本系列文章共分为5篇，本文接上一篇文章，如欲了解前情，可点击以下链接进行回顾

第一篇主要为网络安全运营的驱动力以及整体架构设计

第二篇主要为组织安全运营所需具备的技术能力

第三篇主要为组织安全运营所需的人员能力

第四篇和第五篇主要为组织安全运营所需过程能力。

四、技术能力建设

安全技术能力建设工作并非从零开始，而是以组织基础设施安全建设为基础，围绕组织机构的安全目标，建立与制度流程相配套并保证有效执行的技术和工具集，技术工具建议使用标准的安全产品或平台，也可以是自主开发的组件或工具，技术能力建设需要进行整体规划和实现，且要和组织的业务系统和信息系统等进行衔接。同时，安全技术能力需要保证覆盖组织业务使用的各个场景中的安全需求。根据OWASP提出的Cyber-defense-matrix，将各项安全技术分别映射到不同层次的安全对象中。

4.1 资产测绘

随着组织越来越多的资产需要暴露在互联网空间，更大的网络空间暴露面带来了更多的网络空间安全威胁。特别是分支机构较多的大型组织，对资产及高危脆弱性的检查效率、准确性以及详尽的报告内容有着极高的要求，同时各监管机构要求组织能够预防并快速处置网络空间安全隐患，因此，组织需要理清资产，确定资产暴露面，快速定位并准确验证漏洞以提升网络和业务系统的健壮性和稳定性。同时，从运营者的视角出发，采用专业收集手段进行组织未知资产发现，以及对资产信息的变化和异动进行监测和管理，并分析资产间的关联性，自动梳理资产类型、服务与框架，帮助组织对资产进行透明化、智能化管理。

• 资产发现识别能力

资产发现能力是资产测绘的基础能力，必须在组织的某种环境或场景中发现存活资产，并且通过分析资产的所属业务属性来识别资产详情，包括资产所使用的操作系统、中间件、数据库、应用程序、开放端口以及与其他资产的关联关系等。资产发现能力还应是全面和精准的，避免因不完善的甚至错误的资产发现造成重大风险隐患。

• 资产持续监控能力

资产详细信息形成资产配置清单，这种清单并不是一成不变的，资产配置会随着业务需求的变更而不断变化，变化的范畴和频率是由业务的变更需求所引导的。要保证资产配置清单的持续有效，必须具备对资产配置变更的持续监控能力。安全运营人员一般可通过周期性资产发现和复查，及时发现资产信息的变化情况，进而对资产变更信息的确认和管理，确保后续安全运用过程中资产配置信息的准确性。

• 资产漏洞检测能力

安全运营人员通过定期的资产漏洞检测，特别是在出现0day、1day漏洞出现时，能够结合威胁情报信息全面、有效地识别资产存在的漏洞及风险情况，并利用安全运营团队技术实力和管理能力，持续进行整改加固，形成及时有效的漏洞响应处理能力。

4.2 IAM

身份识别与访问管理IAM（Identity and Access Management）技术是一套全面建立和维护数字身份，提供有效安全的IT资源访问的业务流程和管理手段，实现组织资产统一的身份认证、授权和身份数据集中管理与控制。身份和访问管理是一套业务处理流程，也是一个用于创建、维护和使用数字身份的支持基础结构。

IAM是实现零信任网络架构的基础，组织中应用IAM主要是定义和管理个人网络用户的角色和访问权限，以及规定用户获得授权（或被拒绝授权）的条件。IAM系统的核心目标是为每个用户赋予一个身份。该数字身份一经建立，在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。因此，身份管理的首要目标就是：从用户登录系统到权限授予到登出系统的整个过程中，根据需要在恰当的条件下及时赋予正确的用户对组织内适当资产的访问权。

IAM具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、可管理性等功能。IAM系统为各个管理员提供了修改用户角色、跟踪用户活动、创建用户活动报告和贯彻管理策略的工具及技术。这些系统的出现就是为了能够管理整个组织内的用户访问，并确保用户活动符合组织规章制度与监管规定。

针对用户对访问组织业务服务的安全使用要求的多样性，结合访问需求和特点，IAM可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术，通过制定基于主体属性和客体属性的访问控制授权策略来灵活设定用户对服务的使用权限，从而实现访问细粒度的访问控制。

4.3 EDR

端点（PC、服务器、移动设备和嵌入式设备等）作为构建信息化网络的基本组成单元和重要元素，具有部署范围广、使用数量多、承担业务功能多样、存储重要信息数据等特点，容易成为攻击的对象。攻击者往往首先利用目标网络中的脆弱端点建立据点，再通过进一步的漏洞利用构筑长期驻留条件，最终迈向既定目标。端点检测与响应（Endpoint Detection and Response，EDR），相比于传统的端点安全防护手段，EDR一方面借助于云计算和人工智能的威胁分析来解决传统端点防护产品无法解决的APT攻击问题；另一方面重点加强自动化的智能响应能力，大大降低了应急响应的技术门槛，使其依赖系统就可以自动实现攻击阻止、隔离修复、取证分析和追踪溯源。

EDR的核心在于，一方面利用已有的黑名和基于特征的端点静态防御技术来阻止已知威胁，另一方面通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式，主动发现来自外部或内部的各类安全威胁。同时，基于端点的背景数据、恶意软件行为以及整体的高级威胁的生命周期的角度进行全面的检测和响应，并进行自动化阻止、取证、补救和溯源，从而有效地对端点进行安全防护。

