安全運(yùn)維，是企業(yè)安全管理中躲不開的一個(gè)環(huán)節(jié)，有一套良好的安全運(yùn)維規(guī)范，可以幫助企業(yè)降低安全隱患。那么到底應(yīng)該如何做好安全運(yùn)維?近日安全牛有幸邀請到了行業(yè)資深專家杜建榮先生，從組織、流程、人員幾個(gè)方面，圍繞安全運(yùn)維中的十個(gè)常見問題，來解答企業(yè)在安全運(yùn)維中可能遇到的疑問，以下是主要內(nèi)容：

[[328157]]

杜建榮，2006年入行至今，技術(shù)出身，從事過甲乙雙方的各個(gè)不同崗位，熟悉IT的各個(gè)領(lǐng)域。從2012年開始專注于信息安全領(lǐng)域，先后負(fù)責(zé)過安全運(yùn)維、安全管理、制度建設(shè)、攻防、合規(guī)等不同工作。

[[328158]]

一、企業(yè)安全運(yùn)維的本質(zhì)是什么?

杜建榮：安全運(yùn)維包含兩層意思，第一層意思是維護(hù)一個(gè)組織的信息安全管理體系，比如使用防火墻維護(hù)公司的安全域劃分，使用堡壘機(jī)滿足運(yùn)維審計(jì)要求，使用漏掃挖掘漏洞風(fēng)險(xiǎn)等。第二層意思是在運(yùn)維工作中落實(shí)安全管理要求，降低運(yùn)維工作中的安全風(fēng)險(xiǎn)。

由此可見，第二層的意思立足于第一層，安全運(yùn)維的前提是企業(yè)有明確的信息安全管理體系，信息系統(tǒng)有較合理的安全架構(gòu)。

安全運(yùn)維的主要工作模式也分為兩種。一種是依靠信息安全管理團(tuán)隊(duì)的工作模式，組織建立信息安全管理體系，在信息系統(tǒng)建設(shè)時(shí)同步建設(shè)信息安全技術(shù)措施，敦促信息系統(tǒng)在建設(shè)中同步落實(shí)安全管理要求，利用安全產(chǎn)品開展管理與審計(jì)監(jiān)督。另一種是依靠運(yùn)維人員的工作模式，把安全賦能給運(yùn)維人員，運(yùn)維人員根據(jù)安全要求執(zhí)行規(guī)范的運(yùn)維規(guī)程。

安全運(yùn)維需要將兩種模式有機(jī)結(jié)合，不是信息安全團(tuán)隊(duì)或者運(yùn)維人員的單打獨(dú)斗，才能起到最好的效果。

二、如何做好安全運(yùn)維?

杜建榮：在考慮安全運(yùn)維之前，首先需要首先對企業(yè)的整體安全架構(gòu)有一個(gè)全面、嚴(yán)謹(jǐn)?shù)囊?guī)劃部署。做好一個(gè)良好的建設(shè)，后期通過安全運(yùn)維嚴(yán)格執(zhí)行，才能有好的效果。否則運(yùn)維就只能像救火，頭痛醫(yī)頭、腳痛醫(yī)腳。安全運(yùn)維的本質(zhì)，就是通過規(guī)范的流程，落實(shí)貫徹企業(yè)既定的安全政策方針，推行企業(yè)設(shè)計(jì)好的安全架構(gòu)。比如進(jìn)行防火墻的運(yùn)維，本質(zhì)上是維護(hù)企業(yè)的安全域規(guī)劃，如果在運(yùn)維中不按規(guī)章胡亂開策略的話，用防火墻進(jìn)行安全域隔離的初衷就等于形同虛設(shè)。安全策略一旦放行，日后要收回來就很不容易，任何弱點(diǎn)都能成為黑客攻擊的目標(biāo)。

三、安全運(yùn)維的重點(diǎn)在哪里?

杜建榮：安全運(yùn)維的重點(diǎn)是：遵循一個(gè)商定的標(biāo)準(zhǔn)嚴(yán)格執(zhí)行運(yùn)維，而不是隨心所欲或者隨機(jī)應(yīng)變。安全運(yùn)維不是攻防演練，不需要靈光一現(xiàn)的點(diǎn)子，變化越少越好。如果在運(yùn)維過程發(fā)現(xiàn)需要放開越來越多的特例，那就證明當(dāng)初商定的標(biāo)準(zhǔn)有問題，需要重新修訂當(dāng)初的標(biāo)準(zhǔn)。良好的安全運(yùn)維標(biāo)準(zhǔn)應(yīng)該是松緊有度，并在建立之初得到涉及的業(yè)務(wù)部門共識，有一套規(guī)范的流程而無需經(jīng)常放行各種特例。

