2021年，在新冠肺炎疫情、安全事件、0day漏洞等威脅的挑戰(zhàn)下，網(wǎng)絡(luò)安全產(chǎn)業(yè)呈現(xiàn)變革創(chuàng)新的發(fā)展態(tài)勢(shì)，促使著組織和企業(yè)不斷探索新的技術(shù)和方法，來(lái)防止?jié)撛诘木W(wǎng)絡(luò)入侵。

在現(xiàn)有安全形勢(shì)、政策導(dǎo)向、發(fā)展需求之下，安全運(yùn)營(yíng)作為網(wǎng)絡(luò)安全發(fā)展的時(shí)代產(chǎn)物，被認(rèn)為是解決現(xiàn)有挑戰(zhàn)的有利方法。本文將帶您一起探索在當(dāng)今網(wǎng)絡(luò)安全形勢(shì)下安全運(yùn)營(yíng)的演進(jìn)趨勢(shì)。

安全運(yùn)營(yíng)發(fā)展趨勢(shì)

等保2.0、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等法規(guī)制度不斷出臺(tái)，促使我國(guó)的安全頂層設(shè)計(jì)逐步完善，也推動(dòng)組織和企業(yè)的安全需求從被動(dòng)、靜態(tài)、產(chǎn)品堆砌的安全運(yùn)維向主動(dòng)監(jiān)測(cè)、快速預(yù)警、有效聯(lián)動(dòng)、準(zhǔn)確處置的閉環(huán)式安全運(yùn)營(yíng)體系轉(zhuǎn)變。

· 等保2.0從等保1.0被動(dòng)防御向事前防御、事中響應(yīng)、事后審計(jì)的“一個(gè)中心，三重防護(hù)”的動(dòng)態(tài)防御體系轉(zhuǎn)變；

· 《數(shù)據(jù)安全法》搭建了我國(guó)數(shù)據(jù)安全治理領(lǐng)域的基本法律框架，有效敦促企業(yè)認(rèn)真履行數(shù)據(jù)安全保護(hù)義務(wù)；

· 《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》著重強(qiáng)化了數(shù)字經(jīng)濟(jì)安全體系，包括增強(qiáng)網(wǎng)絡(luò)安全防護(hù)能力、提升數(shù)據(jù)安全保障水平、切實(shí)有效防范各類風(fēng)險(xiǎn)。

這表明，組織和企業(yè)需要的安全已不再只是合規(guī)，而是能夠不斷自我迭代優(yōu)化、演進(jìn)、提供持續(xù)性能力輸出的安全運(yùn)營(yíng)保障體系。

因此，要求安全運(yùn)營(yíng)應(yīng)圍繞業(yè)務(wù)系統(tǒng)，隨著威脅與響應(yīng)、攻與防的變化而演進(jìn)，從第三方獨(dú)立視角，讓產(chǎn)品、技術(shù)、平臺(tái)、人員各司其職、協(xié)同發(fā)揮最大作用，從管理、制度、流程等多方面進(jìn)行優(yōu)化及改進(jìn)安全建設(shè)，滿足“解決安全風(fēng)險(xiǎn)”的訴求，實(shí)現(xiàn)業(yè)務(wù)動(dòng)態(tài)安全的建設(shè)目標(biāo)。

安全運(yùn)營(yíng)自我演進(jìn)

安全運(yùn)營(yíng)本身不是一個(gè)產(chǎn)品建設(shè)、單一的技術(shù)使用以及某類平臺(tái)建設(shè)，而是一種貼身安全服務(wù)新模式。它以“保障安全”為目標(biāo)，以業(yè)務(wù)場(chǎng)景為驅(qū)動(dòng)，在人員、產(chǎn)品、技術(shù)、流程等方面進(jìn)行演進(jìn)，持續(xù)提升運(yùn)營(yíng)成效，幫助用戶實(shí)現(xiàn)業(yè)務(wù)與安全建設(shè)同步發(fā)展，實(shí)現(xiàn)安全與發(fā)展雙翼驅(qū)動(dòng)，促進(jìn)信息化建設(shè)。

