甲方安全运营工作全景清单¶
目标:把“甲方网络安全、数据安全到底要做什么”拆成可检查、可执行、可逐步自动化的工作域。本文先回答“需要做哪些工作”,后续再逐项补充“如何去做”和“如何自动化”。
一、总体框架¶
甲方安全运营不是只做漏洞扫描或告警处置,而是围绕“资产、身份、漏洞、配置、数据、监测、响应、合规、人员、供应链、度量”持续闭环。
建议按 12 个工作域建设:
| 序号 | 工作域 | 核心问题 | 典型交付物 |
|---|---|---|---|
| 1 | 安全治理与制度体系 | 谁负责、按什么标准做 | 安全制度、责任矩阵、流程规范、年度计划 |
| 2 | 资产与暴露面管理 | 保护对象有哪些、暴露在哪里 | 资产台账、互联网暴露面清单、影子资产清单 |
| 3 | 身份与权限管理 | 谁能访问什么、是否越权 | 账号清单、权限矩阵、离职/调岗回收记录 |
| 4 | 漏洞与补丁管理 | 哪里有漏洞、修到什么程度 | 漏洞台账、修复工单、复测记录、例外审批 |
| 5 | 安全基线与配置管理 | 系统是否按安全要求配置 | 基线标准、核查报告、加固记录、偏离项清单 |
| 6 | 数据安全治理 | 数据在哪里、分级如何、如何保护 | 数据资产目录、分类分级、敏感数据流向图 |
| 7 | 日志、监测与告警运营 | 是否能发现攻击和异常 | 日志接入清单、检测规则、告警处置记录 |
| 8 | 事件响应与应急演练 | 出事后如何止血、溯源、恢复 | 应急预案、事件报告、演练记录、复盘清单 |
| 9 | 安全开发与变更管控 | 新系统上线前是否安全 | SDL 流程、安全评审、上线检查、代码扫描结果 |
| 10 | 安全意识与人员管理 | 人是否成为薄弱点 | 培训计划、钓鱼演练、保密承诺、考核记录 |
| 11 | 第三方与供应链安全 | 外包、厂商、SaaS 是否带来风险 | 供应商安全评估、接入审批、合同安全条款 |
| 12 | 合规、审计与度量改进 | 如何证明安全工作有效 | 等保/数安材料、审计记录、KPI/KRI、安全月报 |
二、网络安全运营需要做的工作¶
1. 安全治理与制度体系¶
要解决的问题:安全工作不能只靠个人经验,需要制度、责任、流程和证据链。
需要做的工作:
- 建立安全组织与责任边界:信息安全负责人、系统负责人、数据负责人、运维负责人、开发负责人。
- 制定制度文件:账号权限管理、漏洞管理、补丁管理、日志管理、应急响应、数据安全、外包管理、变更管理。
- 建立安全工作年度计划:季度重点、检查频率、演练计划、培训计划、合规节点。
- 建立安全例会机制:风险通报、漏洞整改跟进、重大变更评审、事件复盘。
- 建立安全例外审批:无法整改、业务豁免、临时开放端口、临时权限等必须留痕。
交付物:制度清单、责任矩阵、年度计划、会议纪要、例外审批记录。
2. 资产与暴露面管理¶
要解决的问题:不知道有什么资产,就无法判断风险是否覆盖。
需要做的工作:
- 梳理资产类型:服务器、终端、网络设备、安全设备、数据库、中间件、域名、证书、云资源、API、代码仓库、SaaS 系统。
- 建立资产台账:资产名称、IP/域名、负责人、系统等级、业务用途、部署位置、开放端口、到期时间。
- 持续发现互联网暴露面:域名解析、端口开放、Web 指纹、证书透明度、备案信息、云公网 IP。
- 识别影子资产:无人认领系统、测试环境、历史域名、临时开放服务、外包遗留系统。
- 对高价值资产做标记:核心业务、敏感数据系统、身份认证系统、支付/交易系统、生产数据库。
