前言

ABC（AI,Big Data,Cloud）技术发展迅猛，信息安全意识不断提高，安全已成为数据中心的标配。从一个人的安全，到几千人的团队，存在皆合理。但伴随网安法、GDPR等隐私和合规要求和传统业务纷纷上云，再守着一堆安全盒子做安全运维已无法满足能力和技术持续发展和提升的要求。此次借鉴银行业数据中心信息安全团队建设及能力输出理念，参照PDCA、ASA等模型，探讨部委及大型央企中，信息安全团队从运维到运营进化路径。

正文

2017年，ISC大会主题“人是安全的尺度”，明确安全的主题是人，兵来将挡水来土掩，随机应变并不代表乱作一团，如果安全每天将应急和救火当做常态，是在用战术上的勤劳掩盖战略上的懒惰。安全管理是技术与艺术的结合，水善利万物而不争，需要做的是大象无形，大音希声，安全应作为能力服务业务，背书业务，赋能业务。

麦肯锡在2015对世界500强企业安全投入调查发现，银行和医疗行业对安全风险投入较高，大约为5%左右。随着网络安全成为国家战略，业内习惯用数据中心双8%理论，即信息安全人员规模和资金规模均应占数据8%左右。常规看，部委和大型国企数据中心信息安全机构配备4-6人，传统安全运维是以系统定管理员，建完系统指定管理员，譬如建成30个系统，指定5个管理员，分工高度重叠，人员轮换困难。以往观念中讲究自主运维，从上架接线到巡检都自己干，人定胜天，员工只顾埋头干活和填坑，年头到年尾，无暇抬头看路。到了报项目计划时再匆忙应对，而项目建设中存量负担未消化，新增工作也无法很好开展，年复一年。在专业分工越来越细化的今天，这种困境带来两类主要问题：一是人力资源错配消耗，用数据中心高管理水平和5-10年项目经验的人开展基础运维工作，机会成本高昂。二是服务效能降低，运维虽能保证合规性，但人力有限情况下管理效能拉低，信息安全的ROI（投入产出比）降低，安全保障业务基本职能落地不足。

为此，随着数据中心规模扩大，安全运维内生需要逐渐向安全运营进化，统一安全理念，提高服务意识，提升专业能力。安全运营是对安全运维的继承式发展，而不是颠覆，意味着以业务发展为基础，以事件核查为线索，以能力提升为关键，以持续优化为根本，跟进业务发展并提供细化分工的安全服务并持续提升。类同企业跟随外界环境进行变革，安全赋能业务也要随着信息化的发展和机构战略方向的转变持续优化。

一、从安全运维到安全运营进化

1.参照PDCA戴明环模型建立安全运营体系框架

类似于项目管理的PDCA模型，需持续开展安全运营的提升，将安全运营分为安全研究（孵化）（Plan）、安全建设（Do）、安全服务（Check）、安全优化（Action）四个阶段进行闭环管理，从而实现持续优化、基于业务反馈的自适应进化以使安全运营具备弹性。传统安全运维只是安全服务中的一部分，具体说明如下：

安全研究（孵化）是开展安全技术研究和储备，资源投入占比20%。比照摩尔定律，伴随大物移云发展，现有知识在18个月时间内贬值一半。信息安全是技术密集型行业，从战略上通盘考虑，战术上实时跟进，持续的安全研究是技术因子，暂不论基础技术理论突破，至少应跟进主流技术路线，类似于安全的孵化和创新，原型开发，容错试错，提前储备，银行业纷纷成立信息安全实验室既是如此。

安全建设是开展项目建设，资源投入占比30%。在安全研究基础上建设安全基础设施，强化对国家关键基础设施的保护或根据业务需要进行的项目建设。项目建设是安全的落地，根据安全整体战略，补短板；根据业务发展和行业优势，拓长板。传统思维中，补短板是重点，而在互联网分工细化的今天，拓长板，提供专业领域内的细分服务和能力输出，保持技术优势将成为安全建设重点。

