网络信息安全运营方法论 （下）

 安全运营的PDCA维持  

安全价值很难定价，多数企业将安全投入定义为成本，安全能力达到保障业务正常开展即可，例如金融企业达到“主动级”即可，无须升级到“情报级”，安全团队的日常运营即维持企业的安全能力在安全成熟度模型的“主动级”。

充分利用已建成的安全架构，配合规范运行的管理制度，主动发现各类安全风险，通过技术或管理手段给予消除或规避，不断提升工作效率和降低运营成本。 

对于行业头部机构，此时可以打造企业安全品牌，提升企业的美誉度，达到安全赋能业务，实现安全价值，把安全能力作为企业核心竞争力之一。

通常很多企业等对信息依赖较高的组织，主要以PDCA循环中的P、C、A落实网络安全运营管理：

P (Plan) 计划：制定网络安全规划、明确目标系统、编制行业技术防护体系、发布管理制度体系和相应制度和统筹开展防护体系建设等。

很多组织或企业在专业测评机构的指导帮助下，共同开展对该企业的网络安全方针和目标的确定。根据国家相关主管部门要求，明确信息网络安全主要规划、蓝图和实施路径图。安全运营目标确定为关键信息基础设施、部署在商业应用网的重要应用系统。针对企业、政府等商业应用网建设，制定相关应用网顶层设计和技术防护体系，旨在根据等级保护标准加强行业安全运营标准化设计和规范；明确各成员单位接入商业应用网的安全基线，强调了对数据进行全生命周期管控，规范了CA、密码技术的互联互通的安全基础要求。编制网络安全管理制度体系并逐年发布或修订相关制度，包括网络安全管理办法、应急管理办法、网络安全事件通报管理办法、等级保护管理办法、互联网管理办法等。针对国家互联网网站、互联网电子邮件系统的专项整治要求，也可采取逐步统筹的方式集中对互联网应用系统进行统一防护，降低为满足网络安全要求的整体运营成本。

C (Check) 检查。可以借助专业安全测评机构的牵头、企业相关网络安全管理中心参与的模式，每年开展网络安全、信息系统检查。在各成员单位自查的基础上，组织开展现场抽查工作，重在发现未明确落实《网络安全法》、存在网络安全管理不到位和安全运营防护能力较弱的情况。通过现场检查，充分听取各成员单位对安全运营工作的建议和意见，便于更好的行业统筹、降低总体运营成本。

A (Act）处理。企业的网络安全管理中心对企业被通报的网络安全工作进行跟踪处理和结果确认；对网络安全检查工作进行总结，在肯定成功经验的基础上将相关内容标准化并全企业推广、发布、宣贯；总结失败教训形成经验反馈，强化并完善自身基线，于全企业进行意识培训通报。对于暂时无法解决的问题，纳入下一阶段的工作循环中。

  安全运营的保障  

根据等级保护标准，对重要、典型目标系统和业务场景进行深化设计，结合组织的行业特点分析网络安全风险，形成具有一定特色的安全运营行业标准，并加强对各成员单位的指导。如在某大型企业的信息安全运营中，加强数据全生命周期的管理。数据和信息的分级分类是源头，输出、导出数据的审计是重点，努力实现了人、数据、设备的可控可管可审计，在此基础上努力通过技术手段提升了安全运营发现并处理问题的效率，降低了安全运营人员的配备、工作量等人工成本。

网络运营，安全放在首位，企业网络长期保持安全运营离不开政府行政机构的保障，其中一项是划定地铁保护线，保护线范围内施工需事前得到网络运营者批准，违者将被追究法律责任。

信息安全运营是否成功也同样离不开企业管理层的保障，包括完善安全治理体系、组建安全团队、构建安全软硬件系统、授予安全审批/审计权限、业务流程中嵌入安全要素等。

综合上述两项，系统重要变更、新系统上线等易引发安全事件的业务流程如果无须安全团队审批/审计，就如同在地铁线上钻探、盖大楼，安全事件频发是常态，安全能力停留在“被动级”或“架构级”。

 结 束 语   

企业的信息安全是否做得好已经不是由企业自己说了算，近几年的实战攻防演练充分说明由执法机关、监管机构说了算，如果被发现高危漏洞、发生较大安全事件、被获得控制权等将直接行政处罚，同时影响年度分类评级和可能影响交易所上市。

安全运营是保障业务安全的必由之路，众多金融企业、互联网企业、政府机构等正在践行安全运营理念，安全能力提高显著。安全运营已成为网络安全大会的常设议题，各行各业的专家、学者、高管和一线管理人员等均踊跃加入安全运营的研究和实践。

更多相关大咖视频课程请在苹果App Store 或各安卓市场下载“技福小咖App”学习。