交付物:资产台账、暴露面清单、高价值资产清单、无人认领资产清单。
3. 身份与权限管理¶
要解决的问题:账号过多、权限过大、离职不回收,是甲方常见风险源。
需要做的工作:
- 建立账号生命周期流程:申请、审批、开通、变更、复核、回收。
- 梳理关键系统账号:VPN、堡垒机、云平台、数据库、代码仓库、运维平台、邮件、OA、IM、财务系统。
- 管理特权账号:root、Administrator、DBA、云主账号、域管、CI/CD 密钥、API Token。
- 定期权限复核:重点检查共享账号、僵尸账号、离职账号、长期未登录账号、越权账号。
- 推动 MFA:优先覆盖 VPN、邮箱、云平台、代码仓库、堡垒机、管理后台。
- 管理密钥凭据:密码、Token、AK/SK、证书、SSH Key、Webhook Secret。
交付物:账号清单、权限矩阵、权限复核记录、离职回收记录、特权账号清单。
4. 漏洞与补丁管理¶
要解决的问题:发现漏洞后必须形成“发现、分级、派单、修复、复测、关闭”的闭环。
需要做的工作:
- 建立漏洞来源:扫描器、人工测试、外部通报、SRC、监管通知、供应商公告、CVE/KEV 情报。
- 制定分级标准:严重、高危、中危、低危;明确不同等级修复时限。
- 建立漏洞台账:资产、漏洞名称、风险等级、验证证据、负责人、计划修复时间、复测结果。
- 处理外部高危漏洞:如边界设备、VPN、OA、WebLogic、Nacos、GitLab、组件 0day/1day。
- 推动补丁管理:操作系统、中间件、数据库、Web 框架、容器镜像、终端软件。
- 建立例外机制:无法修复时记录补偿措施、到期时间和风险接受人。
交付物:漏洞台账、补丁计划、整改工单、复测记录、风险接受记录。
5. 安全基线与配置管理¶
要解决的问题:很多入侵不是 0day,而是弱口令、默认配置、危险端口、日志未开。
需要做的工作:
- 制定基线对象:Windows、Linux、数据库、中间件、网络设备、安全设备、云资源、容器、K8s。
- 检查身份认证:密码策略、MFA、弱口令、默认账号、共享账号。
- 检查访问控制:最小权限、管理口限制、白名单、堡垒机接入、远程登录限制。
- 检查服务配置:关闭不必要端口、禁用高危协议、删除测试页面、限制目录权限。
- 检查日志审计:登录日志、操作日志、数据库审计、云审计、Web 访问日志是否开启并集中存储。
- 检查备份恢复:备份频率、离线备份、恢复演练、勒索防护。
交付物:基线标准、基线核查表、加固记录、偏离项清单。
6. 边界与网络安全¶
要解决的问题:边界暴露、横向移动、网络不分区会放大入侵影响。
需要做的工作:
- 梳理网络区域:办公网、生产网、测试网、DMZ、管理网、核心数据库区、云上 VPC。
- 检查访问路径:哪些源可以访问哪些目标、哪些端口必须开放、是否存在 Any-Any 策略。
- 管理边界设备:防火墙、WAF、IPS、VPN、零信任网关、负载均衡、安全组。
- 推动网络分区分域:核心系统隔离、数据库不直接暴露、管理口只允许堡垒机访问。
- 建立封禁机制:恶意 IP、爆破源、扫描源、C2、钓鱼域名、异常出站连接。
- 检查远程接入:VPN 账号、MFA、终端准入、登录审计、异常地理位置登录。
交付物:网络拓扑、访问控制矩阵、边界策略清单、封禁记录、远程接入审计。
7. 日志、监测与告警运营¶
要解决的问题:安全设备产生告警不等于安全运营,需要能看见、能判断、能闭环。
