刘凯-安全运营提升经验与实践（11页）.pdf

1、关于框架：安全运营三层模型SO3L介绍关于定位：组织和职责是做好安全运营的第一要素关于成长：成长就是不断自我进化关于评价：指标和实战是衡量运营能力的重要手段关于案例：平安集团安全运营团队案例二则作者：刘凯 时间：2020.9.10主题：主题：安全运营提升经验与实践安全运营提升经验与实践关于框架：安全运营三层模型关于框架：安全运营三层模型SO3LSO3L（Direction FrameworkDirection Framework、Work Story and User Case ElementsWork Story and User Case Elements）IDID名称名称关键字关键字说明

2、说明SODF01建设到运行不影响、支持促进建立或维持各项安全措施、流程、工具的可用性、有效性，丰富场景深度和覆盖广度SODF02预警到防御保障、先知先觉收集情报、漏洞、工具等威胁和脆弱性，构建安全防护体系，主动避免、引导、检测或遏制通用攻击、常见违规等行为发生，做到先知先觉、先防先控SODF03事件到行动控制损害、完善监控异常，设置欺骗或诱饵，响应并阻止对手行为，调查影响及反馈SODF04考核到评价正确认知、提升明确对绩效和考核的认知，持续客观评价内外部、供需市场的安全水平SODF05问题到解决向善、更美好采用评估整改、沟通合作、推动专项、工程化自动化等多种举措，将安全风险隐患降至可接受水平图

3、1：SODF建设到运行预警到防御事件到行动问题到解决考核到评价SO3LSO3L名称名称说明说明High level Model运营方向（Direction Framework）是从“结果”出发的不同效能下运营目标集合的抽象分类Mid level Model工作故事（Work Story）是安全运营日常工作目的对应的一系列活动、工作内容或任务Low level Model用例元素（User Case Elements）是对安全运营中如何完成各项运营工作故事的一组高级别的资源描述1L：安全运营方向框架介绍（Security Operation Direction Framework）关于框架：安全

4、运营三层模型关于框架：安全运营三层模型SO3L2LSO3L2L：Security Operation Work StorySecurity Operation Work Story工作故事：提供一种统一且结构化的方式描述安全运营的目的主题，对各项工作活动、内容和任务归类。统一基础统一基础服务化服务化研发安全研发安全纵深防御纵深防御事件管理事件管理能力集成能力集成可衡量可衡量持续改善持续改善树立品牌树立品牌集中建设安全运维监控需求、架构评审安全预警告警处置使用威胁情报度量指标完善资产安全公益标准和规范变更黑白灰盒测试入侵检测紧急抑制预案和演练红蓝对抗收敛受攻击面白帽关怀安全配置基线故障处置APP

5、监测隔离转移攻击向量安全系统间联动定期风险评估优化安全策略组织和参与活动日志集中工单开源检测及控制推动端点覆盖溯源取证关联分析绩效考核专项整改人才培养流量收集标准操作过程新技术引入评估设置欺骗内部调查跨团队应急指挥协调考核评分复盘安全评审服务SLA终端管控事件上报受理协同响应成熟度评价根因分析加固服务目录及定价入侵和违规监控执法反馈流程内嵌安全用户培训定期扫描服务FAQ业务风险控制工程化安全意识宣传备份和恢复漏洞管理知识积累并传递全天时值守标准化和自动化填补关键空白工具开发与集成表1：安全运营工作故事矩阵（SOWS）工作故事（WS）与运营方向（DF）映射关系：WS是实现DF的一组活动内容集，与

6、DF为多对多关系。工作故事：由故事主题（Story Theme）和故事内容（Story Contents）两部分组成，SC围绕ST达成目标。关于框架：安全运营三层模型关于框架：安全运营三层模型SO3L3LSO3L3L：Security Operation User Case ElementsSecurity Operation User Case Elements用例元素（UCE）与工作故事（WS）映射关系：UCE是实现WS的一组最佳实践证明，是多对多关系。培训Tr31元素符合元素名称元素序号发起St1前置条件Pre2提示Hi3验证Ve4升级Es5管理Me6维护Ma7监督Su8反馈Fr9紧急U