持续风险监测 *** 安全框架—— 持续风险监测体系内容

近年来， *** 安全形势变化明显，原有的安全常态被打破，为应对 *** 威胁、监管要求、安全防护的新变化，中测安华必达实验室提出了持续风险监测 *** 安全框架，并命名为“持续风险监测体系”。

一、持续风险监测体系框架

持续风险监测体系主要面向系统安全工程的安全运营阶段，其主要内容是用系统化 *** 解决安全新常态下面临的 *** 安全挑战，实现全面掌握风险情况、及时评估风险变化、快速灵活应对风险的安全运营目标。

持续风险监测体系以风险监测为基础，通过不间断、全方位地开展协同防护，对保护对象的威胁、数据和漏洞三个安全要素进行持续安全运营的设计，实现人、机、信息的协同联动，构建体系化的 *** 防御阵地。

此体系以安全要素、持续 *** 和协同机 *** 为核心理念，围绕 *** 空间的威胁、数据和漏洞等安全要素，秉承持续性评估、持续性建设、持续性监测的风险监测 *** 论，在人员、数据和设备协同的工作机制下，提升 *** 安全风险的控制水平，保障客户的安全防护水平。

持续风险监测旨在通过构建 *** 安全的瞭望塔、烽火台和司令部来驱动 *** 安全运维，带动人员、设备等协同运作，系统化地解决新常态下的 *** 安全问题。

二、持续风险监测体系内容

持续风险监测体系围绕安全要素、核心 *** 和协同机制三个核心理念，通过 *** 论和具体实施内容逐层展开构建。

1.安全要素

安全要素是安全运营阶段面临的技术型风险要素，结合信息安全风险管理理论和 *** 安全实践，安全要素包括：威胁、数据和漏洞。

威胁是可能对客户的信息系统造成危害的潜在起因，内容包括威胁模型和威胁数据。其中，威胁模型是威胁的描述标准、语言等，如：ATT&CK模型、KillChain模型等，威胁数据是威胁模型的具体内容，例如：木马样本、攻击工具等。

数据是与保护对象相关的数据，内容包括数据价值和数据风险。数据价值是数据资产的重要程度，例如：核心数据、索引数据等；数据风险是数据面临的风险内容，例如：明文数据、暴露数据等。

漏洞是指信息系统涉及物理层、 *** 层、系统层和应用层等各个层面的安全漏洞，内容包括漏洞风险和漏洞缓解措施。漏洞风险是指漏洞的危害程度，例如：高风险远程漏洞等；漏洞缓解是指漏洞的修复、缓解措施，例如：漏洞修复补丁等。

2.持续 ***

持续 *** 是以持续性的安全运营理念来帮助客户持续发现风险问题、持续解决风险隐患，从而以螺旋上升方式提升客户风险控制水平，包括：持续性监测、持续性评估、持续性加固。

与传统的安全监测相比，持续性监测不仅针对 *** 攻击开展相关监测，还要持续性地监测外部威胁变化和内部业务变化，及时发现并掌握风险的特征、危害等，开展持续性的安全响应；同时，基于持续性的跟踪和积累，不断完成技术溯源和多方位分析，以发现潜在的未知威胁。持续性监测包括：威胁监测、数据治理、漏洞管理。威胁监测是指对内外部的 *** 攻击威胁进行监测； 数据治理是围绕数据资产开展的相关监测和治理工作；漏洞管理包括互联网漏洞监测、政企内部漏洞监测管理等内容。

持续性评估强调以按需开展和持续不断的方式进行风险识别和评估，即基于客户新的（或有变化的）业务功能或外部威胁情报信息指引，以动态按需的方式启动风险识别和评估。持续性评估包括安全测评和风险预警。安全测评是围绕政企信息系统开展的较为全面的风险评估；风险预警是随着业务或威胁变化随时对业务风险进行的评估预警。

持续性加固是在持续性监测和评估的基础上开展安全加固，既要调整现有防护策略进行安全加固，也要对未来的安全建设进行规划设计，对评估结果形成有针对性的治理与应对建议，通过整改和修复实现安全防护闭环。持续性加固内容包括安全运维和安全规划。安全运维是指日常的安全加固运维活动；安全规划是指根据现有 *** 威胁发展，对未来 *** 安全建设运营进行规划。

