導入
現在の複雑かつ厳しいネットワークセキュリティ環境において、国内大手企業は自社のネットワークセキュリティチームを編成し、自社のセキュリティ機能の構築を強化し、ネットワークセキュリティ運用の統合に向けて動き始めています。しかし、企業のセキュリティ運用は受動的なものから積極的なものへと徐々に変化し、人材、管理、テクノロジーを組み合わせて、ネットワーク セキュリティの監視、早期警告、保護、検出、対応、廃棄を包括的にカバーする動的なプロセスになりました。企業がこのプロセスを十分に実現しようとする場合、管理システム、技術システム、人事システムを結合し、「管理と技術を同等に重視し、予防を同等に重視する」という企業の安全操業システムの構築を実行する必要があります。そして保護」。近年、セキュリティ運用システムに関する多くの研究は、セキュリティ要員保護技術プラットフォームに焦点を当てており、システム完成後のセキュリティ運用管理の自動化や知能化には限界が生じています。この記事は、信頼性、完全なシナリオ、実戦に基づいた「安全運用」の概念から始まり、企業の実際の状況と業界の安全運用のベストプラクティスを組み合わせ、安全運用システムの全体的な枠組みを提案し、安全運用機能の特徴を詳しく説明し、標準化されたプロセスとサポート保証は、企業ネットワーク セキュリティ運用の統合を実現するためのガイダンスを提供します。
1 安全運転体制の全体的な枠組み
技術・経営・人材の三次元から企業の安全運営体制を構築します。ビッグデータ、人工知能、SOARなどのテクノロジーを活用し、クラウドと地上の専門家の連携により、全天候型、継続的、実用的、自動化された「8種類のセキュリティ機能」を提供します。正常性、全体状況、監視、コンプライアンスなどの多角的な視点から、インサイドアウトのアプローチでセキュリティオペレーションセンターを構築し、企業に「8つのセキュリティサポート」を提供します。
2 安全な操業と施工の目標
企業は自社の現状から出発し、以下の目標を達成するために統合的な企業安全運営構築計画を策定する必要があります。
-
企業のセキュリティ運用を関連する国および業界の法律および規制の保護要件に準拠させると同時に、「動的な認識、インテリジェントな監視、プロアクティブな対応、およびパノラマの可視化」というセキュリティ監視のビジネス目標を達成して、ネットワーク セキュリティ インシデントを確実に可視化します。正確に、そして深く見てください。
-
企業の各ビジネス モジュールが直面するネットワーク セキュリティ リスクを継続的に管理および制御し、セキュリティ リスクを軽減できます。ネットワーク、通信、情報システムの安全・安定・信頼性の高い運用を実現するため、「先進の技術、安全性と信頼性、充実したサービス」を備えたセキュリティ運用体制を構築します。
-
企業の「基本的な運用保証、資産セキュリティ管理、脅威リスクの検出と制御、脆弱性の検出と制御、セキュリティリスクの報告と処理、セキュリティリスクの検証と測定、セキュリティ検査とリスクの予防」の一連のプロセス全体をカバーする必要があります。企業のセキュリティ運用のライフサイクル全体の管理を形成し、クローズドループにより、企業は「脅威の警告、協調的な対立、管理性と制御性、およびインテリジェントな防御」という運用サポート機能を完全に備えることができます。
3 安全運航の能力と特徴
企業のセキュリティ運用には、次の 4 つの主要な機能が必要です。
3.1 クラウドおよびローカルの脅威インテリジェンス機能
サイバー空間でのホットなイベントをタイムリーに追跡し、脅威の評判評価を実施し、ホットな脆弱性などのセキュリティ イベントをいつでも取得して、専門家レベルのセキュリティ傾向分析、特に詳細な相関分析と多変量分析を理解できる必要があります。セキュリティ インシデントの原因を追跡し、インシデントの犯人を特定し、最終的にそれを視覚化プラットフォームを通じて表示できる必要があります。
3.2 ネットワークのセキュリティ状況を把握する能力
エンタープライズ ビジネス システムのセキュリティ、状況認識、攻撃イベントの追跡可能性、潜在的な脅威の早期警告機能の全体的な表示を実現できる必要があります。現在を感知して現在のセキュリティ状況を把握したり、過去を調査して過去の攻撃プロセスを復元したり、将来を予測して将来の脅威を早期に警告したりすることができます。
