3.2　安全运营管理体系建设

建立安全运营管理体系，定义并明确安全职责类别，依据安全职责设置安全岗位并配备与之对应的人员，通过人才培养及能力培养、安全意识教育培训，建立安全规划开发、安全风险管控、漏洞挖掘利用、安全防御响应、安全问题改进、安全指挥调度等多支队伍，建立与外部机构的沟通和合作机制，所有相关人员需设立专职岗位和编制，制定人才培养和发展计划，以及构建人员能力评估体系和考核体系，实现安全运营人员队伍管理。

3.2.1　关键角色定义

安全运营管理关键角色定义如表3-1所示。

3.2.2　管理组织架构

管理组织架构是项目成功的重要组成部分，为保障安全运营中心建设顺利开展，以及项目在建设完成后能够达到建设要求并形成一套不断完善的改进体系，需从安全的机构建设到人才建设进行全面保障，不断夯实安全工作，做到分工明确、责任清晰、任务到人、考核到位。

为满足安全运营中心建设需求，在完成基础安全设施建设的同时，需要建立安全服务和保障队伍及相关责任部门。安全运营中心整体分为四级团队，以联动模式为各子安全运营中心提供运营服务。

安全运营四级团队的职责如下。

四线运营后台—安全运营专家团队：提供在线咨询、安全培训、情报关联分析、顶层规划设计、在线应急指导、调度指挥等服务。

三线数据中台—安全运营分析团队：提供威胁建模、安全运营策略制定、安全情报分析分享、安全知识案例分析等服务。

二线业务中台—安全运营人员：提供威胁狩猎分析、安全运营指导、现场应急响应处置、安全场景分析定制等服务。

一线业务前台—安全运营机器人：提供7×24小时威胁检测服务，辅助驻场人员进行平台维护等服务。

安全运营四级团队如图3-1所示。

此外，还需设立安全运营管理部、安全运营部、安全技术研究部和安全运维部，聘请安全专家与安全工程师组成安全运营专家委员会，如图3-2所示。

（1）安全运营中心：由安全运营专家团队组成，支撑各子运营中心。

（2）安全运营专家委员会：由安全专家与安全工程师组成，为重大安全事件的调查分析、重要安全策略的制定、重大保障任务的执行提供智力支持。

（3）安全运营管理部：主要负责安全策略的制定和执行监督。根据法律法规、等级合规、内控规范和业务需求与数据拥有者一同制定数据保护机制；与业务部门和应用部门一起制定认证和授权机制；根据等级保护合规要求、内控规范、审计要求制定相关的监测机制；所有这些机制由安全基础设施和安全运营中心执行并由安全管理处进行监督。

（4）安全运营部：为各子运营中心负责告警事件的分析判断、调查取证、追根溯源、事件处置等工作，主要工作内容包括：安全服务、安全监控运行、安全事件处置、安全运营平台维护等。

（5）安全技术研究部：主要负责安全策略与对策、安全新技术的研究，新型攻击手法研究，对安全运营中心所涉及的高危漏洞的研究分析，未知威胁的探索发现，组织进行内部的红蓝对抗演练及时发现新的安全风险，并将这些成果转化为知识库和安全分析模型，同时负责威胁情报的搜集和管理工作。

（6）安全运维部：根据安全策略的要求进行安全基础设施规划、建设及日常的运维工作，安全配置策略的统一管理、变更工作。其中，安全基础设施是安全信息的主要来源和安全措施的主要执行点。

（7）安全服务：主要负责组织外部资源和内部资源共同完成重大安全任务，如建立重保小组完成重保工作的组织和执行、建立应急响应小组完成重大安全事件的响应和处置；每个季度组织内、外部资源进行渗透测试和风险评估；执行内部安全意识培训工作。

（8）安全监控运行：由一线安全分析师和二线安全分析师组成。一线安全分析师7×24小时值班，对由安全运行管理平台通过自动化分析生成的安全告警事件进行初步的快速判断，过滤无效告警；二线安全分析师对一线安全分析师不能明确的安全告警进行最终分析判断，再次过滤无效告警。

（9）安全事件处置：对确认的安全事件分析其危害程度、波及范围等，确定是否启动应急响应；对安全事件进行溯源分析、调查取证；周期性地进行安全风险评估工作。

（10）安全运营平台运维：负责安全运营平台的监控和维护、安全分析模型和分析规则的开发和维护、态势展现内容的开发和维护。

（11）基础设施安全运维：主要负责基础设施的安全扫描、安全分析、策略变更、安全加固、安全监控、应急响应等。

（12）安全基础设施规划设计建设：主要负责安全基础设施的规划方案的编写及落地实施。