一 . 安全運營理念

現(xiàn)階段，網(wǎng)絡(luò)安全產(chǎn)業(yè)呈現(xiàn)出創(chuàng)新、變革的發(fā)展趨勢，這促使企業(yè)不斷探索新的技術(shù)和方法，來應(yīng)對潛在的網(wǎng)絡(luò)威脅。在這種形勢下，安全運營作為網(wǎng)絡(luò)安全常態(tài)化建設(shè)中的一項重要內(nèi)容，被認(rèn)為是應(yīng)對現(xiàn)有網(wǎng)絡(luò)安全挑戰(zhàn)的有效方法。

1. 什么是安全運營

從狹義層面來看，安全運營是以 IT 資產(chǎn)為核心，以威脅事件管理為關(guān)鍵流程，利用安全運營平臺，建立的一套實時的 IT 資產(chǎn)風(fēng)險評估模型，是進行事件發(fā)現(xiàn)、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處置的集中安全管理體系。

從廣義層面來看，安全運營是一個將技術(shù)、流程和人有機結(jié)合的復(fù)雜系統(tǒng)工程，通過對已有安全產(chǎn)品、工具和服務(wù)產(chǎn)出的數(shù)據(jù)進行有效的分析，持續(xù)輸出價值，解決安全問題，以確保網(wǎng)絡(luò)安全為最終目標(biāo)。

2. 協(xié)同安全運營體系

做好安全運營，首先需要構(gòu)建起標(biāo)準(zhǔn)化的安全運營體系，協(xié)同“安全能力”進行賦能，協(xié)同“安全數(shù)據(jù)”提供決策，協(xié)同“運營能力”作為交付，通過這樣的協(xié)同運營模式來發(fā)現(xiàn)問題、驗證問題、分析問題、響應(yīng)處置、解決問題并持續(xù)迭代優(yōu)化，從而實現(xiàn)網(wǎng)絡(luò)安全。

安全運營包括了四大體系，分別是安全運營管理體系、安全運營支撐體系、安全運營服務(wù)體系、安全合規(guī)與檢查體系：

安全運營管理體系解決安全組織、制度、流程的問題。企業(yè)需要根據(jù)國家信息安全等保相關(guān)規(guī)定、ISO27000 信息安全管理體系標(biāo)準(zhǔn)以及業(yè)界最佳實踐等，建立起安全運營管理體系框架，將安全方針、目標(biāo)、制度、規(guī)范、流程進行約束，界定日常安全運營的范圍、職責(zé)和程序，規(guī)范日常安全運營行為，保障安全運營的有序、高效運行。

安全運營支撐體系解決安全運營的平臺與支撐工具的問題。企業(yè)首先需要協(xié)同防火墻、防毒墻、入侵防御檢測系統(tǒng)、Web 應(yīng)用防火墻、漏洞掃描等安全防護類產(chǎn)品，建立從物理層、網(wǎng)絡(luò)層、到應(yīng)用層的整體安全防護措施；然后建立起統(tǒng)一的安全運營平臺，協(xié)同各類安全資源，在進行安全風(fēng)險感知的同時，開展安全管理、指揮調(diào)度、安全風(fēng)險監(jiān)測、事件應(yīng)急處置等活動，依托安全運營中心開展持續(xù)的監(jiān)控、檢測、評估、整改、指揮調(diào)度等工作，形成網(wǎng)絡(luò)安全運營的閉環(huán)管理。

安全運營服務(wù)體系解決安全運營周期性、日常性工作落地的問題。安全運營服務(wù)體系的關(guān)鍵在于運營人員的專業(yè)程度，專業(yè)化的安全運營團隊需要開展安全事件的事中、事后處理，及時阻斷或消除安全威脅，對發(fā)生的安全事件進行溯源，對產(chǎn)品、工具及服務(wù)產(chǎn)出的數(shù)據(jù)進行有效分析，查找引發(fā)威脅事件發(fā)生的原因，總結(jié)安全處理預(yù)案，調(diào)整安全技術(shù)策略，串聯(lián)起發(fā)現(xiàn)問題、驗證問題、分析問題、響應(yīng)處置問題、持續(xù)迭代優(yōu)化的整個安全運營生命周期過程。

安全合規(guī)與檢查體系解決合規(guī)測評、風(fēng)險整改的問題。企業(yè)首先需要根據(jù)安全管理制度和技術(shù)策略開展落實情況檢查，查找制度、技術(shù)策略落實方面的不合規(guī)行為，促進制度與技術(shù)策略的有效落實，同時針對制度、流程方面的問題進行有效整改；企業(yè)還需要通過技術(shù)手段與人工檢查分析等手段，對信息系統(tǒng)的安全威脅與脆弱性進行檢查評估，尋找網(wǎng)絡(luò)安全方面的弱點和短板，不斷優(yōu)化、完善技術(shù)策略。