以下就安全運(yùn)營(yíng)中心需重點(diǎn)加快自我演進(jìn)的幾方面進(jìn)行介紹。

安全運(yùn)營(yíng)框架演進(jìn)

安全的關(guān)注點(diǎn)從原來(lái)傳統(tǒng)系統(tǒng)安全拓展到新技術(shù)領(lǐng)域，更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)。在此情況下，被“委以重任”的安全運(yùn)營(yíng)的演進(jìn)基礎(chǔ)便是運(yùn)營(yíng)框架的演進(jìn)，來(lái)指導(dǎo)著各項(xiàng)工作的開展。

運(yùn)營(yíng)理念轉(zhuǎn)變：從合規(guī)管理到實(shí)戰(zhàn)對(duì)抗

運(yùn)營(yíng)模式轉(zhuǎn)變：從靜態(tài)防護(hù)到積極動(dòng)態(tài)防御

運(yùn)營(yíng)手段轉(zhuǎn)變：從單一化運(yùn)營(yíng)到一體化運(yùn)營(yíng)的安全運(yùn)營(yíng)機(jī)制

無(wú)論是以MSS為目標(biāo)的安全運(yùn)營(yíng)中心，還是為行業(yè)用戶建立的定制化安全運(yùn)營(yíng)中心，都需要遵循上述原則。

專業(yè)化運(yùn)營(yíng)人員

安全運(yùn)營(yíng)是由技術(shù)、流程、人等有機(jī)結(jié)合的復(fù)雜化、工程化體系，對(duì)產(chǎn)品、工具及服務(wù)產(chǎn)出的數(shù)據(jù)進(jìn)行有效分析，持續(xù)輸出安全能力。在此過(guò)程，人作為其中最關(guān)鍵的一環(huán)，串聯(lián)起發(fā)現(xiàn)問題、驗(yàn)證問題、分析問題、響應(yīng)處置問題、持續(xù)迭代優(yōu)化的過(guò)程。此外，由于運(yùn)營(yíng)的網(wǎng)絡(luò)環(huán)境較為復(fù)雜，需要按照運(yùn)營(yíng)環(huán)境的專業(yè)進(jìn)行劃分，以專業(yè)人員處置專業(yè)問題的思路，為安全運(yùn)營(yíng)提供專業(yè)化、精細(xì)化的安全能力。

培養(yǎng)實(shí)戰(zhàn)型人員

安全運(yùn)營(yíng)體系對(duì)人員的關(guān)鍵需求就是基于對(duì)抗的能力。通過(guò)實(shí)戰(zhàn)化演練鍛煉、提升安全人員技能和戰(zhàn)術(shù)水平。同時(shí)堅(jiān)持多角度、多層次、全方位人才培養(yǎng)理念，多措并舉，不斷強(qiáng)化網(wǎng)絡(luò)安全人才隊(duì)伍整體素質(zhì)與綜合實(shí)力。

建立激勵(lì)機(jī)制

設(shè)定貫穿日常運(yùn)營(yíng)的競(jìng)賽機(jī)制，通過(guò)競(jìng)技化過(guò)程提升人員能力；設(shè)定評(píng)價(jià)機(jī)制，關(guān)注到運(yùn)營(yíng)人員的能力提升過(guò)程；建立人員上升通道，實(shí)現(xiàn)從一線到三線的升級(jí)，從監(jiān)測(cè)分析到研究專家的升級(jí)。

優(yōu)化評(píng)價(jià)考核

沒有成熟的考核機(jī)制，運(yùn)營(yíng)持續(xù)性改進(jìn)便是紙上談兵。在安全運(yùn)營(yíng)中心的等級(jí)評(píng)價(jià)上，目前定義為5個(gè)等級(jí)，當(dāng)?shù)燃?jí)達(dá)到3級(jí)及以上，運(yùn)營(yíng)中心才具備對(duì)外服務(wù)輸出的能力。

