浅谈安全运营

目前安全情报大热，不少同学也谈到了安全即服务（SECaaS）的趋势不可阻挡。今天我尝试从运营的角度简单的谈一谈。

无论是传统的各类安全系统还是未来的以智能感知和情报驱动的安全平台，无论是以考核为主要手段的安全管理还是逐步转变的安全即服务的业务模式，组织和人在安全防御体系中发挥的价值将会越来越重要。假如缺少了一个配合安全技术发展的运营体系，安全技术体系再好再完善，其作用也将大打折扣，甚至越来越多的安全措施将会给企业安全工作带来“无法承受之重”。企业的安全运营就像是在织网，通过日常的活动将许许多多的安全措施和安全策略联系起来，以期能使已有的安全投入发挥一加一不小于二“1+1≥2”的作用。

 

信息安全与公共安全

网际空间的安全攻防对抗，根本上还是人和人、组织和组织以及人和组织的对抗，因此公共安全中的各类措施和手段，其实也可以映射到信息安全中。借鉴成熟的公共安全运营方法和体系来指导信息安全运营活动开展，也许可以取得事半功倍的效果。

访问控制措施（防火墙等及策略配置），正如同“边检、海关、边防”是安全防御的基础手段和最为关键的基本措施。

统一身份认证措施、IP地址规划，正如同“护照、身份证”是安全行为判断的最基本依据。

各类资产的识别，业务和系统的配置管理、组件管理、状态管理，正如同“工商登记、税务登记、产权登记”是业务能够合法顺利开展的基础数据。

各类数据包分析、数据保护、审计等安全措施，正如同“保密、消防、安保、城管、值班大爷等”负责专项安全机制的实际开展。

而智能感知和情报获取，就如同各类情报机（军方、国安、公安）的活动，是应急响应、追查、取证、防范甚至反制的能力。

 

避免信息安全孤岛

如何避免越来越多的安全措施和投入成为技术和信息的孤岛，将是安全防御体系成败的关键。无论是SIEM，还是热议的安全大数据分析，又或者是智能感知和情报共享，要解决的都是技术上的信息安全互联和共享。但是要真正的将安全事件预防、发现、处置到威胁情报共享全环节的打通，需要的还是踏实落地的安全运营。

目前许多企业尤其是传统的大中型企业，缺乏的并不是对安全的投入和技术措施的建设，而是缺失了对历年安全投入成果的真正使用。信息安全没有真正的用户，更没有真正的运营机制，对于企业来说只会是投入越大失望越大。

对比公共安全的方法，应将防火墙和访问控制策略等边控信息在运营工作中打通（出入境信息联网可查），建立信息安全工作的基础围栏。

在安全事件调查和处置过程中做到信息资产和人员的“身份信息”统一可查询（身份证信息联网可查），并逐步和其他安全措施打通（金融系统、民政系统与公安局身份证系统联网）。

在安全运营的过程中，将业务系统可用性和业务特性与安全服务逐步贯通（BAT等互联网公司做得不错），让业务与安全有机结合，业务部们和安全主管机构各司其职，协同响应。

然后进一步利用安全大数据分析技术实现安全情报共享和安全威胁的智能感知，将安全运营工作转化为真正意义的安全即服务SECaaS。

 

提高安全效率

一个良好的安全运营体系，涵盖了技术能力、组织流程、人员素质三方面的持续优化和改进。合理的统筹规划这三方面的投入和能力提升，是企业安全防御体系的重中之重。

 

很久不写，不足之处，请大家多提建议！关于企业安全运营更多的想法和细节，我们以后继续聊。