安全运营服务的应用

智慧城市网络安全威胁急需安全运营

数字中国作为国家战略，离不开一个个智慧城市的建设。而智慧城市基础是构建的大数据中心，依赖电子政务基础架构进行数据共享交互。

随着智慧城市快速发展其面临的网络安全威胁也日益复杂、多变：

1、持续性威胁常态化，我国面临的攻击威胁尤为严重；

2、针对工业控制系统的攻击日益增多，多起重要工业控制系统安全事件应引起重视；

3、大量联网智能设备遭受恶意程序攻击形成僵网络，被用于发起大流量攻击；

4、网站数据和个人信息泄露屡见不鲜，衍生灾害严重；

5、移动互联网恶意程序趋利性更加明显，移动互联网黑色产业链已经成熟；

6、不合法的软件严重威胁本地数据和智能设备安全。

上述威胁急需全天候、多方位地感知整个城市的网络安全，实现对于整个城市网络安全持续性监测，对于城市网络空间面临的威胁进行实时的感知、应对与处置。

安全运营服务——安全运营中心的网络安全治理思路

安全运营不应该仅仅强调技术，是产品和工具的组合，更应该是一套强调以安全合规为前提，以业务风险治理为***，以“安全事件管理”为导向、“解决安全风险”为诉求、“保障网络安全”为目标的长效安全风险治理解决方案。

以深度安全攻防研究，实现网络安全被动治理到主动治理的转变

传统的网络安全治理以“救火式”的安全运维方式开展，对网络安全治理过于被动，无主动探索安全威胁和安全风险的机制。因此安全运营需要解决传统网络安全风险治理的被动局面，通过安全攻防对抗和深度安全攻防研究，以攻击者的视角，看待网络安全治理，转被动安全防御为主动安全防护。

模块化安全运营服务

安全运营服务在设计时也遵循模块化的思想，贴近客户的实际所需。服务产品除按不同安全产品、场景划分。终端安全运营结合天擎、EDR、椒图等终端安全产品，提供管控策略管理、防病毒管理、补丁管理、安全基线管理等运营服务。态势感知运营，结合态势感知产品，主要对监管单位，提供资产梳理、安全事件监测、漏洞验证、处置上报、案件线索分析等运营服务。NGSOC运营服务结合SOC产品， 基于平台通过流量、各类日志关联资产，帮助客户清晰的了解自身安全情况、发现安全威胁。运营服务包括资产管理、安全监控、威胁分析、事件流程管理、管理规则优化、安全态势分析等服务。

安全基线检查服务：为满足安全规范要求，提供直接反映系统自身安全脆弱性的安全配置检查服务，包括账号配置安全、口令配置安全、授权配置、日志配置、IP 通信配置等配置检查。

行为安全审计服务：通过搜集不同设备日志及用户操作行为，运用特定算法分析基于实际不同的安全场景的多维度用户行为是否异常，并提供及时告警信息的行为安全审计服务。

设备安全分析服务：提供各类安全设备产生的事件分析的设备安全分析服务，通过收集防御系统、下一代防火墙、Web应用防火墙、邮件网关等防护设备日志，定期分析并筛选有价值安全事件，并通知用户。

恶意文件分析服务：基于在线沙箱和人工文件分析，对恶意文件（可提交文件的基本信息、危险行为、文件操作、注册表操作、进程操作、网络访问等）的行为进行分析。

威胁分析服务：持续对用户责任网络空间范围内存在的威胁事件进行分析，并在监测到安全事件或威胁行为后即时通告用户，指导用户调整安全配置及阻断威胁行为。