实战化的网络安全运行体系是保障业务安全稳定运行的基础,企业必须建立实战化的安全运行体系,以应对日益复杂的网络威胁。实战化的网络安全运行体系涵盖网络安全保障团队、网络安全管理机制、网络安全制度流程、网络安全支撑平台及安全工具等,通过安全运行活动将静态的安全产品构筑为动态的安全防护体系,使企业具备落实网络安全主体责任能力。

网络安全保障团队作为安全运行活动的执行者,依据网络安全工作目标和安全合规性要求,通过持续提升安全技能和安全经验并与先进的安全技术装备相匹配,形成包括纵深防御、主动防御、威胁情报及基础架构安全、安全事件应急处置等领域的技术能力和工作流程,为安全运行常态化打下基础。网络安全保障团队要做到平时保持整体良好的网络安全态势,在面对大型实战演练和重点时期安全保障时能够从容应对,真正成为企业网络安全工作的主力军,同时发挥网络安全保障的重要作用。

以下就企业网络安全保障团队建设从能力构成、机构设置、人才培养和保障措施四个方面给出建议。

保障团队构成

1.能力需求

网络安全由终端安全、数据安全、主机安全、网络及网络边界安全、应用安全等多个维度组成。安全保障团队应具有以下技术能力:

一是以资产为主线的基础架构安全运行能力。包括关键基础设施运维、配置基线管理、漏洞补丁管理等日常安全工作,在攻防演习及重保等防御活动中依据指令或威胁情报对相关资产进行安全加固。

二是以安全策略为主线的主动防御能力。包括网络安全技术防护设施设备的建设和运用、防护策略的全生命周期管理等常态化工作,在攻防演习及重保等防御活动中依据指令或威胁情报临时调整优化策略。

三是以身份认证为主线的安全权限管理能力。包括账号、数字证书、凭证等权限的日常管理和维护,在攻防演习及重保等防御活动中依据指令或威胁情报临时禁用账号或封禁证书、凭证。

四是以威胁或安全事件为主线的应急处置能力。利用安全防护设施,发现和分析安全事件或威胁,制定缓解和处置措施并组织执行。

2.团队角色

按照上述对安全保障团队能力需求,结合企业网络安全及运行维护工作实际,网络安全保障团队定义以下岗位角色:

(1)情报收集员

情报收集人员是打赢网络安全攻防战的“千里眼”和“预警机”。攻防团队中的情报收集人员应能及时有效地收集各类网络安全风险信息、0day漏洞、网络攻击软件以及网络安全发展趋势等情报。担任红队角色时,能有效提供网络攻击软件、相关漏洞信息进行尝试。担任蓝队角色时,可根据掌握的风险信息,提前进行漏洞修复、端口封闭等工作。

(2)网络边界防护员

网络边界防护人员应熟悉整体网络架构,熟悉各类网络安全设备。担任红队角色时,应能够通过网络嗅探、端口扫描、漏洞利用等方式进行初步攻击;在侵入网络后,能够快速摸清网络结构,为下一步攻击提供支持。担任蓝队角色时,在网络层面对恶意IP地址、高危端口进行封堵,初步判断监测设备的安全告警, 抓取数据包,定位攻击类型,再转交操作系统、数据库、代码安全人员进行处置。

(3)操作系统安全员

操作系统是网络安全的关键,操作系统安全人员应能优化操作系统的安全配置,及时给操作系统更新补丁。担任红队角色时,应能够通过操作系统命令对系统进行操作,提取相关主机漏洞,有效进行提权,取得主机控制权。担任蓝队角色时,对相关维护IP地址进行限制,定期检查系统安全,检查是否被植入木马,定期查看系统日志,发现针对主机的网络安全风险。

(4)数据库安全员

数据库安全人员应具备足够的数据库知识,在保证数据库稳定的基础上,做好数据库补丁升级、权限划分、数据库行为审计等相关工作。担任红队角色时,能利用SQL语句完成提权、查询、数据拷贝等任务。担任蓝队角色时,应能做好数据库漏洞修复、用户管理、数据库行为审计等相关工作。