威脅情報(bào)聯(lián)動(dòng)運(yùn)營(yíng)

威脅情報(bào)的使用和生產(chǎn)與運(yùn)營(yíng)動(dòng)作緊密結(jié)合。在運(yùn)營(yíng)過(guò)程中，應(yīng)當(dāng)重視情報(bào)的相關(guān)活動(dòng)，包括外部情報(bào)的采集和選擇、結(jié)合智慧中臺(tái)完成初步情報(bào)碰撞、情報(bào)的生成和交互等內(nèi)容。

智慧城市的網(wǎng)絡(luò)空間安全需要強(qiáng)大的威脅情報(bào)去精準(zhǔn)預(yù)測(cè)感知，以提升運(yùn)營(yíng)成效。情報(bào)的產(chǎn)生應(yīng)用需要整合多方威脅信息，以建立龐大的情報(bào)庫(kù)。其中要注重于情報(bào)的交互和流動(dòng)，包括與內(nèi)部各運(yùn)營(yíng)中心的交互流動(dòng)，與外部各單位之間的交互流動(dòng)。

內(nèi)部：在全國(guó)各地運(yùn)營(yíng)中心間，實(shí)現(xiàn)情報(bào)的內(nèi)部產(chǎn)生、流動(dòng)、共享、應(yīng)用，打造情報(bào)網(wǎng)，聯(lián)防聯(lián)控，“集團(tuán)軍”作戰(zhàn)。

外部：與企業(yè)、研究機(jī)構(gòu)等探討新型威脅應(yīng)對(duì)方法，交換、共享情報(bào)，打造情報(bào)運(yùn)營(yíng)生態(tài)圈。

此外，伴隨著業(yè)務(wù)場(chǎng)景的不同,運(yùn)營(yíng)中心建設(shè)對(duì)象、規(guī)模也不同，城市級(jí)運(yùn)營(yíng)中心、行業(yè)級(jí)運(yùn)營(yíng)中心、企業(yè)級(jí)運(yùn)營(yíng)中心等不同運(yùn)營(yíng)中心面對(duì)的攻擊手段、漏洞類型等存在差異。在面對(duì)公有情報(bào)多、雜、亂的特點(diǎn)下，個(gè)性化、定制化運(yùn)營(yíng)中心就需建立自己的情報(bào)庫(kù)，以更快速定位攻擊過(guò)程，鎖定攻擊范圍，快速制動(dòng)，提高運(yùn)營(yíng)成效。

運(yùn)營(yíng)中心聯(lián)動(dòng)

運(yùn)營(yíng)流程演進(jìn)優(yōu)化

安全運(yùn)營(yíng)是一個(gè)持續(xù)處理、循環(huán)的過(guò)程，需要細(xì)粒度、多角度、持續(xù)化地對(duì)安全威脅進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，自適應(yīng)不斷變化的網(wǎng)絡(luò)和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機(jī)制。被動(dòng)防御向主動(dòng)治理的轉(zhuǎn)變離不開體系化的運(yùn)營(yíng)流程，而完善的運(yùn)營(yíng)流程，要求每項(xiàng)流程都能根據(jù)運(yùn)營(yíng)環(huán)境的變化進(jìn)行優(yōu)化。其中，重點(diǎn)需演進(jìn)優(yōu)化的流程包含以下三大方面：

