2021年，在新冠肺炎疫情、安全事件、0day漏洞等威脅的挑戰(zhàn)下，網(wǎng)絡安全產(chǎn)業(yè)呈現(xiàn)變革創(chuàng)新的發(fā)展態(tài)勢，促使著組織和企業(yè)不斷探索新的技術和方法，來防止?jié)撛诘木W(wǎng)絡入侵。

在現(xiàn)有安全形勢、政策導向、發(fā)展需求之下，安全運營作為網(wǎng)絡安全發(fā)展的時代產(chǎn)物，被認為是解決現(xiàn)有挑戰(zhàn)的有利方法。本文將帶您一起探索在當今網(wǎng)絡安全形勢下安全運營的演進趨勢。

安全運營發(fā)展趨勢

等保2.0、數(shù)據(jù)安全法、網(wǎng)絡安全法等法規(guī)制度不斷出臺，促使我國的安全頂層設計逐步完善，也推動組織和企業(yè)的安全需求從被動、靜態(tài)、產(chǎn)品堆砌的安全運維向主動監(jiān)測、快速預警、有效聯(lián)動、準確處置的閉環(huán)式安全運營體系轉變。

· 等保2.0從等保1.0被動防御向事前防御、事中響應、事后審計的“一個中心，三重防護”的動態(tài)防御體系轉變；

· 《數(shù)據(jù)安全法》搭建了我國數(shù)據(jù)安全治理領域的基本法律框架，有效敦促企業(yè)認真履行數(shù)據(jù)安全保護義務；

· 《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》著重強化了數(shù)字經(jīng)濟安全體系，包括增強網(wǎng)絡安全防護能力、提升數(shù)據(jù)安全保障水平、切實有效防范各類風險。

這表明，組織和企業(yè)需要的安全已不再只是合規(guī)，而是能夠不斷自我迭代優(yōu)化、演進、提供持續(xù)性能力輸出的安全運營保障體系。

因此，要求安全運營應圍繞業(yè)務系統(tǒng)，隨著威脅與響應、攻與防的變化而演進，從第三方獨立視角，讓產(chǎn)品、技術、平臺、人員各司其職、協(xié)同發(fā)揮最大作用，從管理、制度、流程等多方面進行優(yōu)化及改進安全建設，滿足“解決安全風險”的訴求，實現(xiàn)業(yè)務動態(tài)安全的建設目標。

安全運營自我演進

安全運營本身不是一個產(chǎn)品建設、單一的技術使用以及某類平臺建設，而是一種貼身安全服務新模式。它以“保障安全”為目標，以業(yè)務場景為驅(qū)動，在人員、產(chǎn)品、技術、流程等方面進行演進，持續(xù)提升運營成效，幫助用戶實現(xiàn)業(yè)務與安全建設同步發(fā)展，實現(xiàn)安全與發(fā)展雙翼驅(qū)動，促進信息化建設。

以下就安全運營中心需重點加快自我演進的幾方面進行介紹。

安全運營框架演進

安全的關注點從原來傳統(tǒng)系統(tǒng)安全拓展到新技術領域，更加注重全方位主動防御、動態(tài)防御、整體防控和精準防護。在此情況下，被“委以重任”的安全運營的演進基礎便是運營框架的演進，來指導著各項工作的開展。

運營理念轉變：從合規(guī)管理到實戰(zhàn)對抗

運營模式轉變：從靜態(tài)防護到積極動態(tài)防御

運營手段轉變：從單一化運營到一體化運營的安全運營機制

無論是以MSS為目標的安全運營中心，還是為行業(yè)用戶建立的定制化安全運營中心，都需要遵循上述原則。

專業(yè)化運營人員

安全運營是由技術、流程、人等有機結合的復雜化、工程化體系，對產(chǎn)品、工具及服務產(chǎn)出的數(shù)據(jù)進行有效分析，持續(xù)輸出安全能力。在此過程，人作為其中最關鍵的一環(huán)，串聯(lián)起發(fā)現(xiàn)問題、驗證問題、分析問題、響應處置問題、持續(xù)迭代優(yōu)化的過程。此外，由于運營的網(wǎng)絡環(huán)境較為復雜，需要按照運營環(huán)境的專業(yè)進行劃分，以專業(yè)人員處置專業(yè)問題的思路，為安全運營提供專業(yè)化、精細化的安全能力。

培養(yǎng)實戰(zhàn)型人員

安全運營體系對人員的關鍵需求就是基于對抗的能力。通過實戰(zhàn)化演練鍛煉、提升安全人員技能和戰(zhàn)術水平。同時堅持多角度、多層次、全方位人才培養(yǎng)理念，多措并舉，不斷強化網(wǎng)絡安全人才隊伍整體素質(zhì)與綜合實力。

建立激勵機制

設定貫穿日常運營的競賽機制，通過競技化過程提升人員能力；設定評價機制，關注到運營人員的能力提升過程；建立人員上升通道，實現(xiàn)從一線到三線的升級，從監(jiān)測分析到研究專家的升級。

