网络安全运维、运行与运营的个人浅见

灰常之道
网络安全是一项业务,融合于IT的业务,其建设过程及建设后需要持续的维护、演进,也需要数字化转型。随着新技术以及数字化业务的不断发展应用,国家网络安全相关法律法规的不断出台,网络安全的地位由原来的配属变成了不可或缺,网络安全运营的概念也逐渐被提及。

曾从事售后、售前、解决方案、规划等网络安全相关岗位工作,服务于小型民营以及大型企业事业单位的网络安全建设,对网络安全运维、运行、运营等有一些自己的看法,借此梳理总结一下。

网络安全是一项业务,融合于IT的业务,其建设过程及建设后需要持续的维护、演进,也需要数字化转型。随着新技术以及数字化业务的不断发展应用,国家网络安全相关法律法规的不断出台,网络安全的地位由原来的配属变成了不可或缺,网络安全运营的概念也逐渐被提及。网络安全运维、运行、运营不但体现了不同时代的网络安全状态,也体现了网络安全水平情况,三者各自纵向演进并横向叠加演进。

2345截图20211028093243.png

网络安全运营演进框架

网络安全运维

个人理解是指:网络安全软硬件设备正常工作的基础运维保障。

主要工作表现在基础巡检以及持续更新升级等方面。需要投入少量初级运维人员,通过巡检、升级等流程及SOP对已部署的网络安全软硬件设备开展运维工作。

典型状态是在厂商部署完网络安全软硬件设备后,执行默认策略或部署时添加策略,之后保证其可正常打开工作并定期升级。很多小型单位目前还是这种状态,有些甚至没有巡检而是发现问题后的事件触发,而且定期升级工作也省略掉了。

网络安全运行

个人理解是指:在网络安全运维的基础上,安全措施参与业务协同运行的基本运行保障。

主要工作在网络安全运维的基础上表现在策略调整以及合规审计等方面。需要投入初级运维、策略配置、合规审计等岗位人员,采用标准化的策略配置、策略变更、定期审计等流程及SOP对已部署的网络安全软硬件设备开展运行工作。

典型状态是在基础运维工作的基础上,根据业务的发布或调整,配置或变更策略,例如开放防火墙接口、开放终端策略、定期日志审计汇总等。绝大多数单位目前是这种状态,以满足合规检查、保证业务正常工作,但很多单位并没有很好的运行机制以及标准流程,运行情况完全看不同运行人员的理解,层层叠“乱”导致没人说得清。

网络安全运营

个人理解是指:在网络安全运维与运行的基础上,通过IT数据、业务数据、安全数据等汇集、分析、利用,支撑全周期运营及能力持续提升,发挥安全业务价值。

主要工作在网络安全运维与运行的基础上表现在,充分利用网络安全软硬件设备以及IT设施、业务生成的运行日志或告警信息等数据,结合运营工具贴合业务开展建模分析、形成运营全流程SOP,具备精准资产图谱定位、自动化编排响应、智能化辅助决策支撑等能力并沉淀运营相关情报库、策略基线库、场景库等知识库,能提升风险发现、防御协同、精准分析、应急响应、提升改进等全周期运营能力,能提升网络安全运营人效,并且通过基于数字化业务的安全运营数据分析为企业的业务运营提供辅助支撑,创造安全业务价值。需要投入初级运维人员、策略配置人员、合规审计人员、安全建模人员、威胁分析人员、应急处置人员、运营分析与管理人员等,结合运营工具并配套全周期运营所需的流程及SOP开展运营工作。

典型状态是在基础运维与运行工作的基础上,安全运营人员能通过汇集数据的情报匹配分析、关联分析、建模场景分析等,结合业务流与资产关联情况,剔除误报、关联去重、分类分级,形成准确的、可执行、标准的工作指令,开展预警通报、(一键或自动化)响应处置、精准分析定位、应急响应、决策辅助分析、提升优化等高阶运营工作。极少数大型机构的总部运营工作是这种状态,绝大多数单位虽然有运营工具,但工具要么是炫图的展示工具、要么未能与业务贴合建模应用,缺少全周期(特别是提升改进的分析与执行)的运营机制、标准流程以及SOP,缺少安全建模、威胁分析、运营分析与管理人员等高阶运营人员。工具与人员与业务割裂,将导致向运营状态演进的失败并且还增加了成本投入,得不偿失。

在运营演进的过程中,不应急于求成,不应追求工具的酷炫,应规划一步步开展,并关注纵向能力的演进,运营工作不可脱机取巧,工具不能解决一切,是需要输入积累的标准流程、SOP以及基于经验的建模并持续维护,才能发挥出作用。比如从基于防火墙的巡检、策略基线、策略变更、响应处置、策略优化等方面着手,关联岗位人员,形成标准流程与SOP,可借助SOAR、态势感知等工具辅助协同,达成针对防火墙运营工作的效果一致性。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论