運維到運營 安全運營新時代的跨越

發布時間 2019-09-10

編者按:


城市級安全運營中心是啟明星辰集團 I3【獨立(Independence)、互聯(Interconnect)、智能(Intelligence)】階段戰略投入,是啟明星辰引領網絡安全保障進入安全運營時代的重要標志,同時也是啟明星辰自身安全業務發展模式進行戰略轉型的第一步。自2017年12月起,啟明星辰成都運營中心(西部北斗安全運營中心)正式對外發布,截至目前,已陸續在全國20多個省市建立了安全運營中心,開展安全運營業務,保障了網絡空間的獨立安全。

在與客戶溝通安全運營中心建設或提供服務的時候,都會面臨客戶的一個問題,那就是:

什么是安全運營? 安全運營與安全運維有什么區別?


 

運維(Operation and maintenance)一般是指對大型組織已經建立好的網絡軟硬件的維護;網絡安全的運維,更多的指的是對安全設備進行策略配置管理,組織或協助開展安全檢查、安全加固、安全培訓、協助應急處置等相關工作。

安全運維更多的是以乙方為視角,解決某個單一問題,比如某個安全設備的試用,某類安全服務的實施等,強調離散和就事論事。

運營(Operation)是對運營過程的計劃、組織、實施和控制,是與產品生產和服務創造密切相關的各項管理工作的總稱;安全運營是對“業務安全”過程的計劃,組織、實施和控制,是安全管理與安全技術各類工作的總稱。

安全運營是以甲方為視角,目標為提高業務安全值的一系列連續的,協作的安全具體工作,它關注過程,更注重結果。

啟明星辰建立的獨立安全運營中心是圍繞“保障業務系統安全”,以“解決安全風險”為訴求,從管理、技術、制度、流程、人員等多方面進行優化及改進安全建設,從而實現業務動態安全的建設目標。它本身不是一個產品建設,也不是單一的技術使用,更不是某類平臺建設,而是一種安全商業模式的創新,即是一種需要屬地組織來支撐的貼身安全服務新模式。就像獨立于人體八大系統的免疫系統一樣,是人體保護自身健康的防御系統,具備自我演進功能,各個系統在同一目標下的工程化建設,讓產品、技術、平臺、人員各司其職,協同發揮最大作用。


安全運營能為客戶帶來什么價值


傳統的安全建設往往根據甲方意愿、用戶需求、外部條件、時間因素等影響而設計,而大多數用戶無法做到整體安全把控和整體安全規劃建設,也缺乏專業的技術人才,最終導致交付的安全成果與建設期望存在較大差異。安全運營就是為了解決此類問題,打破傳統的建設模式的安全建設新思路,而安全運營商對用戶的整體安全負責,幫助用戶建立以“安全”為目標的長效運營機制。

安全運營扮演著“私人醫生”的角色

私人醫生圍繞“健康”這個目標,通過“望聞問切”(手段)或者檢查設備(工具)掌握客戶的各項身體指標并根據健康指標作出健康與否的判斷。


?具有日常的健康檢查,查看身體的健康狀況;
?如果生病,確定生了什么?。ú∏槊枋黾皥蟾妫?,開具處方單(對癥下藥);
?給出治療期間的醫囑,如:合理飲食+適量運動(配合治療);
?后續定期復查,監測治療效果,是否回歸健康。

安全運營又是如何操作的呢?

安全運營圍繞“安全”這個目標,對業務系統進行安全風險分析(已有安全事件分析)。


?圍繞業務系統進行日常安全監測,做好隨時發現問題的準備;
?如有問題,找到問題并分析原因,定制方案進行解決;
?通過持續運營方式(人員、流程,工具,平臺等等);
?定期查看指標是否達成目標。

安全運營是用戶的“私人醫生”,需要全面掌握客戶的現狀及目標,制定切實的落地規劃,通過安全系統化工程建設,以“安全”為目標進行長效建設,幫助客戶提高安全能力和業務抗風險能力。


