体系、制度体系、流程体系进行详细设计。

组织体系建设帮助xx集团建立或完善信息安全组织体系及各级组织间的工作职责，以及相应岗位和员工安全工作的流程。

制度体系建设是建立xx集团的安全策略，根据策略建立组织的管理制度、标准规范、操作细则等。

运营流程体系建设为了确保xx集团业务的正常开展，而对通信网络、计算环境、区域边界、基础设施等进行流程保障，确保后续信息安全工作流程标准化和指导性。

－体系建设规划是为了明确安全运营建设方向和步骤，设计建设实施蓝图。

体系建设蓝图，对实施任务从紧迫性、可实施性等评价任务优先级，依据项目之间的关联性形成体系实施蓝图。

行动路线设计，设计安全运营三年行动计划。

－成果推广是为了传递项目成果，验证安全运营规划成果的落地性和路线图的适配度。

总体运营架构

整体安全运营服务架构包括“服务对象”、“运营服务”、“服务方式”、“平台工具”、“数据来源”，全面覆盖中国xx集团的网络安全工作。本次项目以“构建持续安全运营体系，打造安全运营能力，实现对集团总部及数据中心信息内外网深度安全监测预警，提升动态防御、主动防御水平”为目标。

安全运营服务是面向集团总部、数据中心和二三级试点单位的的信息化资产，包括网络、信息化基础设施、信息系统、终端技术设备、数据等资产。

安全运营服务内容包括对网络安全资产台账进行持续治理服务，并通过全流量威胁及风险感知服务对资产进行持续监控，对资产全漏洞和风险实施全流程管理，并对网络安全事件进行及时预警等。

安全运营服务方式采用远程为主，现场为辅的两种监控方式，运营分析人员在现场对平台安全状态进行监控，对威胁告警进行分析，及时发现安全威胁风险，并采取必要措施。二线和三线采用灵活支撑的方式。

态势感知与安全运营平台是开展各项监控服务的基础，对资产、漏洞、威胁事件的管理的主要抓手，平台各组件则实现对流量、资产、日志等信息的采集。

通过平台的大数据分析能力对采集数据以及外部威胁情报、漏洞预警信息进行关联分析，可以确保安全威胁感知全面准确。

1.1.2安全运营服务编排

安全运营服务体系的建设，需要多个服务项予以支撑，服务项可划分为基础服务、增值服务、专项服务三部分，基于运营服务是支撑安全运营日常工作的主要形式，是增值服务和专项服务的基础。

基础服务清单

基础运营服务包括资产管理、漏洞管理、威胁分析、预警通知等服务内容，通过基础运营服务可帮助用户掌握自身的资产情况，及时发现面临的内外部威胁风险等，提高自身的安全体系健壮性。

1.资产管理

（1）资产信息梳理

一线运营人员对xx集团的各类资产进行梳理，识别资产属性，进行资产应用识别、资产攻击面分析、资产变更管理，结合运营人员监控分析结果及时发现资产异常连接，发现脆弱性资产。

梳理内外网的主机设备、办公终端、网络设备、安全设备、应用系统等资产信息，梳理基础网络拓扑信息，协助xx集团建立完整的资产档案信息，维护资产分类和资产属性，能够从组织架构、地理位置、业务分组等不同纬度进行资产的维护和管理。针对不同的资产类别，有针对性的梳理资产的关键信息，保证资产信息的良好的可用性，具体梳理资产范围包括但不限于资产类型、WEB应用类型、中间件、开发语言、开放服务及互联网开放端口等信息。

（a）主机类资产：IP、开放端口、中间件及版本（如：Apache、Tomcat、WebLogic、Nginx）、数据库及版本（如：PostgreSQL、MySQL、SQL Server、 Oracle）、承载业务、开发语言（如：Java、PHP）、操作系统（Windows、Linux）、安全域（如：开放区、核心区、隔离区）、是否面向互联网、责任人及部门等信息。

（b）网络设备类资产：IP、厂商、设备类型（如：VPN、负载、代理服务器、