公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

安全運營管理，3年嘔心瀝血的經(jīng)驗和教訓(xùn)都在這里了！

閱讀量：次 文章來源：安恒信息

網(wǎng)絡(luò)安全話題已經(jīng)不是新鮮事兒。伴隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》等法律法規(guī)的推出，網(wǎng)絡(luò)安全產(chǎn)業(yè)進一步健康發(fā)展。此外，國內(nèi)網(wǎng)絡(luò)安全攻防演練以及網(wǎng)絡(luò)安全建設(shè)效果的提升，也不斷推動網(wǎng)絡(luò)安全行業(yè)向更高的層次演進。

本篇小編嘗試著從馬斯洛理論來解讀安全運營需求，希望能給各位讀著一些啟發(fā)。

Part.1

網(wǎng)絡(luò)安全建設(shè)的第一層需求“生理需要”是基于法律法規(guī)、等保2.0的要求，目的是不被監(jiān)管單位通報，業(yè)內(nèi)人士也稱之為“政策導(dǎo)向”需求。通過對國內(nèi)的觀察，發(fā)現(xiàn)安全的需求參差不齊，但大部分地區(qū)已經(jīng)率先完成了基礎(chǔ)的網(wǎng)絡(luò)安全建設(shè)，開始向更高層次的安全需求闊步，仍然有一部分地區(qū)，才開始計劃如何落地和建設(shè)法律法規(guī)要求下的安全體系。

Part.2

量變引起質(zhì)變，當網(wǎng)絡(luò)安全產(chǎn)品堆積到一定程度，部分管理者就開始實現(xiàn)第二層需求“安全需要”。無論是被動還是主動的，至少開始考慮如何將已經(jīng)購買的安全產(chǎn)品用起來、管理起來，發(fā)揮已付資金和安全產(chǎn)品應(yīng)有的價值，于是開始招聘人才、建立制度、梳理流程。由于有切實的市場需求，網(wǎng)絡(luò)安全運營的解決方案應(yīng)運而生。

解決之道

專家+流程+平臺？

網(wǎng)絡(luò)安全運營需要解決的三大核心問題：缺少專業(yè)的運營人員、沒有標準化的響應(yīng)處置流程、需要更加智能化的安全產(chǎn)品。

可能有人會覺得，不就是人、流程、產(chǎn)品嘛。缺人就招人，沒有流程那就制定流程，用制度驅(qū)動人員的工作流程化，安全產(chǎn)品我已經(jīng)很多了，讓專業(yè)的人士用起來就行。然而安全運營不是1+1>2這么簡單，需要有計劃、有思辨、有目的地進行體系化設(shè)計。

首先，我們需要思考，企業(yè)/單位是哪些部門承載安全工作的。相信大部分會答案是IT部門兼職或者IT部門下的子級部門來負責。但也不乏一部分政府和企業(yè)有專職專業(yè)的團隊專門負責網(wǎng)絡(luò)安全工作。

大多數(shù)IT部門預(yù)算投入的理想狀態(tài)是5%～10%，但實際情況下是3%，甚至更低。來拆解下這3%的預(yù)算都包含哪些費用：IT基礎(chǔ)設(shè)施維護、更換、擴容、IT人員的薪資、企業(yè)的信息化&數(shù)字化投入。其中信息化&數(shù)字化這是企業(yè)良性發(fā)展的重要戰(zhàn)略，也是體現(xiàn)IT負責人最有價值的事情。

安全，一出事就是大事情。如果你做為IT負責人，你會優(yōu)先投入哪項？想必許多人更容易傾向于產(chǎn)生成績的信息化&數(shù)字化建設(shè)。因為數(shù)字化這番大事業(yè)干成了，獲得老板認可，那么升職漲薪走向人生巔峰還會遠嗎。

雖然不愿承認，但這也直接導(dǎo)致安全的投入很微薄，在僅有的預(yù)算下，每年采購一個新的產(chǎn)品就會囊中羞澀了，人員、流程、平臺只不是年初時的一個美好愿景罷了。

分析完是不是覺得安全運營這個事情就是扯犢子？生存問題都還沒解決，網(wǎng)絡(luò)安全又這么虛無縹緲。但網(wǎng)絡(luò)安全發(fā)展的滾輪在快速追趕，信息化建設(shè)的初級過程已經(jīng)過去，在政府和企業(yè)已經(jīng)積累大量核心數(shù)據(jù)，這些數(shù)據(jù)如果管理不當，會直接對本體造成經(jīng)濟損失或惡劣的社會影響。于是，我們又要把IT負責人拉起來鞭策，“為什么核心數(shù)據(jù)會泄漏？是怎么被泄漏的？這對我們造成了極其嚴重的影響?！盜T負責人還沒享受好成功的喜悅，又開始戰(zhàn)戰(zhàn)兢兢重新預(yù)算，心中的天平開始傾斜網(wǎng)絡(luò)安全建設(shè)。