因此，我們所說的協(xié)同安全運營體系，是指將制度流程、產(chǎn)品技術(shù)、專業(yè)人員以及安全數(shù)據(jù)進行協(xié)同，實現(xiàn)安全運營體系的整個閉環(huán)，保證我們的關(guān)鍵信息系統(tǒng)資產(chǎn)得到有效保護。

3. 動態(tài)安全運營

網(wǎng)絡(luò)安全是動態(tài)的而非靜態(tài)的，保證網(wǎng)絡(luò)安全不能一勞永逸，需要樹立動態(tài)的防護理念，攻擊者技術(shù)不斷更新，網(wǎng)絡(luò)安全防御技術(shù)就要在與安全威脅的對抗中持續(xù)提升。這不僅點明了企業(yè)網(wǎng)絡(luò)安全運營的要點，也指明了網(wǎng)絡(luò)安全運營的方向，網(wǎng)絡(luò)安全運營作為網(wǎng)絡(luò)安全常規(guī)保障建設(shè)的一項重要內(nèi)容，企業(yè)需要深入把握這一理念，持續(xù)推進安全運營工作。

此外，等保 2.0、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等法規(guī)制度的不斷出臺，促使我國的安全頂層設(shè)計逐步完善，也推動企業(yè)的安全需求從被動、靜態(tài)、產(chǎn)品堆砌的安全運維向主動監(jiān)測、快速預(yù)警、有效聯(lián)動、準(zhǔn)確處置的閉環(huán)式動態(tài)安全運營體系轉(zhuǎn)變。企業(yè)需要的安全已經(jīng)不再只是合規(guī)，而是能夠不斷自我迭代優(yōu)化、演進、提供持續(xù)性能力輸出的安全運營保障體系。

實現(xiàn)動態(tài)的安全運營，一方面需要安全運營圍繞業(yè)務(wù)系統(tǒng)，隨著威脅與響應(yīng)、攻與防的變化而演進，從第三方獨立視角，讓產(chǎn)品、技術(shù)、平臺、人員各司其職，協(xié)同發(fā)揮最大作用，從管理、制度、流程等多方面進行優(yōu)化及改進安全建設(shè)，滿足“解決安全風(fēng)險”的訴求，實現(xiàn)業(yè)務(wù)動態(tài)安全的建設(shè)目標(biāo)；另一方面需要建立快速、靈活的網(wǎng)絡(luò)安全監(jiān)控、預(yù)警、研判、決策、處置、追溯、報告機制，加強聯(lián)系、調(diào)度、流程平臺的建設(shè)，建立完善的安全應(yīng)急處置預(yù)案，規(guī)范化應(yīng)急指揮流程，加強對指揮流程的演練，增強第一時間對安全事件進行響應(yīng)與處理的能力。

利用信息化手段促進安全事件的快速響應(yīng)和處理是實現(xiàn)動態(tài)安全運營理念的重要體現(xiàn)。比如企業(yè)可以建立安全感知大數(shù)據(jù)平臺，在傳統(tǒng)的安全運營監(jiān)控基礎(chǔ)上，建立安全操作日志及安全設(shè)備類報警的大數(shù)據(jù)平臺，并引入威脅情報建立安全大數(shù)據(jù)資源底盤。利用大數(shù)據(jù)分析技術(shù)及算法構(gòu)建多種分析模型，對海量安全日志進行綜合關(guān)聯(lián)分析，實現(xiàn)對安全事件的預(yù)測，增強安全風(fēng)險感知能力，輔助安全運營人員決策，提前對可能的安全事件做出處理，防患于未然；另外，企業(yè)可以通過建設(shè)網(wǎng)絡(luò)安全 SaaS 云服務(wù)，在安全運營中心平臺對安全監(jiān)控、安全策略、安全事件調(diào)度管理的基礎(chǔ)上，實現(xiàn)與安全事件流程的對接，在突發(fā)安全事件處理上可通過 SaaS 服務(wù)及時響應(yīng)。

二 . 中小企業(yè)的安全運營挑戰(zhàn)

當(dāng)前企業(yè)網(wǎng)絡(luò)管理人員基本上都具備了一定的網(wǎng)絡(luò)安全意識，初步形成了一套網(wǎng)絡(luò)安全運營機制，對日常網(wǎng)絡(luò)安全運營工作具有一定的應(yīng)對能力。

對于像銀行、能源等頭部企業(yè)，在安全建設(shè)上的特點是預(yù)算充裕、對業(yè)務(wù)的安全要求極高、普遍擁有規(guī)模不小的內(nèi)部安全團隊。在安全建設(shè)方面，他們也能夠根據(jù)自己的業(yè)務(wù)系統(tǒng)去構(gòu)建自身的安全防御體系。這類群體不僅自身非常重視安全運營，而且也擁有安全運營的能力。

