文｜張松凱 伍星亮

從全球來看，圍繞網絡空間的全球攻防戰(zhàn)日益激烈，黑客對關鍵信息基礎設施的攻擊也不斷升級。對中國來說，黨和政府越來越重視網絡安全，強有力的網絡空間戰(zhàn)略思想為新時代的網絡安全工作提供了根本指導。對企業(yè)來說，高質量的發(fā)展離不開高質量的網絡安全保障和支持。伴隨著5G技術的不斷進步，各種新技術、新業(yè)務對企業(yè)發(fā)展提出了新的要求，客戶的合法權益保護也面臨著各種新的安全問題。

一、安全運維到安全運營的跨越

保障網絡設備及系統(tǒng)穩(wěn)定運行是傳統(tǒng)安全運維的主要目標，其主要工作包括設備日常巡檢，例行安全漏洞掃描，安全警告提示與處置，為設備配置必要的策略等，因此傳統(tǒng)安全運維更注重安全設備正常運行和處理。

二、企業(yè)在安全運營工作中存在的問題剖析

造成當前錯綜復雜的網絡安全局勢的因素很多，但就國內企業(yè)來講主要有以下幾點。

（一）運營目標不清晰

目前企業(yè)在日常安全保障中未完成標準化工作的全面覆蓋，也并未形成安全運營的度量指標及安全運營流程機制。

（二）安全流程不完善

安全管理權責邊界不清晰，尚無規(guī)劃安全管理流程，亦未制定信息安全突發(fā)事件應急響應預案，沒有與企業(yè)實際相匹配的應急響應、安全演練等能力及與其配套的流程制度，企業(yè)往往在面對突發(fā)安全事件時會因準備不足。

（三）技術工作任務重

一般企業(yè)的安全運營團隊多為3到4人團隊甚至更少，日常面臨的工作類型多樣且繁重，尤其在重保期間，肩負安全保障任務的運營團隊人員工作量將更趨繁重，如何將運營團隊從大批量，重復，場景單一而卻價值不高的運營工作中解放出來，成為運營團隊需解決的問題。

三、網絡安全運營頂層設計的指導意義

一個持續(xù)可發(fā)展的安全運營工作需要有一個頂層設計作為指導，因為安全運營工作不同于產品部署或安全服務這種短期階段式工作，是一個長期性工作，很多企業(yè)安全運營工作沒有體現(xiàn)出效果往往是過程走偏向或變質了。所以頂層設計是引導安全運營工作健康性發(fā)展的必備條件之一，內容方向主要是在運營的目標、能力的要求、資源的投入、運營的收益等。

四、網絡安全運營體系實踐

在安全運營體系建設與實踐中，企業(yè)實際上需要一份能從宏觀視角出發(fā)，能指引對企業(yè)安全運營的現(xiàn)狀進行評估，對安全運營所需涵蓋能力進行羅列，對安全運營能力的成熟度進行衡量，且不依賴于特定廠商的特定產品，以安全能力為核心，清單式，階段式，符合SMART原則的安全運營設計與指引方案。

（一）網絡安全人員運營

對企業(yè)而言，專業(yè)的安全人員在安全運營過程中占據(jù)重要地位。對專業(yè)人員的合理配置及調配能保證安全策略有效執(zhí)行、平臺可高效使用、產品合理管理、流程正常運轉。為使人員能有效支撐安全運營業(yè)務、技術、流程和服務等因素，需對人員自身，角色，組織結構及知識培訓等內容進行統(tǒng)一管理及正確評價，促進安全運營整體效果的提升并體現(xiàn)安全運營的價值。