3.3 全天候型の脅威の監視および分析機能
セキュリティ インシデントが発生した場合、イベントの監視または監査を通じてセキュリティの脅威をタイムリーに検出し、損失と影響を軽減するための運用上の提案をできるだけ早く提供できる必要があります。セキュリティ インシデントの発生後は、その発生源を追跡できます。攻撃を検出し、セキュリティインシデントの根本原因を確認し、対策を講じます。安全上の危険を排除し、インシデントの再発を防ぎます。
3.4 包括的な共同セキュリティ運用機能
基本的なセキュリティ保護とシステム セキュリティ運用を通じて、人、クラウド、地上、マシンの効果的な統合を達成できる必要があります。クラウド セキュリティ チームは、積極的な防御、脅威の認識、脆弱性分析、リスク警告、インテリジェンスの共有と情報伝達の機能を備え、企業のローカル セキュリティ チームと協力して、包括的な共同セキュリティ運用を実現する必要があります。
4 安全な作業のための標準化されたプロセス
4.1 セキュリティ運用計画
「すべては事前に行われなければ、すべてが台無しになってしまいます。」ということわざにあるように、計画的かつ安全な運用があって初めて、混乱なく忙しくし、半分の労力で 2 倍の結果を得ることができます。安全運行計画には論理的思考と現実との組み合わせが必要であり、積み重ねることを忘れないでください。安全業務全体の目標と方向性は現実的であり、ビジョンは長期的であり、目標は高く設定される必要がありますが、具体的な対策と行動は現実的で、現実的で、行動計画にブレークダウンされている必要があります。最終計画の有効性を確保し、企業の安全を確保するために 1 つずつ実行します。セキュリティ運用計画の全体的な考え方は、需要分析、現状調査、セキュリティ成熟度評価、リスク分析、青写真の説明の 5 つの段階に分けることができます。
需要分析段階:さまざまな業界の要件や規制基準に応じて、調査の初期段階で十分なコミュニケーションが行われ、需要調査フォームが整理されます。
現状調査段階:企業のセキュリティ運用の現状を調査・分析し、既存のセキュリティリスクやセキュリティ管理戦略などを整理します。
セキュリティ成熟度評価: 業界の現状とベスト プラクティスを組み合わせて比較分析を実行し、企業のネットワーク セキュリティ成熟度レベルを評価します。
リスク分析: 企業の既存のリスク ポイントを要約し、高および中リスク ポイントに優先順位を付けて、全体的なセキュリティ最適化計画を提案します。
ブループリントの説明: 企業の将来の発展と要件を予測し、国の要求、業界の要件、および将来の開発に準拠した全体的な安全運用計画のブループリントを説明します。
4.2 安全運航計画の策定
安全運転システムは、「人」、「技術」、「プロセス」の3つの基本要素で構成されており、「人」が中核、「技術」がインフラとキャリア、「プロセス」が方向性であり、これら3つの基本要素は互いに補完し合い、影響し合い、制約し合います。相互に評価し、安全性と運用システムの有効性を共同で決定します。基本要素「人」は人員組織を強調し、あらゆるシステムにおける人の重要な役割を強調し、人員の責任を確立し、安全戦略、安全仕様、安全機能を策定します。「テクノロジー」はセキュリティ運用システム構築のライフサイクル全体をカバーし、ビジネスの観点から企業資産を分類し、主要なビジネスフローを整理し、リスク管理における主要なリンクを決定し、最終的には特定のセキュリティ機能を実装します。「プロセス」は「人」と「技術」の架け橋であり、各プロセスには具体的な目標、範囲、責任が与えられ、その後の安全運転管理を有利に担保します。企業のセキュリティ運用計画は、人材、テクノロジー、プロセスの 3 つの基本要素を中心に設計する必要があります。
4.3 セキュリティ運用管理