需要做的工作:
- 梳理日志源:防火墙、WAF、IDS/IPS、EDR、主机、数据库、应用、Nginx、VPN、堡垒机、云审计、IAM、邮件网关。
- 明确日志保留:保留周期、时间同步、集中存储、完整性保护、访问权限。
- 建立检测规则:爆破、Web 攻击、命令执行、文件上传、异常登录、权限提升、横向移动、异常出站、敏感数据访问。
- 告警分级处置:P1/P2/P3,定义响应时限、升级路径和关闭条件。
- 建立误报调优机制:规则命中原因、白名单、阈值调整、资产上下文补充。
- 形成运营日报/周报/月报:告警数量、真实事件、处置时效、重复风险、薄弱资产。
交付物:日志接入清单、检测规则库、告警处置记录、运营报表、误报调优记录。
8. 事件响应与应急演练¶
要解决的问题:真正发生安全事件时,不能临时找人、临时想流程。
需要做的工作:
- 制定应急预案:勒索病毒、数据泄露、Web 入侵、账号被盗、供应链攻击、拒绝服务、内网横向移动。
- 明确响应角色:指挥、研判、取证、封禁、业务沟通、法务合规、对外沟通。
- 准备应急工具:主机排查脚本、日志导出脚本、封禁脚本、镜像取证、恶意样本分析环境。
- 建立事件分级:影响范围、数据敏感性、业务中断程度、是否外泄、是否监管报告。
- 定期演练:桌面推演、红蓝对抗、备份恢复演练、账号泄露演练、勒索处置演练。
- 做复盘改进:时间线、根因、处置动作、检测缺口、流程缺口、整改责任。
交付物:应急预案、通讯录、事件报告、演练记录、复盘报告、整改跟踪表。
三、数据安全需要做的工作¶
9. 数据资产与分类分级¶
要解决的问题:不知道有哪些数据、敏感程度如何,就无法选择合适的保护措施。
需要做的工作:
- 梳理数据资产:客户信息、员工信息、交易数据、合同数据、日志数据、财务数据、研发数据、配置数据。
- 建立数据分类:个人信息、重要数据、核心业务数据、公开数据、内部数据。
- 建立分级标准:公开、内部、敏感、重要、核心;明确访问、存储、传输、共享要求。
- 识别数据位置:数据库、对象存储、文件服务器、SaaS、日志平台、备份、终端、本地 Excel。
- 梳理数据流向:采集、传输、存储、使用、共享、删除、归档。
交付物:数据资产目录、分类分级清单、数据流向图、敏感数据系统清单。
10. 数据访问控制与脱敏¶
要解决的问题:敏感数据应“按需可见、按权使用、可审计、可追责”。
需要做的工作:
- 建立数据访问审批:谁申请、访问什么数据、用途是什么、有效期多长。
- 控制生产数据访问:运维、开发、测试、外包访问生产数据必须审批和审计。
- 推动数据脱敏:测试环境、报表导出、客服后台、研发排障、数据分析场景。
- 控制批量导出:导出审批、水印、限速、字段控制、下载审计。
- 监测异常访问:非工作时间访问、批量查询、越权查询、高频导出、跨地域访问。
交付物:数据权限矩阵、数据访问审批记录、脱敏规则、导出审计、异常访问记录。
11. 数据传输、共享与销毁¶
要解决的问题:数据不能随意通过邮件、网盘、IM、接口、外包通道流转。
需要做的工作:
- 管理数据共享:内部共享、跨部门共享、对外共享、第三方接口调用。
- 控制传输通道:HTTPS、VPN、专线、SFTP、API 签名、加密传输。
- 管理数据出境或外部提供:合规评估、审批记录、最小字段、合同约束。
- 建立数据留存与删除策略:保留期限、归档、匿名化、删除证明。
- 管理备份数据:备份加密、访问控制、异地保存、恢复测试、过期销毁。
