五月婷婷婷之激情综合-亚洲国产香蕉视频欧美-国产蜜臀av在线一区尤物-日韩精品乱码久久久久

數(shù)字經(jīng)濟的安全基石

公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

安全運營管理,3年嘔心瀝血的經(jīng)驗和教訓(xùn)都在這里了!

閱讀量:文章來源:安恒信息


網(wǎng)絡(luò)安全話題已經(jīng)不是新鮮事兒。伴隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》等法律法規(guī)的推出,網(wǎng)絡(luò)安全產(chǎn)業(yè)進一步健康發(fā)展。此外,國內(nèi)網(wǎng)絡(luò)安全攻防演練以及網(wǎng)絡(luò)安全建設(shè)效果的提升,也不斷推動網(wǎng)絡(luò)安全行業(yè)向更高的層次演進。

本篇小編嘗試著從馬斯洛理論來解讀安全運營需求,希望能給各位讀著一些啟發(fā)。

Part.1


網(wǎng)絡(luò)安全建設(shè)的第一層需求“生理需要”是基于法律法規(guī)、等保2.0的要求,目的是不被監(jiān)管單位通報,業(yè)內(nèi)人士也稱之為“政策導(dǎo)向”需求。通過對國內(nèi)的觀察,發(fā)現(xiàn)安全的需求參差不齊,但大部分地區(qū)已經(jīng)率先完成了基礎(chǔ)的網(wǎng)絡(luò)安全建設(shè),開始向更高層次的安全需求闊步,仍然有一部分地區(qū),才開始計劃如何落地和建設(shè)法律法規(guī)要求下的安全體系。

Part.2


量變引起質(zhì)變,當網(wǎng)絡(luò)安全產(chǎn)品堆積到一定程度,部分管理者就開始實現(xiàn)第二層需求“安全需要”。無論是被動還是主動的,至少開始考慮如何將已經(jīng)購買的安全產(chǎn)品用起來、管理起來,發(fā)揮已付資金和安全產(chǎn)品應(yīng)有的價值,于是開始招聘人才、建立制度、梳理流程。由于有切實的市場需求,網(wǎng)絡(luò)安全運營的解決方案應(yīng)運而生。


解決之道

專家+流程+平臺?


網(wǎng)絡(luò)安全運營需要解決的三大核心問題:缺少專業(yè)的運營人員、沒有標準化的響應(yīng)處置流程、需要更加智能化的安全產(chǎn)品。

可能有人會覺得,不就是人、流程、產(chǎn)品嘛。缺人就招人,沒有流程那就制定流程,用制度驅(qū)動人員的工作流程化,安全產(chǎn)品我已經(jīng)很多了,讓專業(yè)的人士用起來就行。然而安全運營不是1+1>2這么簡單,需要有計劃、有思辨、有目的地進行體系化設(shè)計。

首先,我們需要思考,企業(yè)/單位是哪些部門承載安全工作的。相信大部分會答案是IT部門兼職或者IT部門下的子級部門來負責。但也不乏一部分政府和企業(yè)有專職專業(yè)的團隊專門負責網(wǎng)絡(luò)安全工作。

大多數(shù)IT部門預(yù)算投入的理想狀態(tài)是5%~10%,但實際情況下是3%,甚至更低。來拆解下這3%的預(yù)算都包含哪些費用:IT基礎(chǔ)設(shè)施維護、更換、擴容、IT人員的薪資、企業(yè)的信息化&數(shù)字化投入。其中信息化&數(shù)字化這是企業(yè)良性發(fā)展的重要戰(zhàn)略,也是體現(xiàn)IT負責人最有價值的事情。

安全,一出事就是大事情。如果你做為IT負責人,你會優(yōu)先投入哪項?想必許多人更容易傾向于產(chǎn)生成績的信息化&數(shù)字化建設(shè)。因為數(shù)字化這番大事業(yè)干成了,獲得老板認可,那么升職漲薪走向人生巔峰還會遠嗎。

雖然不愿承認,但這也直接導(dǎo)致安全的投入很微薄,在僅有的預(yù)算下,每年采購一個新的產(chǎn)品就會囊中羞澀了,人員、流程、平臺只不是年初時的一個美好愿景罷了。

分析完是不是覺得安全運營這個事情就是扯犢子?生存問題都還沒解決,網(wǎng)絡(luò)安全又這么虛無縹緲。但網(wǎng)絡(luò)安全發(fā)展的滾輪在快速追趕,信息化建設(shè)的初級過程已經(jīng)過去,在政府和企業(yè)已經(jīng)積累大量核心數(shù)據(jù),這些數(shù)據(jù)如果管理不當,會直接對本體造成經(jīng)濟損失或惡劣的社會影響。于是,我們又要把IT負責人拉起來鞭策,“為什么核心數(shù)據(jù)會泄漏?是怎么被泄漏的?這對我們造成了極其嚴重的影響?!盜T負責人還沒享受好成功的喜悅,又開始戰(zhàn)戰(zhàn)兢兢重新預(yù)算,心中的天平開始傾斜網(wǎng)絡(luò)安全建設(shè)。