安全服务是开展安全对业务的支撑，资源投入占比40%。安全服务在原有安全运维的基础上，拓展出来安全咨询、安全审计、渗透测试、安全评测、应急响应、安全检测、预警通报、纵深防御等服务。基础安全运维是服务能力的根本和抓手，但服务能力更要综合源于业务，服务业务，赋能业务。

安全优化是持续提升安全服务业务水平，资源投入占比10%。回头审视前三阶段，做好了没有，有没有漏项，缺项是什么，怎么改进。因为有了前三阶段实践，优化积累具备可实施性。

依照《信息安全保障导论》对于PDCA模型特征的说明，可将安全运营的PDCA特性分为三类模型也并不冲突，分别是循序渐进特征，内生循环特征和不断提高特征。循序渐进指在研究、建设、服务、优化四个阶段是有先后顺序的。内生循环指在四个阶段中每个阶段均可以细分为一个完整的PDCA循环。而不断提高特征指根据每次的PDCA循环开展经验积累和能力提升。

同时，从人力资源培养看，将安全团队区分出研究、建设、服务、优化处置四个层面，可以将内部人员建立梯队机制，新人从运维服务入手，通过安全事件打磨人员基础技能。从运维逐渐转到建设，培养项目管理能力，同步根据实践情况关注安全研究孵化。

2.从安全运维到运营的进化源于单位安全能力的提升

安全运营不是一蹴而就的，九层之台，起于垒土，随着能力的不断提升，业务的扩展，不同的安全从运维向运营转变。运营进化路径可参考Robert M. Lee的安全滑动象限（The Sliding Scale of Cyber Security）模型。类似于信息安全CMMI能力成熟度模型，其将企业安全能力分五个阶段，分别是架构建设、被动防御、主动防御、情报分析和反击威慑。

第一阶段是基础架构阶段，解决的是从无到有的问题。第二阶段为被动防御，意即根据架构完善安全系统、掌握工具、方法，具备初级检测和防御能力。第三阶段为主动防御，指主动分析检测、应对，从外部的攻击手段和手法进行学习，该阶段开始引入了渗透测试、攻防演练和外部威胁情报。第四阶段为情报分析，指利用流量、主机或其他各种数据通过机器学习，进行建模及大数据分析，开展攻击行为的自学习和自识别，进行攻击画像、标签等活动。第五阶段指利用技术和策略对对手进行反制威慑。

对于安全运营来说，在不同阶段投入的精力不一样。在架构、被动阶段，以补全安全能力为主，属于安全运维的概念。从第三层主动防御开始，随着安全能力提升，需要开始整体规划、逐步开展自研，进入安全运营概念，用研究、建设，运维提升的思路开展。第四层引入机器学习，智能化及态势感知等技术，第五层则实现对外震慑及能力输出。

3.参照ASA自适应模型及CARTA模型开展安全服务

自适应安全架构（Adaptive SecurityArchitecture,简称ASA）是由Gartner在2014年提出的安全体系，以持续监控和分析为核心，将防御、检测、响应、预测四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型。

而2017年起，Gartner提出了自适应模型的完善版本CARTA（持续自适应风险和信任评估，其强调了风险和信任的辩证关系，核心概念：“访问，就是从信任的角度去进行访问控制；保护，就是从风险的角度去进行防御”，在系统的计划，建设，运行中，反复采用关于信任和风险的概念，同时通过纵深分析(Analytics in-depth)和用户和实体行为分析（UEBA）动态调整系统访问控制策略，给安全运营以充分的弹性，并随着系统外部环境变化进化。类似于老祖宗在道德经第五十章中的说法“盖闻善摄生者，陆行不遇兕虎，入军不被甲兵。兕无所投其角，虎无所措其爪，兵无所容其刃。夫何故？以其无死地”。对风险的规避，是比防御更有效的手段。

二、如何建立安全运营体系

1.不同阶段，不同重点

安全运营分为安全研究（孵化）（Plan）、安全建设（Do）、安全服务（Check）、安全优化（Action）四个阶段。

如上图表明，能力提升是循序渐进的过程，基础架构和下层建筑是性价比高的行为。而基础层不做好，上层的智能分析和情报引入会造成资源浪费在误报和低级事件上。信息安全也要基于RIO视角权衡投入产出比，统筹考虑需要考虑人员的的投入与成本之间的估算。