腰部企業(yè)的特點是有一定的安全預(yù)算，對安全的關(guān)注重點在于合規(guī)，這一點同上面的頭部企業(yè)有著明顯的區(qū)別，但在內(nèi)部安全團隊建設(shè)方面，可能就只有幾個專職甚至兼職的人員去做。這決定了這類客戶的安全能力普遍較弱，安全團隊從人員數(shù)量到人員素養(yǎng)都難以進行高效的安全運營。

中小企業(yè)是體量最大的群體。在數(shù)字化轉(zhuǎn)型的過程中，更多擁抱數(shù)字化的其實是中小企業(yè)。這類群體的特點是，對業(yè)務(wù)的重視程度高于其他方面，因此在安全相關(guān)方面投入普遍較少，即便有預(yù)算也非常緊張，而在安全人員的配置方面幾乎沒有。因此，這類企業(yè)主要是通過購買簡單的、標(biāo)準(zhǔn)的安全產(chǎn)品或安全服務(wù)來解決安全問題，其自身是很難有能力去做安全運營的。

新技術(shù)的大量引入和企業(yè)業(yè)務(wù)模式的變化也導(dǎo)致近年來網(wǎng)絡(luò)安全事件發(fā)生更加頻繁，勒索病毒、蠕蟲木馬、漏洞攻擊、掃描滲透等網(wǎng)絡(luò)攻擊手段層出不窮。單靠被動響應(yīng)，中小企業(yè)無法及時發(fā)現(xiàn)風(fēng)險源頭，也無法快速實現(xiàn)業(yè)務(wù)恢復(fù)，企業(yè)業(yè)務(wù)也因此會造成巨大損失。即使部署了大量的安全設(shè)備，企業(yè)也缺乏全局視角的安全管理和故障響應(yīng)能力，因此中小企業(yè)的網(wǎng)絡(luò)安全運營面臨著嚴(yán)峻的挑戰(zhàn)。

三 . 山石云·景賦能中小企業(yè)安全運營

面對中小企業(yè)客戶所面臨的網(wǎng)絡(luò)安全運營挑戰(zhàn)，山石網(wǎng)科基于動態(tài)、協(xié)同的安全運營理念，通過山石云 ? 景——云端安全運營與管理平臺，從產(chǎn)品、技術(shù)、平臺和人員這四個維度，來幫助中小企業(yè)解決安全運營方面所面臨的諸多問題。

山石云 ? 景是一款 SaaS 化的安全運營管理平臺，可以在云端為廣大中小企業(yè)用戶提供便捷、高效、高性價比的增值安全運營服務(wù)。用戶可以通過 Web 和 手機 APP 方式按需登陸使用，實時進行安全設(shè)備監(jiān)控與運維、威脅發(fā)現(xiàn)與處置、資產(chǎn)管理與報表輸出，實現(xiàn)在云端的一站式安全運營管理。

1. 協(xié)同安全運維，實時資源監(jiān)控

山石云 ? 景作為安全運營管理平臺，首先能夠?qū)ι绞W(wǎng)科的安全資源進行統(tǒng)一納管。山石云 ? 景能夠納管包括下一代防火墻、入侵檢測與防御系統(tǒng)、Web 應(yīng)用防火墻、負(fù)載均衡、態(tài)勢感知平臺在內(nèi)種類豐富的山石網(wǎng)科安全產(chǎn)品，協(xié)助用戶梳理安全資產(chǎn)，實現(xiàn)高效監(jiān)控與運維。通過對山石網(wǎng)科安全資源的納管，企業(yè)實現(xiàn)了對產(chǎn)品維度的協(xié)同，為企業(yè)進行安全運營打下基礎(chǔ)。

安全產(chǎn)品被納管入山石云 ? 景后，山石云 ? 景首先會對安全設(shè)備資源情況進行實時監(jiān)測，如CPU、內(nèi)存、網(wǎng)絡(luò)流量等信息，同時獲取設(shè)備的系統(tǒng)信息、特征庫信息以及授權(quán)時長信息等；可周期、智能地對安全設(shè)備下發(fā)巡檢任務(wù)，針對潛在的問題和風(fēng)險給出優(yōu)化和處置建議，輸出設(shè)備巡檢報告；云 ? 景還配置了設(shè)備資源使用的告警規(guī)則，支持多種通知的實時告警，幫助運維人員及時發(fā)現(xiàn)安全資源風(fēng)險情況，讓中小企業(yè)能夠輕松實現(xiàn)對安全設(shè)備的運維。