于是乎，馬斯洛第二層需求“安全需要”可以往前推進和落實了，在做事之前，先了解方法論。這次我們討論的，主要來自NIST的IPDRR網(wǎng)絡(luò)框架和ITU-T創(chuàng)建和運營網(wǎng)絡(luò)防御中心的框架，以及GB_T-信息安全技術(shù)相關(guān)指導(dǎo)文件。

NIST-IPDRR這個網(wǎng)絡(luò)框架是行業(yè)內(nèi)最火的、也是公認的安全運營技術(shù)指導(dǎo)框架。框架從識別、防護、監(jiān)測、響應(yīng)、恢復(fù)全體系的方法論進行了描述。分別講解了各個模塊是做什么的，怎么做的。配套講解組織決策層級：第一級基礎(chǔ)執(zhí)行、第二級研究狩獵、第三級管理決策。更詳細的內(nèi)容可以直接看原文。

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

NIST-IPDRR網(wǎng)絡(luò)框架雖然看似非常高端大氣上檔次，實則是個實際干活的方法論。

NIST-IPDRR技術(shù)框架

另一個是國際先進的 ITU-T 創(chuàng)建和運營網(wǎng)絡(luò)防御中心的框架，但整體更務(wù)虛一點。該框架包括三個過程：建造、管理和評估。

它指出，“為確保組織的安全穩(wěn)固，應(yīng)建立和適當管理CDC，也應(yīng)該以一種及時和規(guī)則的方式來對之進行評估，并持續(xù)予以改進?！?/span>

其中心思想大概是，想要做好安全運營中心，我們首先要制定戰(zhàn)略管理、由戰(zhàn)略引導(dǎo)安全運營的建設(shè)，由細小的安全運營工作的持續(xù)價值輸出印證戰(zhàn)略正確性，往復(fù)便形成一個正向發(fā)展的循環(huán)。

ITU-T創(chuàng)建和運營網(wǎng)絡(luò)防御中心的框架

IT負責人看完，表示似懂非懂，難道哥的未來之路可以晉升到CSO、CIO了？有錢途，擼起袖加油子干。

實踐之路

四點構(gòu)建安全運營

從開始被摩擦到分不清東南西北，一狠心在這個事情硬磕了3年，于是總結(jié)出來更這套解決方案與大家分享。

首先，要解決戰(zhàn)略問題。如果沒有戰(zhàn)略高度，網(wǎng)絡(luò)安全就會面臨兩大難題：

1、IT自身無法推動落實；

2、網(wǎng)絡(luò)安全建設(shè)的預(yù)算不足以應(yīng)對現(xiàn)代的網(wǎng)絡(luò)安全形勢。

其次，是人員問題。政府和企業(yè)需要自己招募培養(yǎng)安全人才還是借助廠商的專家？

建議初期通過與技術(shù)提供商合作獲取專家人員的支持，先把安全運營價值點呈現(xiàn)出來，正所謂留得青山在不愁沒柴燒；過度到后期，配合政府和企業(yè)的而發(fā)展不同階段，可以招人&合作共營，通過廠商的專家把團隊培養(yǎng)起來，逐步替換為核心業(yè)務(wù)自主運營配合購買技術(shù)提供商所提供的的定期培訓(xùn)，形成一個完善的人才管理體系。

第三，產(chǎn)品和技術(shù)。人員問題解決后產(chǎn)品和技術(shù)的利用率自然而然就解決掉了，同時向上管理，在安全運營的戰(zhàn)略下將之前花的錢體現(xiàn)出價值來，這樣就可以獲得領(lǐng)導(dǎo)的瘋狂點贊。

解決了以上三個問題的基礎(chǔ)上，最后一步，流程制度。配合法律法規(guī)要求的合規(guī)性等與業(yè)務(wù)部門拉通制定合理、高效的流程制度，也會水到渠成。

網(wǎng)絡(luò)安全建設(shè)任重道遠，小米步槍已經(jīng)發(fā)展到海陸空三棲作戰(zhàn)，網(wǎng)絡(luò)安全運營也需要持續(xù)不斷的優(yōu)化完善，向著下一個目標出發(fā)。

沒有網(wǎng)絡(luò)安全就沒有國家安全，作為網(wǎng)絡(luò)安全從業(yè)人員同樣有著保家衛(wèi)國的理想和抱負，也呼吁更多志同道合的“戰(zhàn)友”加入其中，共同并肩作戰(zhàn)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>