张清周

当前，随着计算机信息通信技术和互联网的发展与结合，网络安全已经渗透到我们的工作、学习、生活等方方面面，网络的便利性越来越受到人们的重视；但是网络安全威胁事件也处处发生在身边，需要我们提高警惕。自2017年《网络安全法》的颁布施行，网络安全已经提升到国家层面和法律层面；2019年进入等保2.0时代，网络安全形势更加严峻，如何防护和运维网络已经成为网络安全参与者研究的重要课题。该文通过参考国家安全标准及文献检索，对当前网络安全的背景风险的进行了分析，在此基础上提出安全运营的解决方案，以此提升安全能力。

（一）信息安全压力巨大

1.国家、主管部门强监管

国内网络安全相关的政策法规不断完善，2017年《网络安全法》等一系列涉及信息保护的法律法规出台，给不少企事业单位敲响了警钟；明确了网络安全已经提升到法律层面，公安机关对网络安全进行监督检查。

2019年《网络安全等级保护基本要求》正式实施，标志着网络安全正式进入2.0时代，安全保护等级规范要求更严格；各行各业管控要求不断推出，政府部门正在以实际行动监管着企事业单位的网络安全保护状况。

2.信息数据安全影响更大

除了政府机构的监管，企事业单位在接受相关网络安全参与的同时也会关心自已的隐私信息有没有被滥用或者泄露，一旦发生信息泄露，可以用法律武器维护自身权益，但也会对相关企事业单位的信息保护措施产生质疑，失去信任。企事业单位有责任和义务对用户信息数据进行保护。现在越来越多核心技术、财务数据、业务数据等以数字形式存储于企事业单位网络中，稍有不甚就有可能被外泄，核心技术是企事业单位的竞争的关键，一旦失去将会严重影响企事业单位发展，而财务数据以及业务数据的安全也关乎着企事业单位的未来业务开展。

3.安全防御建设难度增大

企事业单位的网络应用越来越多，网络边界不明显、数据分布零散以及数据多渠道流转也加大了数据的保护难度，再加上各种设备接入網络系统，很容易被他人趁机入侵带走机密。信息安全官作为企事业单位信息保护的统筹以及实施者，真正做到网络安全风险的前瞻性，部署网络安全管控时全面高效的并不多，不知道网络安全风险有哪些，如何制定网络安全管控方案？或者是只对当前出现的安全问题进行管控，没有考虑未来可能出现的安全风险以及扩展问题，这些都会导致网络安全建设不到位，很难应对变幻莫测的信息安全问题。

（二）安全投入大、效果差

1.偏重安全设施建设，忽略安全管理

大量的安全建设投入到购买安全防护设备：防火墙、IPS、IDS、WAF、态势感知、安全审计等系统，但对于安全管理制度的执行、安全体系的建设、安全事件的处理等管理方面不够重视，导致安全设施没有很好的发挥其作用。因此，因管理的问题导致的安全事件时有发生。

2.自身安全能力不足，提升提高困难

毫无依据的安全建设投入，以及安全事件驱动机制，导致企事业单位的安全能力得不到提升，将主要的精力和资源都投入到日常的琐碎安全事务中。同时，缺乏体系化建设目标，无法将经验很好的积累，从而使整体的安全能力处于一个较低水平。

（三）安全防护和运营的难点

1.面临人员技术能力不足问题

企事业单位限于人员编制及岗位设置的原因，无法配置专职的安全人员；同时，由于信息技术发展迅速、外部威胁日新月异，人员的安全能力并没有同步提升，无法应对新的网络安全问题。

2.信息安全经费短缺，投入不足

企事业单位对于信息安全的建设投入不足，无法有效全面的将网络安全防护体系建立起来，从而留下了网络安全隐患。

网络安全运营的目标和宗旨：从识别、检测、防御、响应、恢复5个方面，基于PDCA模型构建动态的网络安全运营体系，通过安全运营方案帮助用户构建自适应的安全能力。

（一）风险识别能力提升方案

1.提升方案简述

定期对所管理的资产档案进行更新，保持资产档案与实际资产一致，对资产信息、配置信息进行周期性维护。同第三方威胁情报提供商合作，第一时间对0day漏洞、安全事件进行响应；及时评估风险威胁度，及时加固与应急处置。对相关的系统漏洞安全、应用漏洞安全、漏洞安全、病毒安全预警及时通告。

2.风险识别措施

运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度。对已识别的风险进行定性分析、定量分析和进行风险排序，制定针对性的抵御威胁的防护对策和整改措施，转移或降低风险等级，将风险控制在可以接受的水平。

1.提升方案简述

对基础设备、操作系统及网站类的预警巡检，通过网络安全防护措施，对网络中的主机、操作系统、中间件、web应用、数据库等网络资源进行统一监控。

2.安全检测措施

通过等级保护测评、漏洞扫描、配置核查、渗透测试、密码测评、应用安全测评等技术手段发现系统存在的网络安全问题，提出专业的安全解决方案，并进行安全漏洞修复验证、安全措施升级工作。

（三）安全防御能力提升方案

1.提升方案简述

定期组织相关人员开展安全意识培训配置工作，包括：全员的安全意识培训，以及关键技术岗位的技术培训、基础技能培训、专业培训、认证培训等。

2.安全防御措施

通过专业的网络安全团队综合分析安全缺陷和问题，对网络加固、策略加固、漏洞修复、设备防护、代码加固、数据加固，帮助组织100%解决现有安全问题；全方位的帮助企事业单位开展日常的网络安全运维工作。

建议每年集中组织一次网络安全意识培训，对系统管理、安全管理和运维人员进行的信息安全专题培训，其目的是普及信息安全意识，提高关键岗位人员网络安全知识。

（四）安全响应能力提升方案

1.提升方案简述

对网络安全事件分析、等级划分、应急处置、总结和报告等多方面响应；对问题原因进行分析，并进行整体的网络安全加固，防止类似安全事件再次发生。

2.安全响应措施

积极配合监管部门/行业主管的安全检查工作。检查期间从技术层面和管理层面找出企事业单位存在的安全隐患，积极整改提升安全响应能力。建立应急响应预案，在重大安全事件发生时进行及时有效的处置；7*24小时应急响应待命，不间断的进行安全事件处置及漏洞修复；最大限度发现和修复已知问题，提升组织应急响应效率，降低安全事件发生的概率。

（五）安全恢复能力提升方案

1.提升方案简述

制定重要核心数据备份策略，当出现不可预知的灾难性事件时，使用对应的备份数据进行及时的数据恢复，保障业务的连续性以及服务的可用性。

2.安全恢复措施

建立应急备份恢复机制，数据问题发生时及时有效的处置；同步进行重要核心数据的恢复工作；事后对数据安全事件分析，全面安全检测，确保类似数据问题不再发生，将数据泄露导致的损失降至最低。

安全是一种能力，网络安全运营需要秉承新时代、新安全、新运营的思维方式，才能在网络安全的浪潮中识别、防范、抵御、处置风险问题，进入常态的安全运营。

作者单位：山东道普测评技术有限公司