交付物:数据共享审批、接口清单、传输加密要求、留存删除策略、销毁记录。
四、支撑性安全工作¶
12. 安全开发与上线评审¶
需要做的工作:
- 建立上线安全检查:认证授权、输入校验、敏感信息、日志、错误处理、加密、依赖组件。
- 做代码与依赖扫描:SAST、SCA、Secret Scan、镜像扫描、IaC 扫描。
- 做安全测试:接口测试、越权测试、业务逻辑测试、弱口令测试、配置测试。
- 管理变更风险:重大变更安全评审、灰度发布、回滚方案、上线后监测。
- 建立安全需求:新系统立项时明确等级保护、日志、审计、数据保护要求。
交付物:上线安全检查表、安全测试报告、代码扫描报告、变更评审记录。
13. 第三方与供应链安全¶
需要做的工作:
- 建立供应商安全准入:资质、制度、人员背景、数据处理能力、安全能力。
- 管理外包人员账号:最小权限、有效期、离场回收、操作审计。
- 管理 SaaS 与外部系统:数据范围、登录安全、审计能力、退出机制。
- 管理开源组件风险:组件清单、许可证、漏洞版本、替代方案。
- 管理第三方接口:认证方式、调用频率、敏感字段、日志审计、异常熔断。
交付物:供应商评估表、外包账号清单、第三方接口清单、组件 SBOM、合同安全条款。
14. 安全意识与内部协同¶
需要做的工作:
- 开展安全培训:新员工、开发、运维、客服、数据分析、管理人员分别设计内容。
- 做钓鱼演练:邮件钓鱼、IM 钓鱼、二维码钓鱼、仿冒登录页识别。
- 建立安全通报机制:高危漏洞、攻击态势、违规案例、整改要求。
- 建立内部安全咨询入口:上线前咨询、数据导出咨询、外包接入咨询、疑似事件上报。
交付物:培训课件、签到记录、考试结果、钓鱼演练报告、安全通报。
15. 合规、审计与安全度量¶
需要做的工作:
- 对齐法规与标准:网络安全法、数据安全法、个人信息保护法、等保、行业监管要求。
- 准备合规材料:制度、台账、审批、日志、演练、整改、培训、供应商管理证据。
- 做内部审计:账号权限、日志留存、漏洞整改、数据导出、外包接入、备份恢复。
- 建立指标体系:资产覆盖率、漏洞修复率、补丁及时率、告警处置时效、MFA 覆盖率、数据分类覆盖率。
- 输出安全月报:风险趋势、重点事件、整改进度、下月计划、需要管理层协调事项。
交付物:合规证据包、审计报告、安全月报、KPI/KRI 指标看板。
五、优先级建议¶
如果从零开始,不建议同时铺开所有工作。可以按四个阶段推进:
阶段 1:先看得见¶
- 资产台账
- 互联网暴露面
- 账号权限清单
- 日志源清单
- 数据资产初步清单
阶段 2:先堵高风险¶
- 高危漏洞闭环
- 弱口令与默认账号治理
- 边界端口收敛
- VPN/云平台/代码仓库 MFA
- 核心系统备份恢复验证
阶段 3:形成流程闭环¶
- 漏洞管理流程
- 变更上线安全评审
- 权限申请与复核
- 数据导出审批
- 应急响应与复盘机制
阶段 4:持续运营和自动化¶
- 资产自动发现
- 漏洞自动派单与复测
- 基线自动核查
- 日志告警自动分诊
- 安全月报自动生成
- 数据安全风险自动巡检
六、后续栏目规划¶
本栏目后续可以按以下文章继续展开:
- 《甲方安全运营如何搭建资产台账》
- 《互联网暴露面持续监测怎么做》
- 《漏洞管理闭环:从扫描到复测》
- 《账号权限治理与离职回收检查清单》
- 《数据分类分级落地方法》
- 《日志接入与安全告警运营》
- 《安全事件响应预案与演练模板》
- 《安全月报和指标看板怎么设计》
- 《安全运营自动化脚本与平台规划》