另一方面，安全運(yùn)維需要分層分級，有的放矢。比如將重點(diǎn)的漏洞管理、防火墻、WAF、IPS、服務(wù)器EDR等運(yùn)維，專門交給有豐富經(jīng)驗(yàn)的人員負(fù)責(zé);將技術(shù)含量稍低的VPN、堡壘機(jī)、辦公電腦準(zhǔn)入防病毒等重復(fù)繁瑣的運(yùn)維，交給稍低經(jīng)驗(yàn)的人員處理;最好有專崗負(fù)責(zé)日志告警，分析溯源。如果把所有運(yùn)維工作都集中在一兩個(gè)人身上，將會不堪重負(fù)，每天大量繁瑣的低級運(yùn)維工作與需要細(xì)心集中的重點(diǎn)運(yùn)維工作交雜在一起，會降低人的集中力，應(yīng)付了事，從而忽視了真正的風(fēng)險(xiǎn)。

此外，針對運(yùn)維人員的操作，也需要有精細(xì)的權(quán)限控制與完善的日志記錄，并最好由上級領(lǐng)導(dǎo)或?qū)ｉT審計(jì)角色進(jìn)行定期審計(jì)。

以上幾點(diǎn)的集合才能最大程度的提高安全運(yùn)維的準(zhǔn)確率，降低安全風(fēng)險(xiǎn)。

四、安全運(yùn)維分為幾個(gè)階段?

杜建榮：對于小型企業(yè)來說，往往沒有專職的安全人員，安全建設(shè)通常由網(wǎng)絡(luò)或基礎(chǔ)架構(gòu)部門兼任，安全運(yùn)維往往只能依賴運(yùn)維人員的能力。這種階段下安全只是一個(gè)可有可無的附加值，并不能真正發(fā)揮它的作用。

發(fā)展到一定規(guī)模的中小型企業(yè)，招聘了安全專崗，但也往往只有一兩個(gè)人，這種一個(gè)人的安全部模式，安全人員往往因?yàn)榍捌跊]有做好整體的安全規(guī)劃而在運(yùn)維上疲于奔命的救火。公司把信息安全的責(zé)任都放在安全人員身上。針對中小型企業(yè)，建議聘請安全公司的安服團(tuán)隊(duì)進(jìn)行運(yùn)維，讓安全人員釋放雙手進(jìn)行有效的安全規(guī)劃與建設(shè)，才能逐漸走向正規(guī)。

對于大型企業(yè)，安全部門已逐漸成型，可能會有專人負(fù)責(zé)管理、制度建設(shè)、合規(guī)等工作;有專人負(fù)責(zé)運(yùn)維工作。在這種模式下，建議參照上一點(diǎn)提到的重點(diǎn)，將運(yùn)維工作分層分級給不同的人員處理，并將安全技能充分賦能給其他業(yè)務(wù)部門。如可以把終端殺毒、準(zhǔn)入、VPN、防垃圾郵件等工作賦能給桌面運(yùn)維團(tuán)隊(duì);將堡壘機(jī)、服務(wù)器EDR等工作賦能給基礎(chǔ)架構(gòu)團(tuán)隊(duì)。真正的做到誰主管、誰負(fù)責(zé);誰使用、誰負(fù)責(zé)、誰運(yùn)營、誰負(fù)責(zé)。信息安全團(tuán)隊(duì)更可以集中精力在安全建設(shè)、日志監(jiān)控、攻防等方面，同時(shí)提升了全公司的安全水平。

五、如何培養(yǎng)安全運(yùn)維的人才(如何留住安全運(yùn)維的人才)?

杜建榮：最近幾年，專業(yè)的安全人才一票難求已經(jīng)是公認(rèn)的事實(shí)，未來很長一段時(shí)間這種趨勢也會持續(xù)下去。這種情況下，應(yīng)該如何培養(yǎng)安全運(yùn)維的人才?私以為，將安全運(yùn)維的能力分級，引入職業(yè)發(fā)展的路線，是一個(gè)很好的辦法。比如從基礎(chǔ)的終端安全運(yùn)維崗開始，到網(wǎng)絡(luò)安全運(yùn)維崗，應(yīng)用風(fēng)控安全運(yùn)維等，通過崗位輪動(dòng)，培養(yǎng)全能的人才，同時(shí)也可以令更多其他運(yùn)維崗學(xué)習(xí)安全技能，培養(yǎng)公司的后備人才。安全運(yùn)維經(jīng)驗(yàn)豐富以后，可以嘗試編寫腳本的自動(dòng)化運(yùn)維，培養(yǎng)開發(fā)方面的能力;或是走分析溯源路線。同時(shí)，這也是留住安全人才的方法，有一條清晰明確的職業(yè)發(fā)展路線，避免安全人才反復(fù)做低級的運(yùn)維工作。

六、從事安全運(yùn)維崗最重要的技能是什么?

