安全运营让网络安全更加有效

◆张 剑 李 韬

安全运营让网络安全更加有效

◆张 剑1李 韬2

（1.61062部队 北京 100091；2.32065部队 沈阳 110000）

网络安全指导思想从合规交付向能力输送转变，传统安全运维向运营华丽转身。安全运营不仅包括安全运维，而且高于安全运维，是传统安全的集中和升华。安全运营在安全运维基础上，通过人、设备、数据和流程的有机结合，通过主动探测和动态防御，持续输出安全价值，解决安全风险、保证各类业务的实时安全稳定运行。

安全运营；能力输出；纵深防御；持续监测

近来安全运营兴起，网络安全指导思想从合规交付向能力输送转变。习总书记指出，网络安全是整体的、动态的、开放的、相对的和共同的。早期以安全设备采购和安全策略设置的静态安全防护模式已经不能适应互联网时代发展，特别是在开放、动态、融合的网络生态环境下，如不改变静态的被动防御理念，安全风险势必难以把控。面对这样的形势，安全运营顺势而生，为网络安全服务保障提供了一个新思路和新抓手。

1 安全运维到安全运营的转变

传统安全运维大多是从通信网络运维演变而来，其主要工作目标是确保网络设备和系统稳定运行，内容是发现设备告警提示和故障信息，排除设备和系统故障问题，同时对设备进行必要的策略配置，保证策略能满足上级规定和业务通联需求。这种传统的安全运维更多是对内而言求安全，对外而言应付检查。但随着云计算、物联网和大数据等新技术的迅猛发展和深度融合，网络安全环境发生了重大变化，业务规模不断扩大，系统关联性和结构复杂性成倍提升，各类信息和数据呈爆炸式增长，加上网络边界日益模糊等现实问题，导致网络安全威胁陡然增多，传统的设备运行维护模式已经不能再确保网络安全。

为解决这个突出问题，安全运营登上了舞台。安全运营不仅包括安全运维，而且高于安全运维，是传统安全的集中和升华。安全运营是在安全运维基础上，通过人、设备、数据和流程的有机结合，通过主动探测和动态防御，持续输出安全价值，解决安全风险、保证各类业务的实时安全稳定运行。

安全运营可以定义为：为了实现网络安全这个目标，提出安全解决思路，通过实践操作，验证思路的有效性；通过对安全事件的分析、研判、处置的流程进行反复优化和改进，实现持续保证网络安全的过程。安全运营是一列规则技术和应用的集合，是通过构建“人+设备”整体联动的主动防御体系，通过持续不断的循环，实现对安全事件预警、响应、处置、恢复的闭环。同时安全运营可以通过联动和协调机制，充分优化各类安全要素，动态地智能化地协同各种资源，保障单位网络业务平稳运行和持续迭代优化，有效抵御各种内外网安全威胁。

2 安全运营的新模式

安全运营的新模式是传统安全运维的扩展和升级，其实现落地需要管理和技术两方面同时支撑、相互衔接和配合，缺失任何一个都是行不通的。

管理方面，在顶层设计时，网络安全运营要根据国家信息安全等级保护2.0的相关要求，参考ISO27000信息安全管理体系标准，制定本行业相关管理要求，通过不断优化行业最佳实践案例，建立符合自身的安全管理体系框架。在安全运营实施层面，需要明确网络安全目标，制定网络运营标准和各业务系统的安全管理制度及操作规范，并在此基础上进一步梳理安全管理流程，界定安全管理职责和范围，通过细化规则落实日常安全运营行为，保障安全运营工作的有序和高效运行。

技术方面，首先，建立从网络链路层、物理层到应用层的整体安全防护技术措施，形成从物理层到应用层的安全策略体系，通过网关类设备、流量检测类设备和终端防护类设备的部署，构建整体安全防御体系。第二，通过构建“一个中心、三重防御”架构（一个中心即安全管理中心，三重防御即安全计算环境防护、安全区域边界防护和安全通信网络防护），利用安全管理中心（SOC）持续不断的监测感知网络安全整体态势，对各类安全事件按照事前预判和介入、事中控制和阻断、事后分析和溯源的方式及时消除安全风险；第三，适时开展安全审计，针对安全管理制度要求和技术策略开展落实情况检查，查找制度、策略落实方面的非合规行为，促进制度与策略的切实执行，同时根据检查中发现的问题和不足，对制度、流程等进行不断的调整和优化；第四，常态化开展安全风险评估，通过技术手段、人工检查、渗透测试等方法，对各类业务系统的安全威胁和资产自身脆弱性进行检查和评估，寻找网络安全方面的脆弱点，并提出解决方案，不断完善和优化系统安全防护能力和水平。