于是乎,馬斯洛第二層需求“安全需要”可以往前推進和落實了,在做事之前,先了解方法論。這次我們討論的,主要來自NIST的IPDRR網(wǎng)絡(luò)框架和ITU-T創(chuàng)建和運營網(wǎng)絡(luò)防御中心的框架,以及GB_T-信息安全技術(shù)相關(guān)指導(dǎo)文件。


NIST-IPDRR這個網(wǎng)絡(luò)框架是行業(yè)內(nèi)最火的、也是公認的安全運營技術(shù)指導(dǎo)框架。框架從識別、防護、監(jiān)測、響應(yīng)、恢復(fù)全體系的方法論進行了描述。分別講解了各個模塊是做什么的,怎么做的。配套講解組織決策層級:第一級基礎(chǔ)執(zhí)行、第二級研究狩獵、第三級管理決策。更詳細的內(nèi)容可以直接看原文。

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

NIST-IPDRR網(wǎng)絡(luò)框架雖然看似非常高端大氣上檔次,實則是個實際干活的方法論。


NIST-IPDRR技術(shù)框架





另一個是國際先進的 ITU-T 創(chuàng)建和運營網(wǎng)絡(luò)防御中心的框架,但整體更務(wù)虛一點。該框架包括三個過程:建造、管理和評估。

它指出,“為確保組織的安全穩(wěn)固,應(yīng)建立和適當管理CDC,也應(yīng)該以一種及時和規(guī)則的方式來對之進行評估,并持續(xù)予以改進?!?/span>

其中心思想大概是,想要做好安全運營中心,我們首先要制定戰(zhàn)略管理、由戰(zhàn)略引導(dǎo)安全運營的建設(shè),由細小的安全運營工作的持續(xù)價值輸出印證戰(zhàn)略正確性,往復(fù)便形成一個正向發(fā)展的循環(huán)。


ITU-T創(chuàng)建和運營網(wǎng)絡(luò)防御中心的框架




IT負責人看完,表示似懂非懂,難道哥的未來之路可以晉升到CSO、CIO了?有錢途,擼起袖加油子干。


實踐之路

四點構(gòu)建安全運營


從開始被摩擦到分不清東南西北,一狠心在這個事情硬磕了3年,于是總結(jié)出來更這套解決方案與大家分享。


首先,要解決戰(zhàn)略問題。如果沒有戰(zhàn)略高度,網(wǎng)絡(luò)安全就會面臨兩大難題:

1、IT自身無法推動落實;

2、網(wǎng)絡(luò)安全建設(shè)的預(yù)算不足以應(yīng)對現(xiàn)代的網(wǎng)絡(luò)安全形勢。


其次,是人員問題。政府和企業(yè)需要自己招募培養(yǎng)安全人才還是借助廠商的專家?

建議初期通過與技術(shù)提供商合作獲取專家人員的支持,先把安全運營價值點呈現(xiàn)出來,正所謂留得青山在不愁沒柴燒;過度到后期,配合政府和企業(yè)的而發(fā)展不同階段,可以招人&合作共營,通過廠商的專家把團隊培養(yǎng)起來,逐步替換為核心業(yè)務(wù)自主運營配合購買技術(shù)提供商所提供的的定期培訓(xùn),形成一個完善的人才管理體系。

第三,產(chǎn)品和技術(shù)。人員問題解決后產(chǎn)品和技術(shù)的利用率自然而然就解決掉了,同時向上管理,在安全運營的戰(zhàn)略下將之前花的錢體現(xiàn)出價值來,這樣就可以獲得領(lǐng)導(dǎo)的瘋狂點贊。

解決了以上三個問題的基礎(chǔ)上,最后一步,流程制度。配合法律法規(guī)要求的合規(guī)性等與業(yè)務(wù)部門拉通制定合理、高效的流程制度,也會水到渠成。

網(wǎng)絡(luò)安全建設(shè)任重道遠,小米步槍已經(jīng)發(fā)展到海陸空三棲作戰(zhàn),網(wǎng)絡(luò)安全運營也需要持續(xù)不斷的優(yōu)化完善,向著下一個目標出發(fā)。

沒有網(wǎng)絡(luò)安全就沒有國家安全,作為網(wǎng)絡(luò)安全從業(yè)人員同樣有著保家衛(wèi)國的理想和抱負,也呼吁更多志同道合的“戰(zhàn)友”加入其中,共同并肩作戰(zhàn)。


關(guān)閉

客服在線咨詢?nèi)肟冢诖c您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費試用,我們將在24小時內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式