2. 動態(tài)威脅發(fā)現(xiàn)，及時響應(yīng)處置

山石云 ? 景秉持動態(tài)、協(xié)同的安全運營理念，充分利用前沿技術(shù)手段構(gòu)建安全事件的快速響應(yīng)和主動防御能力，圍繞業(yè)務(wù)系統(tǒng)，把持續(xù)的威脅檢測、威脅分析和響應(yīng)處置固化到日常中小企業(yè)安全運營的工作中。

威脅發(fā)現(xiàn)與分析方面，山石云?景作為整個威脅發(fā)現(xiàn)和處置流程中的循環(huán)主體，首先會從安全設(shè)備端獲取威脅日志，原始日志到數(shù)據(jù)湖，并引入云端威脅情報引擎和云沙箱作為安全大數(shù)據(jù)資源底座，然后利用大數(shù)據(jù)分析技術(shù)及算法構(gòu)建多種分析模型，對海量的安全日志進行綜合關(guān)聯(lián)分析，從而實現(xiàn)對安全威脅事件的準(zhǔn)確預(yù)測。

響應(yīng)處置方面，山石云 ? 景發(fā)現(xiàn)威脅事件后會第一時間通過短信、郵件、站內(nèi)信、移動 APP 等途徑推送給安全運維人員，運維人員接收信息后可基于自身評估和判斷進行威脅阻止，包括采取 IP攔截、一鍵斷網(wǎng)等操作，實現(xiàn)威脅事件的快速響應(yīng)和處置。

通過以上能力，山石云 ? 景將平臺和技術(shù)實現(xiàn)協(xié)同，幫助中小企業(yè)構(gòu)建起以主動監(jiān)測、快速預(yù)警、有效聯(lián)動、準(zhǔn)確處置為特點的閉環(huán)式可持續(xù)安全運營體系。

3. 增值托管服務(wù)，輕松安全運營

面對中小企業(yè)安全運營和運維的壓力，山石網(wǎng)科充分發(fā)揮可持續(xù)協(xié)同安全運營理念當(dāng)中人的作用，將安全產(chǎn)品、工具（山石云 ? 景）和山石網(wǎng)科安全專家相結(jié)合，為用戶提供高性價比的 MSS 安全托管服務(wù)，保障企業(yè)自身的網(wǎng)絡(luò)安全。

在該服務(wù)中，山石網(wǎng)科安全產(chǎn)品以下一代防火墻、入侵防御檢測、Web 應(yīng)用防火墻等優(yōu)勢產(chǎn)品為基礎(chǔ)，為客戶提供單點安全檢測和防護能力，同時將原始日志及檢測結(jié)果上送至山石云 ? 景平臺進行關(guān)聯(lián)分析；山石云 ? 景作為安全運營的平臺類工具，提供資產(chǎn)管理、安全監(jiān)控、威脅分析發(fā)現(xiàn)、聯(lián)動處置等平臺能力，以動態(tài)的安全運營理念實現(xiàn)威脅的持續(xù)發(fā)現(xiàn)和響應(yīng)處置；山石網(wǎng)科安全專家依靠多年來積累的安全運營管理和實戰(zhàn)對抗經(jīng)驗，以多角度、多層次、全方位的安全運營理念，利用山石云 ? 景平臺，為用戶提供高質(zhì)量的安全運營服務(wù)。山石網(wǎng)科 MSS 安全托管服務(wù)真正地把產(chǎn)品、技術(shù)、平臺、人員實現(xiàn)了高效協(xié)同，充分發(fā)揮出了協(xié)同安全運營的作用。

通過山石網(wǎng)科 MSS 安全托管服務(wù)，中小企業(yè)能夠很大程度上減少在安全運營和運維方面的人員和成本投入，同時還進一步提升了企業(yè)安全運營的整體水平，讓企業(yè)安全運營無憂。

因此，對于中小企業(yè)而言，動態(tài)和協(xié)同的安全運營是提高網(wǎng)絡(luò)安全防御的一條可行通道，而能夠踐行這一理念的途徑，采用山石云 ? 景和 MSS 安全托管服務(wù)，不失為一種保障自身網(wǎng)絡(luò)安全的高性價比選擇。

參考資料：

1、安全內(nèi)參公眾號《安全運營的定義與核心目標(biāo)》部分內(nèi)容

2、中國信息安全公眾號《關(guān)于網(wǎng)絡(luò)安全運營實踐思考》部分內(nèi)容

3、中國信息安全公眾號《網(wǎng)絡(luò)安全運營與實踐初探》部分內(nèi)容

4、安全 419《從網(wǎng)絡(luò)安全發(fā)展趨勢看安全運營技術(shù)發(fā)展》部分內(nèi)容