网络信息安全运营方法论 （中）

安全运营的规划

安全运营的规划要有系统性，即有两个方面，一是目标自身的系统性和完整性，二是针对目标的防护体系系统性和完整性。

安全运营的对象和目标是应用系统，目标的系统性应包括组成系统的众多元素，概括为使用者、数据、设备（可包括硬件、软件）。安全运营需要将构成目标系统完整运行的各个要素看成一个整体，防护体系的构建能够完整、有效的梳理并覆盖安全风险，不因遗落或木桶原理造成整体性影响。

既然安全是重要的“业务/产品/资产”，一定存在需要加强或提高的地方，制订短期/中期/长期规划非常有必要。

企业可参照当前现状和运营目标制订系列"建设"内容，处于"架构级"的规划内容可以为实现全部终端集中控管、业务互联网入口部署WAF等等，处于"被动级"的规划内容可以为安全团队成员扩编至2人、建设集中日志分析系统等等，处于"主动级"的规划内容可以为推进DevSecOps、建设安全运营中心(SOC)等等。

安全运营规划需要相应的预算进行支撑，建设和运行须与企业的安全运营目标匹配，持续筑牢架构、优化流程和完善制度，实现安全运营从“被动”转向“主动”，甚至更高。

安全运营的团队

企业是否拥有专职安全团队被视为是否重视信息安全的重要标志，兼职安全管理岗不算安全团队，信息安全管理是高强度的脑力工作，兼职则无法保障安全管理工作的有序开展并存在很多弊端。

以金融行业为例， 2007年10月，证监会发布《证券投资基金销售机构内部控制指导意见》第三十九条明确要求基金销售机构（包括直销和代销）设置必要的信息管理岗位，信息技术负责人和信息安全负责人不能由同一人兼任，对重要业务环节应当实行双人双岗。

企业具备稳定安全能力是从组建安全团队开始，这是质变的过程，需要企业领导具有前瞻意识（例如计划交易所上市、避免违法被罚），或企业发生过较大安全事件（例如微盟事件、遭受勒索）。

联合运营也是一个好思路，指的是组织通过购买安全运营服务，无需对现有IT安全架构进行大的调整，即可迅速复用安全运营服务商的云SOC以及专家团队开展安全运营工作，为业务提供7*24小时的安全保障。这种模式建设成本适中，见效快，比较适合大多数组织。

安全外包服务是安全团队的有益补充，不能替代安全团队，外包人员可以完成安全点（例如HW、分析回朔）工作，安全面（项目管理、日常运营）工作必须由企业安全团队完成。

安全运营的升级

安全团队的使命是保障企业业务安全和达成安全运营目标，当企业安全能力较弱或当前安全能力与企业目标相差较远时，安全团队需有计划地快速开展建设安全工作，包括安全技术系统、安全管理流程和安全治理体系。

安全运营服务应用OODA模式，通过系统化的动态响应机制，来解决与黑客攻防对抗过程中的及时监测与响应问题，通过自动化的操作流程（Playbook+Runbook），协同用户快速处置并控制安全事件的风险。

通过循序渐进和坚持不懈的安全建设，企业安全能力将从架构级向被动级、主动级进行升级，最终符合企业安全目标。

安全升级是对现有的系统 、流程、制度进行安全改造，需进行充分的推广和培训，争得获得“用户”的理解，升级过程尽量做到“用户”无感，遇到阻碍需短暂让步，阶段目标达成可以适当宣传。

更多相关大咖视频课程请在苹果App Store 或各安卓市场下载“技福小咖App”学习。