数据安全运营体系建设

安全运营是由多个独立的工作子集形成，通过建立整体性（通用性）的工作机制，将独立个体进行有效串联，从而形成整体的、持续性的、可监管性的工作过程。安全运营是保障业务在安全环境下稳定运行的基础。数据安全作为组织整体安全运营一部分，具有整体性和独立性。整体性强调与整体运营工作的结合，如事前的漏洞检测，事中的安全处置，事后的复盘分析。独立性强调数据安全管理工作过程中对运维目标的针对性，如数据资产梳理（如数据流向、数据分类分级等）、数据安全防护策略、数据安全持续性评估、数据安全运营监测指标的设定等。

一、指标体系建设

       安全运营强调覆盖率、准确率(误报)、召回率（漏报）、复发率、时效性。（引自《企业信息安全建设知道》），本篇为数据安全运营体系建设，所以在此基础上，形成针对数据安全运营所应关注的指标。

1.1.覆盖率

第一级（通用）：资产元数据管理覆盖率、安全防护技术覆盖率、数据安全持续性检测评估对业务的范围覆盖率、漏洞管理覆盖率等。

第二级（提升）：数据流动场景覆盖率、规则策略防护维度覆盖率、数据差异化管控覆盖率、数据安全评估检测项覆盖率等。

1.2准确率(误报)

第一级（通用）：资产管理的准确率（不该管理的管理了）、数据安全防护技术策略的准确率、漏洞检测的准确率等。

第二级（提升）：数据静态资产准确率、数据动态管理准确率、数据安全审计、访问控制、脱敏、加密的策略准确率等。

1.3召回率（漏报）

第一级（通用）：资产管理的召回率（该管理的未管理）、数据安全防护技术策略的召回率、漏洞检测的召回率等。

第二级（提升）：数据静态资产召回率、数据动态管理召回率、数据安全审计、访问控制、脱敏、加密的基础策略召回率、数据差异化管理策略的召回率等。

1.4复发率

第一级（通用）：资产管理复发率（同样问题，持续复发）、数据安全防护策略复发率、漏洞管理的复发率等。

第二级（提升）：数据静态资产错误复发率、数据动态管理错误复发率、数据安全审计、访问控制、脱敏、加密的基础策略错误复发率、数据差异化管理策略错误的复发率等。

1.5时效性

第一级（通用）：资产监测管理时效性、数据安全防护策略完善的时效性、漏洞处理的时效性等。

第二级（提升）：数据静态资产时效性、数据动态管理时效性、数据安全审计、访问控制、脱敏、加密的基础策略时效性、数据差异化管理策略时效性等。

二、日常工作机制

      数据安全运营工作机制，可从预测、防御、检测、调查/取证四个维度，以持续性监控和分析为核心，依托ITIL工作流程，将建立的指标体系进行有效结合，形成可收敛的运营体系，使业务运转良性化，实现安全与业务目标一致。详情见下图：

预测包括主动分析风险暴露、预测攻击和重新设定系统基线等手段。

防御包括加固和隔离系统、诱导攻击、控制拦截等手段。

检测包括事件监测、确定及定性风险检测、隔离事件等手段

调查/取证包括修复/变更策略、设计及对策略变更建模、调查与取证等。

ITIL流程包括事件管理、问题管理、变更管理、发布管理和配置管理。

指标体系包含覆盖率、准确率、召回率、复发率、时效性。

三、应急响应

应急响应建设可参考PDCERF（包括准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段）方法。PDCERF并不是应急响应的唯一方法，在实际应急过程中不一定严格按照6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。

准备阶段：以预防为主，主要工作涉及识别机构、企业的风险，建立安全政策，建立协作体系和应急制度。按照安全政策配置安全设备和软件，为应急响应与恢复准备主机。

检测阶段：主要检测时间已经发生的还是正在进行中，以及事件产生的原因。确定事件性质和影响程度，以及预计采用怎样的资源来修复。

抑制阶段：限制攻击/破坏波及的范围，同时也是在降低潜在的损失。所有的抑制活动都是建在能否正确识别检测时间的基础上的，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。

根除阶段：通过事件分析找出根源并彻底根除，以避免攻击者再次使用相同的手段攻击系统，引发安全事件。

恢复阶段：把破坏的信息彻底还原到正常运作状态。确定使系统恢复正常的需求内容和时间表，从可信的备份介质恢复数据。

总结阶段：回顾并整合应急响应过程的相关信息，进行事后分析综合和修订安全计划、政策、程序、并进行训练，以防止入侵的再次发生。