(5)代码安全员

代码安全人员的主要职责是检查程序源代码,发现其中的安全隐患或编码不规范的地方,分析并找到源代码缺陷引发的安全漏洞。担任红队角色时,应能够通过分析网站或应用暴露的代码信息,找到代码漏洞,进而破解密码或上传木马取得突破。担任蓝队角色时,应提前做好重要系统的代码审计工作,先于红队发现编码不规范的地方,或在发生网络安全风险时及时修改代码,消弭隐患。

机构设置

企业应依托本单位网络安全技术人员,组建网络安全保障团队(非常设机构),团队的日常管理应指定部门专人负责。

团队按照“N + X”建制设立。其中,N人为企业内部网络安全技术人员,X人为外聘网络安全技术专家。

企业内部的N名成员中,可参考设置:网络安全保障团队队长1人(由主管网络安全部门负责人兼任)、情报收集员2人、网络边界防护员3人、操作系统安全员2人、数据库安全员2人、代码安全员2人。(其中,网络边界防护员、操作系统安全员、数据库安全员、代码安全员各有1人,可从信息系统运维和使用部门中择优选聘,在履行保障团队工作职责的同时,带动企业整体网络安全技术能力的提升。)

外聘网络安全技术专家X名成员中,可参考设置:聘请高校网络安全专家1人、安全厂商技术专家2人。作为网络安全保障团队专家组成员,日常负责保障团队的技术培训、技术咨询、技术支持工作,攻防演习和重保期间视需要担任安全分析师、渗透工程师、威胁猎杀专家、安全策略优化师等。

网络安全保障团队应建立人员评聘、技术培训、考核评价、演习演练、事件处置、重保值守等工作的制度,定期开展交流培训和攻防演练等活动。根据大型攻防演习或日常演练活动需要及成员技术特点,分别成立红队、蓝队开展工作。

人才培养

建设具有实战能力的网络安全保障团队,归根结底还是对抗性网络安全人才的培养。企业网络安全保障团队人才构成涉及信息技术的各个领域,这些人才应具备网络安全攻防全方面的知识,需要进行体系化的培养。

1.加强与高校、安全厂商的合作交流

一方面,邀请高校、安全厂商人员进入攻防团队共同开展工作,为团队保障提供技术支援。另一方面,将攻防团队成员送往高校、安全厂商学习,充分利用高校、安全厂商的教育资源,系统的学习网络安全相关知识,提升技术能力。

2.参加高水平网络安全认证

组织团队成员根据发展方向参加适合的高水平认证,如情报收集人员、网络安全边界防护人员可以选择CISP这种大而全的知识体系认证,如需要强化渗透方面的能力,可以参加CISP-PTE认证。

3.组织开展各类攻防演练活动

根据网络安全对抗性的特点,要提高网络安全能力,则必须提高实战对抗能力。定期组织攻防团队实施“背靠背”的演练,考验团队安全防护能力、安全事件监测能力和应急处置能力。通过对抗、复盘和研讨,总结经验教训,培养团队实战能力,提升整体网络安全保障水平。

保障措施

1.组织领导

要落实企业主要负责人网络安全第一责任人的职责要求,把网络安全保障团队建设工作作为单位网络安全工作考核评价的重要指标,推动保障团队建设顺利实施。

2.经费保障

企业每年应设置网络安全专项资金预算,主要用于网络安全人才培养(考试认证)、安全设备购置、安全技术专家聘用、攻防演练比赛组织等方面。

3.激励机制

建立健全网络安全保障团队考核激励机制,企业设立网络安全专项考核奖,为安全保障团队成员颁发聘书并纳入该项考核。结合成员在网络安全攻防演习中的成绩、重保时期的工作贡献及日常网络安全工作中的表现,实施动态考核,对积分靠前的团队成员进行绩效考核奖励,对积分排名末尾的团队成员予以淘汰。对在网络安全攻防演习等工作中表现突出的成员,在职称评定、提职提级、先进评选中予以一定的倾斜,充分调动团队成员的积极性。

4.政策保障

鼓励团队人员考取网络安全认证证书,对成功取得证书人员实行培训费、考试费用报销政策。择优公费选送团队成员前往高校、安全厂商脱产培训,进行系统性学习深造。