做安全，忌与运维部门互相伤害，宜划分职责，打造默契，共同成长

图/南鱼

文/尚书

今日小暑，北京的风也热了。团团暑气袭来，人也容易烦躁，越是如此，越是要平心静气，尤其是做安全的，在企业内部是个容易得罪人的事情，容易得罪谁呢？运维首当其冲。

这是由于两个部门的工作在很多维度上彼此交互，由于各家安全成熟度的不同，交互的程度亦不一样，所以难有一个明确的职责划分边界。

比如在出现故障时，如何判定是否由安全问题导致？谁来判定这个？目前想到的是给运维一个手册，罗列一些明显特征让他们判定（如流量异常，异常进程，对外链接等）。因为目前很多故障时由程序、硬件、业务自身导致的，安全每次介入的话无用功太多。运维需要有自己的判断能力，什么情况才需要安全部门介入。但这个其实也不好判断，比如系统监控发现CPU升高，监控到是某个挖矿进程引起的，那么运维可以直接kill掉，问题是解决了，但是根源还得查，还是需要安全部门介入。当然也不排除有的时候是运维排查不畅，没思路了，所以怀疑一下是安全问题，拉你进来一起背锅，但是更重要的是安全和运维两个部门是否有充足的沟通，规矩早立，而不是事发突然互相伤害。

还有做完漏洞扫描后结果的应用，运维都及时修复吗？可能高危明确必须处理，但是具体什么时候处理？运维说等系统版本升级时再修复，比如说下半年、明年，都有可能。

再比如安全部门在做资产管理和发现的时候，主要应当是运维层面落实到位，安全从运维的接口拿数据，再利用主动扫描去增加安全方面的资产信息。而且平时也需要运维人员对资产进行维护，资产管理做好了，发生安全事件的时候，才能快速锁定相关项，把握全局，控制威胁在资产之间的扩散。

安全和运维部门之间的关系太密切了，哪怕是安全部门想在私有服务器上部署一些安全防护措施，都必须事先把安全方案发给运维同事进行工作量评估，征求他们意见。很多事情安全搞不定推不动，也许能找运维参与进来就好办得多。

经验丰富的运维碰到新手安全，和经验丰富的安全碰到新手运维，大家都会操更多心，你操运维的心，显然是不信任对方；运维动不动就找你，你也觉得运维无能。部门之间紧密协作需要默契，默契是要一同经历过事情才能心照不宣。

既然割不断，那就同气连枝，能早立的都早立，突发情况记入各自经验，以后不踩同一个坑就算是革命友谊了。

24节气观星帖

24节气观星帖是数字观星推出的节气小贴士，每月两期。每一期，我们会发布一张节气图，同时附带一些网络安全行业的小知识、小热点。

北京数字观星科技有限公司

数字时代的智能安全运营服务商，基于威胁情报数据，围绕客户资产提供安全运营服务：

- 资产发现与管理；

- 威胁监测与分析；

- 智能化应急响应；

- 漏洞全生命周期管理。