安全运营是伴随着网络和应用一并存在的，不能将安全运营和网络应用割裂开来，变成应用的“绊脚石”。同时我们必须清醒地认识到，网络运营不是一次投入，立刻见效的工作，而是通过不断完善、迭代优化、不断提升的系统性工作。在构建符合自身的安全运营体系时，不仅需要考虑紧迫性，还需要考虑科学性和可扩展性，以便通过实践不断丰富和发展。当出现颠覆性技术革新时，还必须有不破不立、推倒重来的勇气，只有这样才能始终确保网络“真正的安全”。

3 安全运营的价值

安全运营让单位的安全建设从满足合规向切实有效方向发展。2010年左右国内各个行业网络安全建设的普遍思路还停留在“监管合规+设备部署”阶段。各个层面的专家在进行网络安全规划设计时考虑更多还是“合规”问题。但随着网络和应用新技术的快速涌现，网络攻击技术日益复杂，网络攻击范围不断扩大，“监管合规+设备堆叠”的静态网络防护不断被攻破，安全事件频发，安全形势持续恶化。网络安全运营的基本原则是，网络是动态的、开放的，安全运营也必须符合动态性和开放性这一要求，要能随着业务系统的发展和变化，不断调整防护的重点和优先级。这就要求网络安全防护不能再仅仅满足合规性需求，还必须具有扩展性和对抗性，以切实应对各种内部和外部的攻击。在各类应用极速扩张的网络环境中，通过安全运营，防护体系要能具备持续不断的漏洞发现和修补能力，要能在各类攻击过程中保持业务持续稳定运行；通过安全运营持续的安全评估，安全防护设备能具备灵活部署性和联动能力，如部署在单位网络关口处的入侵检测系统随着业务迁移和防护目标变化，会被重新部署到关键节点服务器前端，所有原先的安全策略都会随着设备部署位置的改变联动调整，以应对新的安全威胁。安全运营的持续动态性，就是为了应对不断变化的安全威胁，通过不断改变和优化单位的网络安全防护结构，使得网络安全防护更加具有实时性和有效性。

安全运营让安全行业从维护保障转向能力输出。安全运营的观念给网络安全行业注入了发展的活力。对安全行业的技术人员来说，通过“运营”可以将自身工作从被动维护设备变为主动监测和处置网络安全风险，通过自身努力逐步提升单位安全水平，让工作变得更有价值；对于安全行业的管理人员来说，可以通过安全运营对单位体系化安全建设做出正确决策，更好的为单位内部信息化建设提供有力支撑；对于安全行业的具体单位来说，可以全盘了解当前单位网络安全态势及存在的脆弱点，指导信息安全工作有效开展；对于安全行业的监管部门来说，通过安全运营持续监督被监管部门的安全建设情况，使得监管更加准确有效，更好的保障单位健康发展；对于被服务的用户来说，安全运营能实实在在解决用户担心“不加安全，数据易泄露、系统易瘫痪”，“加了安全，系统性能下降、影响效能”的问题，安全运营提出通过“技术+管理”降低系统风险，“局部防御+持续监测”减少安全防护对系统性能和效能造成影响的新观念，切实保证用户在安全环境下创造更多价值。

4 结语

安全运营，无论理论研究和实践探索，都还在快速的发展完善中，各行业、各部门在网络安全运营这条路上，仍然会遇到的缺少统一运营标准和缺少符合自身实际需求成熟的商业化产品的困境。但安全运营势不可挡，必然会成为网络安全治理和管控的主体工作。

[1]启明星辰公司.第三方独立安全运营实践举要[J].中国信息安全，2019.

[2]崔光耀.安全运营提升安全新境界[J].中国信息安全，2019.

[3]绿盟科技.安全运营的四个环节[J].中国信息安全，2019.

[4]林小村.数据中心建设与运行管理[J].科学出版社，2013.