管理实践.原创｜运维把安全管起来和安全把运维管起来

一、前言

    随着《网络安全法》、《数据安全法》、《个人信息保护法》等重磅法律法规的密集发布和施行，各行各业均在不断提升信息安全管理能力，“安全运营”已经得到普遍认可并积极实践。本文分享“运维把安全管起来和安全把运维管起来”，这是信息安全管理的重要内容，希望对安全负责人具有参考意义，同时期待更多安全负责人分享自己的安全运营实践。

二、管理实践

1、运维把安全管起来

    运维团队是企业的标准配置，规模太小及专职兼职根据组织情况而定，负责信息系统的运维工作。企业经过一段时间的信息安全建设，通过采购一批硬件盒子和软件系统，已具备一定的技术防护能力，这些安全系统需要由运维团队把它们管起来，以上为本文所说的“运维把安全管起来”。

    也许读者会觉得这是理所应当的，但在很多时候，运维团队只是让安全系统在运行，对相关的攻击行为基本“无感”，安全系统没有起到应有的作用。例如新上线的WEB系统不在WAF的防护范围或HIDS未能检测到入侵行为等，如果不是发生安全事件或进行红蓝对抗演练，上述隐患可能不会被发现。运维团队的工作要进行制度化和流程化，把运维工作以定期任务的方式进行不断检查和完善，如自身能力不足时可以采购安全厂家的专业服务。

2、安全把运维管起来

    设立专职安全团队是企业重视信息安全的最直接标志，也是信息安全管理从被动到主动转变的必备条件。安全团队的主要职责之一是发现风险隐患并消除，其中一项是消除人的未尽职隐患。安全团队要通过审计的方式确保运维团队履行工作职责，以上为本文所说的“安全把运维管起来”。

    例如运维堡垒机已是系统运维的标配基础架构，同时在企业制度里一定要求按最小化权限配置和按规范进行业务运维，堡垒机管理员是否落实执行，业务管理员是否无违规操作，需要由安全团队进行定期核查。优秀的运维团队是经得起核查的，安全团队能为运维团队的优秀工作提供强有力的佐证。企业管理层应该在制度层面赋予安全团队核查权限，达到建立多道安全防线和化解包括内部人员在内的人为攻击。

3、无安全团队的过渡建议

    在无安全团队的企业里，安全团队的职责可以由技术总监或技术总监助理来兼职履行，但效果一般不太理想，因为安全团队的工作是非常占用时间的长期工作。兼职将使安全管理长期处于救火状态，建议尽快建立安全团队。

    目前国内安全人才稀缺情况依然严重，建议企业从运维团队中能力较强人员转化为安全团队，实现安全团队自培养。一来可以提高原运维人员的薪资待遇，相关调研证实安全人员比运维人员薪资要高很多；二来可以缩短安全团队的成长时间，快速形成安全能力；最后可以避免引入人员与现有人员的工作冲突，因为不同行业的业务特征差别较大。

    安全团队业务能力提升除了自身学习外，可以采购安全厂家的蓝队建设服务，实现快速提高实战能力，达到符合企业要求的水平。

三、结束语

    常言说，在安全管理中人是最重要的，信息系统的规划、建设、运行等环节都需要由人来完成，同时人是最不可靠的，每个人都无法保证不出错。希望读者所在企业能做到“运维把安全管起来和安全把运维管起来”，运维团队和安全团队成为合作伙伴，互相监督，共同保障企业的信息安全。

--文章结束--