セキュリティ管理活動におけるさまざまな管理内容に基づいてセキュリティ管理システムを確立し、最終的に日常の管理運用手順に導入し、セキュリティポリシー、管理システム、指針となる運用手順からなる包括的なネットワークセキュリティ運用システムを形成し、ネットワークを効果的に標準化します。企業内のあらゆるレベルの部門のセキュリティ運用と管理。企業は厳格な管理システム規定を策定し、手順、方法、範囲を公表するだけでなく、安全運行管理システムを定期的に見直し、改訂する必要があります。
安全な運転のための5つの動作インジケーター
5.1 セキュリティベースライン指標
企業のセキュリティ評価、評価指標、サイバーセキュリティ法、データセキュリティ法、クラス保証 2.0 などの法規制要件を組み合わせて、企業システム、ネットワーク、セキュリティ機器、セキュリティ管理のベースライン仕様を策定します。セキュリティ ベースライン自動化ツールの助けを借りて、エンタープライズ ビジネス環境における特定のセキュリティ構成要件を達成し、初期評価 -> 強化 -> 再評価 -> 再強化 -> 改善のためのレビューという閉ループ管理を実現できます。レビューワークフローを改善します。
5.2 脆弱性管理指標
脆弱性インテリジェンス情報を最大限に活用し、インテリジェンスが脆弱性管理プロセスの運用を開始し、インテリジェンスが脆弱性修復対応レベルの分析に参加し、迅速な対応メカニズムを確立する必要があります。セキュリティ スキャン、デバイスの脆弱性ライブラリのアップグレード、脆弱性のトラブルシューティング、およびパッチの修復を必要に応じて時間通りに完了し、100% の脆弱性修復率を保証する機能。脆弱性の公開後は、指定された期間内に修正を完了し、企業情報管理部門にフィードバックする必要があります(例:高リスクの脆弱性は 3 営業日以内、中リスクの脆弱性は 7 営業日以内)。日、低リスクの脆弱性は 1 か月以内に完了する必要があり、クローズドループの脆弱性管理を形成します。
5.3 日常の安全義務
企業のすべてのオンラインシステム、ネットワーク、セキュリティ機器の稼働状況を定期的に検査し、報告書を発行します。企業情報管理部門通知、業界通知、セキュリティベンダーからのセキュリティ通知等と合わせ、事業部門と連携して各種セキュリティ強化作業を早急に実施し、脆弱性、ウイルス、トロイの木馬の影響を最小限に抑え、継続性を確保します。主要事業の安全と安定稼働。
5.4 機器の監視と管理
日常点検計画の策定、セキュリティ運用管理センターによる重要設備の稼働ログ情報の把握、設備稼働状況の分析、各種セキュリティ設備や重要業務システムのセキュリティイベント警報への迅速な対応、事業部門と連携して是正を完了するさまざまなリスク項目のレビュー、パッチ管理、ログ管理、ポリシー管理などの一般的な技術的問題に対する修正提案を積極的に提供します。
5.5 設備のセキュリティ管理
企業のセキュリティ機器台帳を定期的に整理し、あらゆるレベルでの管理責任を明確にします。安全運転管理システムの要件を厳格に遵守し、安全設備管理システムを少なくとも年に1回更新し、資産管理の責任を明確に分割し、同時に設備責任者ラベルを更新して、誰が責任を負ってもよいようにします。
5.6 セキュリティリスクの検出
企業のオペレーティング システムにおける潜在的なセキュリティ脅威を特定し、脆弱性検出、脅威検出、不審なイベントの監視などの方法を使用して、潜在的な脅威のセキュリティ リスク検出を実施し、これに基づいて脅威分析 (セキュリティ脅威分析、セキュリティ(隠れた危険分析、重要情報システムのセキュリティ状況分析など)を行い、脅威分析レポートを作成します。同社が新しく立ち上げたビジネス アプリケーション システムは、ホストの脆弱性検出、セキュリティ ベースライン検証などを含むセキュリティ テストを実施し、システムのオンライン セキュリティ テスト レポートを出力し、ビジネス リーダーによる修正を支援できる必要があります。
5.7 セキュリティリスク管理
企業のビジネス要件に従って、脆弱性スキャン、セキュリティ検出、セキュリティ評価を定期的に実行できる必要があります。企業の実情に応じて必要なアップグレード提案や構成最適化提案、関連する強化提案に対する最適化計画を提供します。エンタープライズビジネスモジュールの重要性、資産保護などの要素に基づいて包括的な評価が行われ、セキュリティリスクを最小限に抑えるために脆弱性修復のための優先的な推奨事項が迅速に提供されます。