在 EDR中，通常由端点和端点检测和响应中心组成，端点只具备信息上报、安全加固、行为监控、活动文件监控、快速响应和安全取证等基本功能，负责向端点检测与响应中心上报端点的运行信息，同时执行下发的安全策略和响应、取证指令等；而端点检测与响应中心负责资产发现、安全加固、威胁检测、响应取证等。

相较于传统的端点安全防御技术，EDR 借助于云计算和人工智能技术，完整覆盖端点安全防御全生命周期，主动发现和清除来自外部或内部的安全威胁，显著提升了端点应对 APT 和未知威胁的主动防御能力，将是下一代网络安全体系的重要组成部分。

4.4 数据保护

数据是数字经济时代最重要的生产要素之一，大数据高速发展的同时，数据破坏、泄露事件屡有发生，并且规模和严重程度越来越大，数据安全问题已成为各行业创新发展的制约因素之一。数据保护以数据为核心，聚焦数据安全生命周期，将数据生命周期的安全要求映射到数据安全实现技术上，分别对数据的采集、存储、传输、处理、交换和销毁过程域进行相应的安全控制，夯实数据安全技术底盘，构建数据安全场景落地，实现组织数据资产可视、数据血缘可溯、数据风险可控、数据威胁可管。

• 数据采集安全

数据采集阶段主要是在基础安全能力的基础上，增加安全验证、数据清洗、数据识别、数据标签等安全技术应对措施。

• 数据安全加密

数据存储隔离与加密采用前置代理及加密网关技术、应用层改造加密技术、基于文件级的加解密技术、基于视图及触发器的后置代理技术、基于表空间加密技术对数据进行加密存储；数据传输加密应明确需要进行加密传输的场景后，选择合适的加密算法对数据进行加密传输。

• 数据访问控制

可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术，保证在数据生命周期的各个阶段和不同场景下的数据的机密性和完整性，允许合法使用者访问数据资产，防止非法使用者访问数据资产，防止合法使用者对数据资产进行非授权的操作访问。

• 数据泄漏防护

数据泄漏防护的核心思想就是沿着数据传递方向逐级进行防护，进而达到降低风险的效果。数据泄露防护在数据资产分类的基础上，结合组织的业务流程和数据流向，构建完善的可能导致数据泄露各个环节的安全，可以采用的主要技术包括数据加密技术、权限管控技术、基于内容深度识别的通道防护技术。

• 数据脱敏

为确保数据脱敏过程可控，对敏感数据采用有效脱敏技术的同时需适应业务需求，目前数据脱敏的技术主要有为基于数据失真/扰乱技术、数据加密技术和数据限制发布技术。

• 数据审计

数据安全审计需要由以系统为核心向以数据为核心进行转变，覆盖数据处理各参与方以及整个数据生命周期，制定覆盖系统行为和数据活动的安全审计策略与规程，明确审计对象、审计目的、审计内容、审计方法、审计频度、相关角色和职责、管理层承诺、供应链上各参与方协调、合规性分析等内容，建立数据安全审计规程与协调机制，确保审计事件的可追溯性。

• 数据销毁

数据销毁主要是指获得组织、用户的授权许可或请求后对数据进行清除或销毁。使用组织授权的技术和方法对敏感信息进行清除或销毁，保证无法还原，并且具备安全审计能力。

4.5 流量检测

高级持续网络攻击(APT攻击)能利用各种攻击手段针对特定目标实施攻击，在攻击后进行伪装，基于特征检测和行为检测的传统威胁检测手段已经越来越难以应对新型的安全攻击手法，因此需要多种基于流量的检测检测和分析技术组合应对。

• 病毒检测技术

通过对流量中的文件还原，将文件从传输协议中进行恢复。恢复的文件会经过多AV检测模块，对文件进行病毒查杀检测。通过威胁情报对还原的文件hash进行检测与对比，检查文件是否为流行恶意文件；通过文件规则检测，读取文件的特征，检测文件特征是否命中文件特征，对文件的特征指纹进行安全检查。

• 基因检测技术

传统安全威胁的检测是一种数字型检测，即使AI的检测结果也是通过值的对比来判断事件本身的安全性。但数值与数值之间的差异，容易产生误判。转换成基因图谱以后，无论文件如何改变、内容混淆，转后的图谱与已留存的家族图谱的内容几乎完全一致，误判率很低；且在家族图谱的存储过程中，过滤变化的内容，将固定不变的特征作为基因指纹，从而大大提高威胁变种的检测效率。

• 沙箱检测技术

沙箱是一个封闭的且独立检测环境，类似于蜜罐系统，用于检测网络攻击。沙箱技术也可以针对 0day 攻击，传统的异常检测使用的是特征检测方法，而 0day 攻击采用的是非未知的攻击技术，所以当有 0day 攻击时，使用沙箱进行检测可以提高防御入侵的能力，但被检测样本的复杂性和多样性使得沙箱检测变得非常局限。

• 异常检测技术

异常检测主要是识别异常活动，包括上下行数据异常流量比等行为特征。当遇到 APT 中的0day攻击时，没有异常的特征故无法检测，所以异常检测在平常首先需要采取的是对正常的网络行为建模，当检测的行为与建模行为有偏差时，就存在网络攻击。其核心是元数据的提取、对异常特征的检测和行为模式的检测。元数据包括时间、空间、流量等，用少量的数据去检测是否异常；异常特征涵盖了时间、空间、流量等基础特征，也可以用于互相计算而得出的新特征；行为模式主要是针对主机、服务器行为。

• 全流量检测技术

全流量是指对OSI七层协议每一层进行全方位检测。在应用层可以进行还原数据、内容，如还原下载附件，还可以还原行为。在传输层可以检测流量其是否加密