网络安全技术网络安全运维实施指南.pdfVIP

网络安全技术网络安全运维实施指南

1范围

本文件提出了网络安全运维参考框架、网络安全运维提供方和运维人员条件、网络安全运维效果评

估模型，给出了运维管理、识别、防御、监测、响应和协同等网络安全运维主要工作环节的实施内容。

本文件适用于网络安全运维提供方、网络安全运维需求方。可为网络安全运维的实施提供指导，也

可为网络安全运维需求方、第三方机构对网络安全运维实施效果和安全防护水平进行评估提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20984信息安全技术信息安全风险评估规范

GB/T20986-2023信息安全技术网络安全事件分类分级指南

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069-2022信息安全技术术语

GB/T28827.3-2012信息技术服务运行维护第3部分：应急响应规范

GB/T32914-2023信息安全技术网络安全服务能力要求

GB/T42446信息安全技术网络安全从业人员能力基本要求

GB/T42461信息安全技术网络安全服务成本度量指南

3术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。

网络安全运维cybersecurityoperationandmaintenance

组织为抵御网络空间安全威胁，控制网络安全风险，确保业务持续、稳定运行，保证业务承载数据

的保密性、完整性和可用性，统筹技术、流程、人员和管理等要素，持续开展识别、防御、监测、响应、

协同等工作的一种网络安全服务方式。

[来源：GB/T30283-2022，3.10有修改]

4缩略语

下列缩略语适用于本文件：

DDOS：分布式拒绝服务攻击（distributeddenialofserviceattack）

DNS：域名系统（domainnamesystem）

IT：信息技术（informationtechnology）

MSS：托管安全服务（managedsecurityservice）

1

SaaS：软件即服务（SoftwareasaService）

SLA：服务级别协议（servicelevelagreement）

SOC：网络安全运维中心(securityoperationscenter)

5概述

网络安全运维参考框架

网络安全运维包括运维管理、识别、防御、监测、响应和协同六个环节。运维管理对网络安全运维

的整体活动进行管理和规划，考虑组织网络安全长期改进和投入需要做出的决策，提出网络安全运维整

体方案。运维管理、识别、防御和监测四个环节是针对网络安全风险防范的常态化持续性工作，在整个

网络安全运维活动中是一个长循环过程。同时，识别、防御、监测和响应这四个环节又是针对网络安全

事件处置的应急性工作，在整个网络安全运维活动中是一个相对较短的循环过程。协同包括了组织内外

部的协调与协作，目的是提高组织的安全运维的效能与防护水平。网络安全运维的模式、内容需与运维

需求方协商一致，并在网络安全运维过程中，基于服务级别协议（SLA）和运维实际效果进行评估，评

估的结果用于进一步改进网络安全运维的管理和实施水平。

网络安全运维活动存在长循环、短循环两种工作方式。在短循环内分配的资源（人员、预算、系统、

跨部门、外部第三方）内，需要持续改进以解决安全响应与处置的业务过程中出现的问题。例如，任务

的简单自动化，用于事件或数据分析平台工具的改进，以及报告事项的审查等。而长循环需要从长期的

观点和规划角度来考虑持续改进网络安全事件的发现、响应与处置的效能，例如，引入新的安全产品、

对安全策略的审查以及针对安全系统进行的大规模配置更改与升级。针对网络安全运维效果的评估既

是长循环的驱动力，也是短循环的驱动力。

网络安全运维参考框架如图1所示。

图1网络安