6 安全運航のためのサポートと保証
業務システムの長期安定稼働と業務データの安全性を確保するためには、安全運用のためのセキュリティ保証の仕組みや人事管理を充実させ、情報セキュリティ管理を継続的に向上させる必要があります。これには、情報セキュリティ業務の全体的なセキュリティ ポリシーと戦略の策定、セキュリティ管理業務の全体的な目標、範囲、原則、セキュリティ フレームワークの明確化が含まれます。安全管理活動における各種管理内容に基づいた安全管理体制を確立し、作業者が行う日常管理業務の手順を確立します。セキュリティポリシー、管理体制、運用手順等から構成される包括的なセキュリティ管理システムを構築し、企業内の情報セキュリティ管理を指導・標準化します。安全管理システムは、厳格な管理システム規制とリリース手順、方法、範囲に従っている必要があり、定期的に見直して改訂する必要があります。
6.1 プロセスシステムの保証
企業環境のあらゆるレベルに適用できる一連のセキュリティプロセス、策定、運用保守作業計画、検査基準を確立し、対象環境におけるネットワークセキュリティ運用の標準化と効率化を図り、各ビジネスシステムの安全な運用を確保します。長期的かつ安定した方法。セキュリティ プロセス保証の実装には、比較的固定されたモデルが必要です。つまり、「人々は特定のセキュリティ技術的手段の助けを借りて、セキュリティ ポリシーの指導の下で業務を継続する」ということです。安全管理手段が明確に表現できなければ、安全技術手段を有効に活用することは困難になります。したがって、セキュリティ管理の考え方や手法をまずポリシー文書の形で明確にし、ポリシーに従ってセキュリティプロセスを適切に策定する必要があります。安全管理は、明確な責任、分業、統一管理の原則を遵守し、集中指揮管理メカニズムの下でさまざまなレベルおよびさまざまな管理範囲の安全管理作業を調整する必要があります。具体的には、経営戦略、管理組織と人材、システム運用、システム構築などが挙げられますが、これらに限定されません。
6.2 技術的なプラットフォーム機能のサポート
セキュリティ運用基盤の能力保証には、主に脆弱性管理、脅威管理、イベント管理の対応範囲を大幅に向上させることと、セキュリティ運用効率を向上させる技術力の2つのカテゴリーがあります。前者は主にセキュリティ機器の連携を指し、機器による脆弱性、脅威、イベント監視の自動化を実現し、効果的な監視範囲を向上させます。後者はセキュリティ運用管理プラットフォームを指し、主に脆弱性、脅威、イベントの自動管理機能を実現します。
6.3 人材の能力サポート
安全な運用システムの中核となるのは人材の能力であり、効率的な運用システムは高品質な運用サービスチームと切り離すことができません。企業は、完全な職務設定、必要な人員配置、および合理的な組織構造を備え、ビジネス知識に熟達し、複雑な問題を解決できる総合的な業務人材階層を育成し、組織管理、緊急対応、コミュニケーションおよび調整を改善する必要があります。連携機能、企業ネットワークのセキュリティ運用を保護するための、専門的で標準化された準軍事運用サポート チームを構築する取り組み。
7 結論
この記事では、企業のセキュリティ運用システムの全体的なフレームワークを紹介し、構築目標、セキュリティ運用機能の 4 つの主要な特徴、およびセキュリティ運用システムの標準化されたプロセスについて詳しく説明します。また、セキュリティ運用システムの背後にある運用指標とサポート保証についてもまとめており、企業が構築後のセキュリティ運用管理の自動化とインテリジェント化を実現する際の限界を効果的に突破できるように支援し、企業が真にインテリジェントで統合されたセキュリティ運用を構築するための方向性を提供します。システムです。
セキュリティ運用システムは、エンタープライズ ネットワーク セキュリティ構築の基盤であり、将来のエンタープライズ セキュリティ構築のニーズと方向性をサポートおよび導きます。これを継続的に改善し、ビジネスに高いセキュリティ機能を提供し、企業により多くの価値を生み出すにはどうすればよいかが重要です。ネットワーク セキュリティ運用の持続可能な発展の鍵となるのは、提案を考え、最適化することです。