運(yùn)營(yíng)任務(wù)動(dòng)態(tài)分配

在運(yùn)營(yíng)過(guò)程中，平均檢出時(shí)長(zhǎng)（MTTD）、事件平均定性時(shí)長(zhǎng)（MTTA）、風(fēng)險(xiǎn)遏制與響應(yīng)平均時(shí)長(zhǎng)（MTTR）是三個(gè)衡量運(yùn)營(yíng)服務(wù)質(zhì)量的重要參數(shù)，同時(shí)也是發(fā)現(xiàn)安全威脅并進(jìn)行追蹤處置的最佳實(shí)踐指標(biāo)。而如何保證MTTD、MTTA以及MTTR的指標(biāo)時(shí)效，是運(yùn)營(yíng)工作必須要解決的問題。

由于安全運(yùn)營(yíng)工作過(guò)程中，需要對(duì)接并分析處理大量安全數(shù)據(jù)，增加了安全數(shù)據(jù)疏漏的風(fēng)險(xiǎn)，導(dǎo)致安全威脅無(wú)法檢出或分析不深入，使安全威脅在客戶網(wǎng)絡(luò)中持續(xù)存在。因此，需要高效的任務(wù)分派與分析成果交叉確認(rèn)機(jī)制。

高效的任務(wù)分派機(jī)制

為解決可能出現(xiàn)的遺漏問題，需制定任務(wù)派發(fā)流程，將關(guān)注的安全數(shù)據(jù)任務(wù)化，并自動(dòng)派發(fā)，同時(shí)需要有一套負(fù)載均衡邏輯進(jìn)行最優(yōu)處理下發(fā)，保證任務(wù)處置及時(shí)性。

任務(wù)超時(shí)升級(jí)機(jī)制

需要設(shè)置任務(wù)處置超時(shí)升級(jí)機(jī)制，超時(shí)參數(shù)不同，升級(jí)的對(duì)象不同，從一線到交付經(jīng)理逐級(jí)升級(jí)。

分析過(guò)程腳本化

為了達(dá)成最大化的人員有效利用率，運(yùn)營(yíng)中心以三級(jí)分析師的形態(tài)構(gòu)建整體運(yùn)營(yíng)分析流程，為了更好地完成上級(jí)分析師向下級(jí)分析師傳遞分析思路、處置思路、知識(shí)經(jīng)驗(yàn)的目標(biāo)，同時(shí)建立安全運(yùn)營(yíng)不同層次、不同角色間的工作內(nèi)容及協(xié)同機(jī)制，安全運(yùn)營(yíng)就需要流程“運(yùn)營(yíng)腳本”化。

運(yùn)營(yíng)成果卷宗化

在常規(guī)的安全運(yùn)營(yíng)過(guò)程中，針對(duì)安全威脅的分析成果往往以文檔編纂形式出現(xiàn)，并多以發(fā)生時(shí)間為維度建立文件夾進(jìn)行積累留存。而在周期性工作復(fù)盤過(guò)程中，此類分析成果很難幫助安全決策人員有效梳理周期內(nèi)的安全問題，提出針對(duì)性的安全能力提升策略。因此，將安全運(yùn)營(yíng)流程中的每階段成果進(jìn)行卷宗化存儲(chǔ)，可便于安全決策人員對(duì)運(yùn)營(yíng)成果進(jìn)行復(fù)盤及參考。

如在安全運(yùn)營(yíng)流程中，分析師可模擬公安辦案人員的案情檔案盒模式，對(duì)威脅事件的報(bào)案線索（告警等日志信息）、案發(fā)現(xiàn)場(chǎng)（受影響資產(chǎn)）、辦案過(guò)程（事件分析流程）等分析內(nèi)容進(jìn)行卷宗化構(gòu)建，以數(shù)據(jù)結(jié)構(gòu)化的方式完成數(shù)據(jù)的存儲(chǔ)，方便后期對(duì)事件關(guān)鍵要素的檢索，并提供與其它相關(guān)事件的自動(dòng)化關(guān)聯(lián)能力。同時(shí)，安全管理員、分析師、相關(guān)業(yè)務(wù)責(zé)任人也可通過(guò)卷宗模式直觀、實(shí)時(shí)查看安全事件的分析進(jìn)度。