在创始阶段，需要花更多的精力在安全运维上，补短板，就像力学结构中打地基一样，地基稳，楼才高。确实人不够，防控跟不上，要同高层达成对风险的可接受或采购信息安全保险。而随着数据中心规模发展，安全运营则必须跟上，否则无法跟上对业务对安全的需要，造成对业务的禁锢。

2.扁平化安全服务团队建设，提高运营效率。

建设运维团队资源池，主要通过外包将运维资源池化，包括硬件底层、基础安全事件、高级安全事件三层，匹配相关人力，由专业的人干专业的事情。运维资源池化主要是防误报，降低海量中高级事件的假阳性，降低误报率。从而为高级安全事件的判断和资源协调、处置预留充分的人力资源。

建设安全响应团队（SRC）、威胁情报团队和安全研究团队。从外部看外部（域名仿冒、信息泄露），从外部看内部（风险暴露端口，信息泄露），从内部看内部（资产梳理、内部扫描），全面掌握风险态势，及早预警。同时，基于对内部资产的梳理，强化外部风险应对能力，譬如对一条外部漏洞，以什么样的形式和方法发给运维部门，应具备自主判断能力。日常合署办公，在出现应急事件的时候，类似于钻石模型的翻转特性，先由SRC进行响应，响应结果推送给威胁情报团队进行跟踪，根据威胁分析结果开展主动防御。同时，将威胁分析结果推送给安全研究团队作为积累。

安全响应团队可以是临时组织或行业队伍，基于事件驱动，通过事件积累形成行业应急响应中心（CERT）。事件响应时由安全运维团队提供数据支撑，协同威胁情报团队进行溯源，处置完成后将信息回馈到内部威胁情报进沉淀，反馈给研究团队进行改进。

3.充分依靠分工细化，差异化采购专业服务，提升效率。

随着信息安全产业不断细分，传统的靠一两个安全厂商几个盒子已无法满足要求。适宜采用长尾效应中的范围经济学概念，采用复杂性对抗复杂性，用好多样化带来范围经济优势。经济学家姜奇平先生以小提琴四重奏举例，其好听，比的不是谁拉的快（快是奥运会准则），是其在音色、音质、音调、音高等方面信息的差异，即多样化带来的效率,是辨析质的差异的效率（即熵与负熵转化的效率），是质量效率（戴明认为质量越高，成本越低），是创新效率（熊彼特学派质量阶梯）、是定制效率（个性化精准）、是艺术效率（乔布斯研发投入与创意成反比）。多样化效率对新古典经济学的颠覆在于，从认为多样化不经济，变为多样化经济。对于安全运营也是如此，没有包治百病的药，除非墨守成规。应综合采用各类安全服务，或自研，或外购，用防控手段的多样性应对信息安全风险多样性。

4.基于反馈机制，理解业务、保护业务、赋能业务

信息安全的初心是保证正常履职，其使命是安全保障业务。安全运营的价值所在不是铁板一块、定于一尊的绝对安全，是基于业务反馈和防控效果进行改进，是对业务持续创新的保障和增值。

如同罗振宇在2018跨年演讲中所说的8字一样，通过安全运营将业务需求和外部能力进行匹配。8的上层是业务发展和需求,是需求侧，8的下层是自有安全能力和市场可用资源，是供给侧。现有安全运营人力资源的优势在于对本单位业务的深入了解，对自身及乙方能提供安全服务水平的度量。安全运营本质在于，通过专业分工，将安全能力的重心放在中间的枢纽上，消除需求侧和供给侧的信息不对称，转化并连接，理解业务、保护业务。不光做安全制造，还要做安全创造，以致安全驱动业务，赋能业务。