優(yōu)化評價考核

沒有成熟的考核機制，運營持續(xù)性改進便是紙上談兵。在安全運營中心的等級評價上，目前定義為5個等級，當?shù)燃夁_到3級及以上，運營中心才具備對外服務輸出的能力。

威脅情報聯(lián)動運營

威脅情報的使用和生產(chǎn)與運營動作緊密結合。在運營過程中，應當重視情報的相關活動，包括外部情報的采集和選擇、結合智慧中臺完成初步情報碰撞、情報的生成和交互等內(nèi)容。

智慧城市的網(wǎng)絡空間安全需要強大的威脅情報去精準預測感知，以提升運營成效。情報的產(chǎn)生應用需要整合多方威脅信息，以建立龐大的情報庫。其中要注重于情報的交互和流動，包括與內(nèi)部各運營中心的交互流動，與外部各單位之間的交互流動。

內(nèi)部：在全國各地運營中心間，實現(xiàn)情報的內(nèi)部產(chǎn)生、流動、共享、應用，打造情報網(wǎng)，聯(lián)防聯(lián)控，“集團軍”作戰(zhàn)。

外部：與企業(yè)、研究機構等探討新型威脅應對方法，交換、共享情報，打造情報運營生態(tài)圈。

此外，伴隨著業(yè)務場景的不同,運營中心建設對象、規(guī)模也不同，城市級運營中心、行業(yè)級運營中心、企業(yè)級運營中心等不同運營中心面對的攻擊手段、漏洞類型等存在差異。在面對公有情報多、雜、亂的特點下，個性化、定制化運營中心就需建立自己的情報庫，以更快速定位攻擊過程，鎖定攻擊范圍，快速制動，提高運營成效。

運營中心聯(lián)動

運營流程演進優(yōu)化

安全運營是一個持續(xù)處理、循環(huán)的過程，需要細粒度、多角度、持續(xù)化地對安全威脅進行實時動態(tài)分析，自適應不斷變化的網(wǎng)絡和威脅環(huán)境，并不斷優(yōu)化自身的安全防御機制。被動防御向主動治理的轉變離不開體系化的運營流程，而完善的運營流程，要求每項流程都能根據(jù)運營環(huán)境的變化進行優(yōu)化。其中，重點需演進優(yōu)化的流程包含以下三大方面：

運營任務動態(tài)分配

在運營過程中，平均檢出時長（MTTD）、事件平均定性時長（MTTA）、風險遏制與響應平均時長（MTTR）是三個衡量運營服務質(zhì)量的重要參數(shù)，同時也是發(fā)現(xiàn)安全威脅并進行追蹤處置的最佳實踐指標。而如何保證MTTD、MTTA以及MTTR的指標時效，是運營工作必須要解決的問題。

由于安全運營工作過程中，需要對接并分析處理大量安全數(shù)據(jù)，增加了安全數(shù)據(jù)疏漏的風險，導致安全威脅無法檢出或分析不深入，使安全威脅在客戶網(wǎng)絡中持續(xù)存在。因此，需要高效的任務分派與分析成果交叉確認機制。

高效的任務分派機制

為解決可能出現(xiàn)的遺漏問題，需制定任務派發(fā)流程，將關注的安全數(shù)據(jù)任務化，并自動派發(fā)，同時需要有一套負載均衡邏輯進行最優(yōu)處理下發(fā)，保證任務處置及時性。

任務超時升級機制

需要設置任務處置超時升級機制，超時參數(shù)不同，升級的對象不同，從一線到交付經(jīng)理逐級升級。

分析過程腳本化

為了達成最大化的人員有效利用率，運營中心以三級分析師的形態(tài)構建整體運營分析流程，為了更好地完成上級分析師向下級分析師傳遞分析思路、處置思路、知識經(jīng)驗的目標，同時建立安全運營不同層次、不同角色間的工作內(nèi)容及協(xié)同機制，安全運營就需要流程“運營腳本”化。

運營成果卷宗化

在常規(guī)的安全運營過程中，針對安全威脅的分析成果往往以文檔編纂形式出現(xiàn)，并多以發(fā)生時間為維度建立文件夾進行積累留存。而在周期性工作復盤過程中，此類分析成果很難幫助安全決策人員有效梳理周期內(nèi)的安全問題，提出針對性的安全能力提升策略。因此，將安全運營流程中的每階段成果進行卷宗化存儲，可便于安全決策人員對運營成果進行復盤及參考。

如在安全運營流程中，分析師可模擬公安辦案人員的案情檔案盒模式，對威脅事件的報案線索（告警等日志信息）、案發(fā)現(xiàn)場（受影響資產(chǎn)）、辦案過程（事件分析流程）等分析內(nèi)容進行卷宗化構建，以數(shù)據(jù)結構化的方式完成數(shù)據(jù)的存儲，方便后期對事件關鍵要素的檢索，并提供與其它相關事件的自動化關聯(lián)能力。同時，安全管理員、分析師、相關業(yè)務責任人也可通過卷宗模式直觀、實時查看安全事件的分析進度。