企业网络安全保障团队建设构想
实战化的网络安全运行体系是保障业务安全稳定运行的基础,企业必须建立实战化的安全运行体系,以应对日益复杂的网络威胁。实战化的网络安全运行体系涵盖网络安全保障团队、网络安全管理机制、网络安全制度流程、网络安全支撑平台及安全工具等,通过安全运行活动将静态的安全产品构筑为动态的安全防护体系,使企业具备落实网络安全主体责任能力。
网络安全保障团队作为安全运行活动的执行者,依据网络安全工作目标和安全合规性要求,通过持续提升安全技能和安全经验并与先进的安全技术装备相匹配,形成包括纵深防御、主动防御、威胁情报及基础架构安全、安全事件应急处置等领域的技术能力和工作流程,为安全运行常态化打下基础。网络安全保障团队要做到平时保持整体良好的网络安全态势,在面对大型实战演练和重点时期安全保障时能够从容应对,真正成为企业网络安全工作的主力军,同时发挥网络安全保障的重要作用。
以下就企业网络安全保障团队建设从能力构成、机构设置、人才培养和保障措施四个方面给出建议。
保障团队构成
1.能力需求
网络安全由终端安全、数据安全°、主机安全、网络及网络边界安全、应用安全等多个维度组成。安全保障团队应具有以下技术能力:
一是以资产为主线的基础架构安全运行能力。包括关键基础设施运维、配置基线管理、漏洞补丁管理等日常安全工作,在攻防演习及重保等防御活动中依据指令或威胁情报对相关资产进行安全加固。
二是以安全策略为主线的主动防御能力。包括网络安全技术防护设施设备的建设和运用、防护策略的全生命周期管理等常态化工作,在攻防演习及重保等防御活动中依据指令或威胁情报临时调整优化策略。
三是以身份认证为主线的安全权限管理能力。包括账号、数字证书、凭证等权限的日常管理和维护,在攻防演习及重保等防御活动中依据指令或威胁情报临时禁用账号或封禁证书、凭证。
四是以威胁或安全事件为主线保障团队构成力。利用安全防护设施,发现和分析安全事件或威胁,制定缓解和处置措施并组织执行。
2.团队角色
按照上述对安全保障团队能力需求,结合企业网络安全及运行维护工作实际,网络安全保障团队定义以下岗位角色:
(1)情报收集员
情报收集人员是打赢网络安全攻防战的“千里眼”和“预警机”。攻防团队中的情报收集人员应能及时有效地收集各类网络安全风险信息、Oday漏洞、网络攻击软件以及网络安全发展趋势等情报。担任红队角色时,能有效提供网络攻击软件、相关漏洞信息进行尝试。担任蓝队角色时,可根据掌握的风险信息,提前进行漏洞修复、端口封闭等工作。
(2)网络边界防护员
网络边界防护人员应熟悉整体网络架构,熟悉各类网络安全设备。担任红队角色时,应能够通过网络嗅探、端口扫描、漏洞利用等方式进行初步攻击;在侵入网络后,能够快速摸清网络结构,为下一步攻击提供支持。担任蓝队角色时,在网络层面对恶意IP地址、高危端口进行封堵,初步判断监测设备的安全告警,抓取数据包,定位攻击类型,再转交操作系统、数据库、代码安全人员进行处置。
(3)操作系统安全员
操作系统是网络安全的关键,操作系统安全人员应能优化操作系统的安全配置,及时给操作系统更新补丁。担任红队角色时,应能够通过操作系统命令对系统进行操作,提取相关主机漏洞,有效进行提权,取得主机控制权。担任蓝队角色时,对相关维护IP地址进行限制,定期检查系统安全,检查是否被植入木马,定期查看系统日志,发现针对主机的网络安全风险。
(4)数据库安全员
数据库安全人员应具备足够的数据库知识,在保证数据库稳定的基础上,做好数据库补丁升级、权限划分、数据库行为审计等相关工作。担任红队角色时,能利用SQL语句完成提权、查询、数据拷贝等任务。担任蓝队角色时,应能做好数据库漏洞修复、用户管理、数据库行为审计等相关工作。