（二）業(yè)務與安全運營結合

在企業(yè)安全運營的設計過程中，企業(yè)業(yè)務是首要需要考慮的因素，安全運營的其他因素應該也必須和企業(yè)業(yè)務因素進行對齊。安全運營中心是業(yè)務安全目標的技術呈現(xiàn)，是連接業(yè)務與人員、技術、流程、服務的橋梁。為了使安全運營中心與業(yè)務關聯(lián)和溝通，必須先理解業(yè)務是如何開展和描述的，以及業(yè)務的上下文和運營概念等。如能深刻理解安全運營目標對象企業(yè)的業(yè)務問題，完整識別業(yè)務運營應包含的內容，如業(yè)務驅動因素、用戶、章程、治理、隱私等，并將安全運營所有因素與業(yè)務關聯(lián)，則安全運營將更容易獲得成功。

（三）安全運營技術配套

決定什么技術是安全運營團隊所需要的取決于建立安全運營團隊的時候所設置的分析師的角色和職責，以及他們的時間花在什么地方。由于人員和技術（要素）決定了你建立安全運營團隊的成本，以及將使用什么樣的技術。因此，查看安全運營團隊分析人員如何使用這些技術以及確定現(xiàn)有的技術是幫助還是阻礙了安全運營的全過程，以及確定是否需要新的技術取代舊的技術是非常重要的。

五、網絡安全運營評價過程

企業(yè)安全運營的評價體系應遵循以“識別-現(xiàn)狀評估-訪談分析-成熟度提升-能力提升-比較”作為一次循環(huán)，并周期性循環(huán)提升的思路，對安全運營涵蓋的業(yè)務、人員、流程、技術及服務五大領域進行安全能力細項的拆解，并對各細項內容進行分層說明，以確保安全運營的各項安全能力都經過識別及考慮，進而周期性完成其成熟度的評估。

各步驟概要說明如下：

識別安全運營對象，填寫信息以創(chuàng)建安全運營團隊的簡介及基本評估。

項目 記錄說明評估詳情 背景說明評估日期 評估時間公司名稱(s) 評估目標單位部門(s) 評估目標部門評估預期目的 目標說明范圍 安全運營范圍定義

運營年數(shù) 計劃運營周期FTE數(shù)量 正式編制及臨時編制員工規(guī)劃SOC 模型 多時區(qū)、混合（部分外包）、集中式、多個單獨的 SOC、多層 SOC 模型地理操作 區(qū)域性、全國性、大陸性、全球性

對運營對象現(xiàn)狀進行成熟度評估。目標成熟度級別包括業(yè)務、人員、流程、技術、服務等各領域，使用從 1到 5 的分數(shù)表示，可使用小數(shù)。

對運營對象進行調研訪談，確認其安全運營目標。由于安全能力的增加會導致企業(yè)成本的增高，因此安全運營并非務必以盡善盡美為目標，而是企業(yè)安全管理者的一個平衡取舍的過程，企業(yè)所設定的安全運營目標也各有差異，企業(yè)需基于現(xiàn)狀的安全評估結果，對三年及五年的安全運營目標進行設定，以明確建設內容及建設路線。

對各領域成熟度進行提升?，F(xiàn)狀評估及運營目標確定后，接下來的步驟是確定需要改進的領域。這需要對結果進行一些分析，應自上而下地分析結果。首先，確定哪些域的得分低于目標成熟度級別。然后，使用圖表深入了解這些領域，應優(yōu)先選擇與其他域相比表現(xiàn)不佳的領域，下一步是確定這些領域的哪些方面得分最低。

六、結束語

通過建設業(yè)務指標化，人員標準化，技術自動化，流程定制化及服務場景化的五大工作內容及其細項，解決當前企業(yè)中普遍存在的安全管理權責邊界不清晰、安全防護有技術無體系、安全運營重技術輕管理等一系列問題，并通過前期對設備的運維、保證平臺與設備的正常工作，減少故障率；進而將相關數(shù)據(jù)導入安全運營中心平臺，通過資產管理、風險管理、脆弱性管理與事件管理等常態(tài)化運營工作，使資產定位準確率，漏洞修復率等安全指標得到提升，同時促使企業(yè)安全運營人員能力得到同步提升，最后結合數(shù)據(jù)統(tǒng)合進行分析、監(jiān)測預警，安全分析建模等復雜系統(tǒng)，達到運營工作閉環(huán)的效果。