3.协同机制

协同机制是持续监测落地实施的必要手段，包括：人员协同、数据协同和设备协同等。

设备协同指监测设备与防护设备的协同，终端设备与 *** 设备的协同，以及 *** 层不同功能的设备之间需要建立协同联动，从而完成攻击的发现和防御。设备协同内容包括安全设备协同防护。安全设备协同防护指各类安全系统设备、 *** 设备、终端设备等系统设备之间通过数据共享、策略联动等方式进行的 *** 安全协同监测、协同防护等防护行为。

数据协同指安全事件告警数据、威胁情报数据协同，以及态势感知协同，能够实现数据各个层面的协同，提升发现和抵御攻击的效果。数据协同内容包括：安全数据协同分析、安全态势协同感知。安全数据协同分析指为发现模式、识别异常和掌握趋势等，实施的对大规模多源 *** 安全相关数据的综合分析。安全态势协同感知指通过威胁情报、日志、专家知识库等各类协同分析实现的 *** 安全态势感知。

人员协同指不同类型专业人员之间的协同，如漏洞分析、木马分析、应急响应、服务团队、一线运维人员的相互协同，实现不同层级之间的协同工作。人员协同内容包括：安全事件协同响应、安全专家协作机制、安全组织协调机制、 *** 安全指挥协同等。安全事件协同响应指对安全运营组织对发生的 *** 入侵、破坏等安全事件的响应处理机制；安全专家协作机制引入外部专家协作处理安全事件、分析安全风险的工作机制；安全组织协调机制指为应对安全事件和风险，与相关产品厂商、安全厂商、服务商以及 *** 相关的执法、监管机构进行工作协调和支持的工作机制； *** 安全指挥协同指大型组织实现体系化 *** 安全运营联动而建立的指挥和协同工作机制。

三、持续风险监测体系特点

持续风险监测体系通过监测发现风险，通过监测认识风险，通过监测调整防护措施降低规避风险，实现协同企业内部和外部资源相统一，实现监测近期和远期安全风险相统一，实现调整现有防护措施和建设新型加固措施相统一。其特点主要体现在系统性、持续性、及时性等三个方面，具体如下：

1.系统性

系统性体现在协同管理、风险管理和安全联动三个方面。其中，协同管理包括：人员能力协作管理、数据资源利用管理、设备响应协同管理。风险管理包括：外部威胁变化和内部业务变化的风险评估，近期和远期相结合的风险评估，局部和全局相结合的风险评估。安全联动指监测、加固、评估跟踪的安全措施协同联动。

2.持续性

持续性体现在持续跟踪、持续监测和持续流程方面。持续跟踪指对历史 *** 安全事件、潜在安全威胁、未来安全变化等开展持续跟踪。持续监测指对内部的 *** 安全事件、防护实施、外部的攻击能力和趋势变化等开展持续监测。持续流程指在运营过程中开展持续性地监测、评估和建设。

3.及时性

及时性体现在及时预警、及时应对和及时加固方面。及时预警指根据外部威胁变化，及时提供面临的风险变化；根据业务变化，及时提供业务风险情况。及时应对指根据风险级别变化，及时提供应对方案。及时加固根据 *** 安全事件，及时提供应急响应以及反馈加固。

四、 *** 安全框架对比分析

与传统的 *** 安全框架相比较，持续风险监测体系的是在 *** 系统已经被攻陷或未来将被攻陷的假设基础上构建，通过系统性的调动资源和持续性的监测分析，从而及时地发现当前或未来的风险，修复规避风险。

为评估持续风险监测体系的优势，本文从闭环防护、防护全面性、分等级防护和防护敏捷性等方面将持续风险监测体系与当前典型的 *** 安全框架进行对比。其中，闭环防护指防护流程闭环，防护过程是一个动态迭代发展的过程。防护全面性是指能够从多个维度覆盖所有的保护要素。分等级防护是指能够根据安全强度实现分等级的防护，支持安全防护成本与风险的平衡，安全防护能力通常可度量。防护敏捷性强调在高风险环境中主动性地发现处置 *** 安全风险，实现“及时发现、快速反应、灵活应对”。典型 *** 安全框架模型特点对比结果如下所示：

总结

持续风险监测体系通过系统性的持续协同监测构建“全面掌握风险情况、及时评估风险变化、快速灵活应对风险”的 *** 安全防御能力，从而不断提升 *** 安全运营的能力水平，实现 *** 安全防御与 *** 威胁相匹配的能力。