杜建榮：我覺得是持之以恒的學(xué)習(xí)能力(其實(shí)很多崗位都需要，但安全尤甚)，因?yàn)榘踩强珙I(lǐng)域的學(xué)科，在從業(yè)的路上需要不斷學(xué)習(xí)和理解IT其他領(lǐng)域的知識范疇，不能只看到自己的一畝三分地。比如我本人就曾在數(shù)據(jù)庫審計(jì)的運(yùn)維工作中學(xué)習(xí)到大量的SQL語句與數(shù)據(jù)庫結(jié)構(gòu);在業(yè)務(wù)上云的項(xiàng)目中惡補(bǔ)了大量公有云的知識體系。另一方面，還需要在工作中保持細(xì)致耐心，面對反復(fù)的策略調(diào)整，權(quán)限控制不厭其煩，同時(shí)也能從千百行日志中找到有價(jià)值的事件。

七、安全運(yùn)維如何能避免成為背鍋俠?

杜建榮：在安全方針政策的制定，安全架構(gòu)的部署時(shí)，一定要與相關(guān)的業(yè)務(wù)部門形成共識，在大家的充分知情同意下制定出來，不能由安全部門單獨(dú)拍板，在安全方針政策制定之初明確各自的責(zé)任擔(dān)當(dāng)，才不會在后續(xù)的運(yùn)維工作中讓安全運(yùn)維成為背鍋俠。以漏洞掃描這件事來打比方：在部署之初先規(guī)劃好掃描頻率、具體時(shí)間、誰來修復(fù)、有何潛在的風(fēng)險(xiǎn)、告警手段等等，并得到業(yè)務(wù)部門的同意認(rèn)可。才不至于讓業(yè)務(wù)方一有業(yè)務(wù)中斷就懷疑是安全引起，也不會對發(fā)現(xiàn)的漏洞推三阻四不愿意修復(fù)，一旦被入侵又怪罪是安全的責(zé)任。

八、安全運(yùn)維崗位的就業(yè)形勢如何?這個(gè)職業(yè)會有瓶頸嗎?

杜建榮：安全運(yùn)維崗的就業(yè)形勢相對其他網(wǎng)絡(luò)或桌面運(yùn)維還是很吃香的，雖然今年遭遇疫情，但從各大招聘平臺上看，也有不少的崗位在求人。安全運(yùn)維崗的瓶頸在于面對重復(fù)的工作容易有惰性，必須主動(dòng)堅(jiān)持學(xué)習(xí)才能有突破?，F(xiàn)在很多如云安全運(yùn)維、大數(shù)據(jù)安全運(yùn)維、應(yīng)用安全運(yùn)維等崗位都需要積極學(xué)習(xí)新的知識來迎接。另一方面，也可以嘗試學(xué)習(xí)開發(fā)能力，利用態(tài)勢感知、SOC等平臺，通過流程設(shè)計(jì)實(shí)現(xiàn)自動(dòng)化運(yùn)維。

九、企業(yè)需要態(tài)勢感知嗎?

杜建榮：態(tài)勢感知是最近幾年很火的一個(gè)概念，幾乎所有的安全廠商都會推出自己的態(tài)勢感知產(chǎn)品。但我認(rèn)為，不要隨便被銷售忽悠，只有少量安全設(shè)備的中小企業(yè)是不需要態(tài)勢感知的。態(tài)勢感知的應(yīng)用場景在于企業(yè)擁有大量安全設(shè)備，產(chǎn)生海量的日志，運(yùn)維人員對于這些設(shè)備與日志疲于應(yīng)付，誤報(bào)漏報(bào)太多，響應(yīng)緩慢，無法真正提煉出有價(jià)值的事件時(shí)，才有使用態(tài)勢感知的價(jià)值。

十、態(tài)勢感知會給安全運(yùn)維帶來什么幫助?

杜建榮：態(tài)勢感知可以簡化運(yùn)維的工作量，更加聚焦于有價(jià)值的事件，令運(yùn)維人員可以集中精力在溯源與分析上。同時(shí)，通過參與態(tài)勢感知里安全告警的設(shè)計(jì)與提煉，也能提升運(yùn)維人員的綜合能力，幫助企業(yè)培養(yǎng)人才。

在未使用態(tài)勢感知前，安全運(yùn)維人員的工作可能是在每天的WAF、防火墻、IPS、服務(wù)器日志、漏洞報(bào)告中發(fā)現(xiàn)異常，再驗(yàn)證攻擊是否已發(fā)生。但部署態(tài)勢感知后，利用設(shè)計(jì)好的告警規(guī)則，可以迅速發(fā)現(xiàn)攻擊的來源、路徑，迅速修復(fù)漏洞，并不斷優(yōu)化告警規(guī)則。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文