啟明星辰的安全運營


早期的安全運營核心要素是指技術(Technology)、人員(People)和流程(Process),即我們常說的“PPT”。其中技術是產品、平臺和工具的統稱。為了符合下一代安全運營的目標與定義加入了安全策略(Policy),核心要素成為了“P+PPT”。為了體現安全運營平臺和新興的安全技術在安全運營中的作用和價值,我們將技術進一步細化為產品(Product)和安全運營平臺(Platform),成為現在提到的“5P”。

“5P”為Policy、Product、Platform、Professional、Process,即安全策略、安全產品、安全運營平臺、安全專業人員、安全運營流程。

5P是啟明星辰提出的評價安全運營的五個核心要素,五者缺一不可。是為了保障安全運營的高質、高效、持續和協同,實現安全監測、分析、響應和處置的完整閉環,對安全運營所需的技術、流程和人進行有機的整合,達到以業務為核心、以安全能力為交付的安全策略目標,簡要示意圖如下圖所示:


Policy


安全策略(或政策)是對管理層的意圖、期望和指導方向的高級別說明。安全策略可被視為安全治理的“憲法”,它們必須明確地與組織的戰略安全目標保持一致,并為實現這些目標提供支持。

在組織的戰略體系中,一般來說,安全戰略屬于IT戰略,而IT戰略屬于組織戰略,最終實現組織的愿景、目標和價值。因此,良好的安全策略是組織戰略的一部分。安全運營常說的以業務為核心,以安全能力作為交付即是安全策略的一種體現。

Product


安全產品是指用于協助安全運營平臺進數據采集,以及保障安全運營平臺網絡架構的合理及安全性的產品。安全產品一般分為監測工具和網絡及安全產品,其中監測工具用于安全數據的采集,網絡及安全產品用于對安全運營架構進行保障。

Platform


安全運營平臺主要有兩個作用,一方面用于對運營對象的安全進行整體監控和態勢感知,預知風險,通過可視化展示,直觀地呈現運營對象的安全現狀及威脅,同時通過7*24小時持續監測,使安全從靜態向動態轉變,掌握主動權,更好的進行風險管理和安全決策。另一方面,基于用戶所采購的安全服務和安全運營流程,提供統一的安全運營服務管理平臺。

安全運營平臺一般需要具備數據采集、數據存儲、數據分析、API、可視化展示等功能。通過采集系統,采集各類安全數據,對數據實現整體采集與清洗,構建數據資源池,為分析系統提供數據基礎;分析系統利用云計算、大數據等技術,結合各類先進的安全算法,通過機器學習,關聯分析和深度分析等,結合安全核心數據庫,對安全數據進行分析和處理;通過API接口進行數據共享,同時為對外共享和向內接入提供安全接口和通道;最后,對所關注的數據進行綜合呈現。

Professional


安全專業人員需要具備專業的安全技能和經驗,7*24小時對網絡安全進行監測、預警、分析和響應,有效、快速的處理安全威脅,同時不斷定義新的運營策略、設置新的關聯規則、插裝新的場景模型、變換新的安全運營內容,使安全運營不斷適應持續變化的網絡安全態勢。

安全運營人員根據安全運營的場景,可以按照不同的維度進行人員劃分,常見的有三種劃分方式:

第一種劃分方式:一級分析師、二級分析師和三級分析師,根據能力模型直接按照層級劃分,此為國際主流的劃分方式;

第二種劃分方式:安全監測人員、安全分析人員、安全響應人員和安全運維人員,根據功能進行劃分,可以實現運營流程的閉環;

第三種劃分方式:網絡安全專業人員、主機安全專業人員、數據安全專業人員等,根據專業能力進行劃分,能更好地針對具體的場景進行安全運營。

Process


流程是經過清晰定義用于完成特定任務的所有必要步驟,在長期的安全運營過程中,需要根據實際場景制定不同的安全運營流程,以保障安全運營的規范和有效。

流程一般分為內部流程和外部流程。內部流程主要是組織內部安全運營所需的流程,主要包括業務流程、操作流程、分析流程和技術流程等;外部流程主要是來自監管單位、主管單位和其他第三方的安全要求或安全事件處置所要求的流程。

作為“獨立第三方安全運營”理念的首倡者,啟明星辰將繼續針對安全運營建設、評價考核依據及落地實踐等問題進行深度解讀。