安全云运营能力，是指政企单位在日常生产经营活动中，对信息化系统进行持续的安全建设和安全运营过程中，或者是在网络安全实战攻防演习过程中，需要用到的网络安全技术与实战能力。主要包括：检查与整改、监测与分析、响应与处置、溯源与反制等实战化运营能力，以及软件/设备的安装与调试、云安全运营、终端安全运营和其他特定的安全运营能力。

一、软件、设备的安装与调试

软件/设备的安装与调试能力，主要是指能够在政企单位的机房中或信息化系统中、安装部署和调试常见网络安全产品（包括软件和硬件）的技术能力。常见的网络安全产品主要又可分为包括终端安全管控、云安全管控、防火墙、入侵检测等防护类产品，以及EDR、NDR、SOC/态势感知、流量威胁检测、日志审计、上网行为管理等监测类产品。

防护类：终端安全掌控、云安全掌控、防火墙、入侵检测。

监测类：EDR、NDR、SOC/态势感知、流量威胁检测、日志审计、上网行为管理。

二、检查与整改

检查与整改，主要是指在网络安全运营过程中，或在网络安全实战攻防演习之前，对机构网络安全建设与运营的摸底排查和整改加固工作，目的是通过事前有针对性的自查工作，提前发现问题、提前消除隐患。其中包括：安全检查、整改加固与规则优化这3个小类，11项具体能力。
安全检查：资产梳理、基线检查、渗透测试/漏洞发现、有效性验证。
整改加固：应用漏洞修复与升级、安全设备加固、安全策略优化、防护措施补全。
规则优化：规则优化、降噪、威胁建模。

三、监测与分析

监测与分析，是指通过各类网络安全设备或系统，对机构内部网络中发生的各类网络安全威胁事件进行实时监测和分析研判的安全工作。监测与分析，不仅是日常网络安全运营过程中最主要的工作，也是网络安全实战攻防演习过程中最为主要的基础性工作。监测与分析工作，具体来说又可以分为告警监测与事件分析两个小类和9项具体能力。
告警检测：终端告警、服务器告警、流量告警、业务系统告警、蜜罐/密点告警、其他安全设备告警。
事件分析：安全事件识别、攻击手法识别、被攻击目标识别。

四、响应与处置

响应与处置，是指在完成安全事件的分析或通过追踪溯源完成对攻击者的研判之后，安全人员需要在第一时间对网络安全防护系统进行优化配置，阻断网络攻击活动，阻止事件影响扩散的各类具体工作。要做好响应与处置工作，不仅需要具备基本的应急响应能力，还需要具备常见应急场景处置的经验，其中共包含2小类10项具体能力。
应急响应：失陷设备隔离、无补丁漏洞修复、数据恢复、应急工具包。
常见应急场景：常见木马/病毒处置、网页篡改、DDoS防御、流量劫持恢复、数据泄露。
APT。

五、溯源与反制

溯源与反制，是网络攻防活动中，防守方抑制攻击活动的重要举措。其中，溯源，是指对网络攻击活动的源头进行追溯的一种安全方法，包括7项具体能力。而反制，是指在溯源的基础上，通过各种技术及社工手段，对攻击者进行渗透、控制、数据获取等反向攻击活动，以实现压制攻击活动、抓捕攻击者等目的，包括5项具体能力。
追踪溯源：日志分析、操作系统排查、流量数据分析、内存与进程分析、威胁情报检索、社交网络溯源、代码同源性分析。
攻击反制：反向Web漏洞利用、黑客工具漏洞利用、反向社工、蜜罐/蜜点部署、常见黑客工具使用。

六、云安全运营

云安全运营是指在云计算环境中，通过一系列安全措施和运营策略，保护云计算资源和数据的安全性、完整性和可用性的过程。主要包括云安全防护，云安全攻防和安全运营管理。
云安全防护：云安全架构、云基础设施安全、制品安全、云运行时安全。
云安全攻防：云环境下攻防矩阵、云环境下攻击手法、云环境下攻击检测与防御。
云安全运营管理：云安全运营管理。

七、终端安全运营

云安全运营是指在云计算环境中，通过一系列安全措施和运营策略，保护云计算资源和数据的安全性、完整性和可用性的过程。主要包括云安全防护，云安全攻防和安全运营管理。
基础运营管理：终端资产登记、终端应用管理、终端分组管理。
安全运营管理：安全策略配置、终端系统加固、终端入口防护、病毒查杀、主动防御、高级威胁防御、网络外联防护。
常见威胁防御：远控木马、勒索病毒、挖矿木马、窃密木马、流氓软件、漏洞利用。
运营管理平台：终端安全管理平台、安全运营平台（SOC平台）。

八、其他运营能力

云安全运营是指在云计算环境中，通过一系列安全措施和运营策略，保护云计算资源和数据的安全性、完整性和可用性的过程。主要包括云安全防护，云安全攻防和安全运营管理。

协同指挥与决策：安全规划、响应流程制定、防守角色分配、指挥与决策。

情报收集：公开信息情报收集、威胁情报平台使用、自制情报收集工作。

报告撰写：应急处置报告、防守成果报告、总结整改报告。

AI辅助运营：AI辅助事件分析、AI辅助事件处理、AI辅助溯源分析、AI辅助报告生成。

​

原创 励行安全