随着网络安全法出台，GDPR实施，安全已经从传统防护概念转变为风险防控。Gartne在CARTA中也关注，不追求完美，目标锚定于风险可接受度（Perfection is the enemy of good enough.）。根据业务上云及大数据发展，提供数据安全和业务安全的价值和诉求已经大于对系统安全的诉求。随着灰度发布、精益开发，为了业务和市场份额，只要安全可控，即可上线运行，边做边改(CARTA:Perfect protection isn't possible)，这也是安全之于业务的价值所在。

三、安全运营体系发展

随着大物移云和单位安全能力的不断成熟，安全运营进一步发展，其路径趋势：

1.打造平台，壮大平台，输出平台

伴随上云，安全建设应配合开展三大平台建设。一是统一认证接口平台建设，通过统一身份管理，实现对于人员登录，账号、权限、认证和审计，将人、业务、设备管理起来；通过协议栈收敛实现基于应用的访问。二是云安全平台建设，包括建立虚拟安全资源池，对于租户间南北向流量通过引流方式在云安全平台进行检测；对于租户间东西向流量通过CASB（Cloud Access Security Brokers 云访问安全代理）进行检测管理。将防御理念从边界防御（万里长城）向租户个体防御发展，通过RASP（实时应用系统自保护）实现基于行为的管控，通过微隔离，实现软件定义边界。三是建设大数据安全平台，对数据的流动过程进行跟踪并进行审计，在边界建设监听；随着对数据和隐私的理解，对大数据的安全开展分析，学习，实现数据驱动安全。以上三个平台建设后，先保证在内部上云过程中不落伍，待时机成熟，即可开展安全能力输出，实现平台经济，行业共享使用。

2.安全运营连接开发和运维（DevSecOps）

DevOps理念已比较成熟，但开发到运维上线的过程中，安全滞后会导致成本增加。为此，Gartner近年来提倡DevSecOps理念，通过安全运营提供服务，自动化在开发阶段透明化介入包括测试、配置等开发过程，上线前扫描和测试，运维阶段进行监测保护。通过在前期的投入降低后期整改成本，同时，加快项目部署上线。它是一种自动、透明、合规、基于策略的对应用底层安全架构的配置。

3.通过安全运营树立安全感，实现安全价值

根据吴树鹏先生观点，公司信任体系的建立，需要业务与安全协调配合。大家是否为安全买单（不只是直接成本，也包括因为安全而放弃的一些便利性等间接成本），取决于能不能建立“安全感”以及对安全价值的正确认知下的品牌效应。“当业务要冲锋陷阵的时候，安全是在旁边拍拍业务兄弟的肩膀，告诉他“一切别怕，我和你在一起”还是用千里传音之术躲得远远的的说，我们有最先进的技术，最好的产品，你放心去吧”。安全运营目标就是前者，从被动安全到主动安全的转变，“品牌树立很难，信任崩塌很快，且行且珍惜”，通过安全运营，实现价值链与战略的一致性。

4.建立行业态势感知平台及漏洞管理平台

基于安全运营的输出，联合行业各单位组建行业安全态势感知平台及行业漏洞管理平台。

行业安全态势感知平台类似于美国爱因斯坦计划，一是实现行业攻击及威胁事件共享，通过各单位已有或者统一采集数据实现大数据攻击事件预警。二是通过该平台将威胁情报反向投送给行业，对防控能力赋能。

行业漏洞管理管理平台针对行业漏洞进行判断整理和归类，由于行业特殊性，准确性较高，通过该平台对接CNVD及CNNVD，实现专业领域内的精细化服务。

参考文档：

1.信息安全保障导论（机械工业出版社）；

2.浅析Gartner十一大信息安全技术，叶蓬；

3.如何做好首席安全官，吴树鹏。

作者介绍：吕毅中国人民银行金融信息中心信息安全部副主任，分别在人行科技司、香港金管局交流工作，高级工程师， CISSP、CISP、信息系统项目管理师（高级），多次获得银行科技发展进步奖，在读博士。具备16年信息系统管理及安全建设运维实践经验，长期开展安全管理及一线运维，目前从事信息安全运营、应急响应及互联网攻防。

*本文作者：吕毅，转载请注明来自FreeBuf.COM