11月8日，BSI联合安在围绕新版ISO/IEC 27001举行系列专题研讨线上直播会，内容涵盖供应链安全、安全运营、数据安全等等，专题研讨直播活动将贯穿11月和12月，并将于12月召开线下交流会。

本期直播即为系列直播的第三期，话题为“安全新运营”。此次受邀嘉宾有安言咨询总经理董永乐、绿盟科技解决方案经理李睿捷、BSI中国区Lead Assessor刘辉、维塔士集团VICE CIO戴宇晓。此次直播由BSI中国区高级顾问/讲师徐冉主持。

刘辉分享了新版标准所带来的五个小话题，分别为威胁情报、配置管理、安全监控、网页过滤和业务连续性。

刘辉指出，在威胁情报方面，企业首先要有手段、能力来获取威胁情报。获取威胁情报的渠道通常为行业协会、同行专家组织、企业自身的技术手段。之后要用合适的数据分析手段把威胁情报的内容和所包含的信息翻译出来，使它们适用于业务场景，这样企业就可以因此做出战略层的决策。

在使用数据时，需要考虑风险管理的手段，有一种分析方法叫做暴露面和攻击路径分析，它可以在企业拿到威胁情报后，按照企业的业务体系架构分析相关的暴露面和攻击路径。分析透彻后，企业就可以根据识别的风险点来制定、实施解决方案。

在配置管理方面，刘辉强调其宗旨是管理生产环境中配置项的现状、关系、变更历史和生命周期。配置管理的价值在于，一旦企业生产环境体系架构、设备、组件、软件有所变更时，可以非常准确地评估变更带来的影响。

其中，配置项就是配置管理的对象，可以是软件、硬件、网络和服务。配置项颗粒度不是越细越好，而是要合适。

另一方面，传统业务场景往往比较独立，因此配置管理实施起来较为容易。新型业务场景使得各行各业都在极大地依赖互联网、云服务，所以从配置项的类型和规模来看，要比传统的业务场景复杂得多。在这种业务环境下，如果要准确地去做配置管理，就需要借助于有效的自动化管理工具。

CMDB是其中比较实用的一种管理工具，它可以将多种类型、颗粒度复杂、范围较广的配置项进行管理，包括配置项的现状、参数、彼此间的关系、变更历史以及生命周期都可以管理妥当。

此外还有一个重要的工具是配置审计。对于依赖互联网、依赖云服务运营业务的场景，配置项无论是数量还是种类都极为复杂，因此配置审计的工具只靠人工是不可能完成的，需要用到自动化的配置审计工具。

配置管理里还有一个很重要的概念就是配置基线，企业要定义配置基线，然后定义配置基线构成的时机，这样配置管理才能有一个更为清晰的脉络。

在安全监控方面，刘辉提出，企业首先要确定监控的对象，这和企业的业务模式、业务场景有关；确定了监控对象之后，就需要定义表达监控指标的参数或阈值，比如可以用流量或单位时间的访问数来定义网络攻击。

而如果出于资源容量管理的角度来进行监控，就可用CPU、内存、虚机数、IP地址数这样的参数来衡量，以确保资源的容量足以支持企业所期望的系统性能。当所监控的参数接近、超过企业所设定的阈值时，就可以启动告警机制、响应机制等一系列措施了。

在网页过滤方面，刘辉指出，网页过滤的目的是为了防范从网页路径而来的威胁。企业可以用端口名单、IP名单、网页名单来定义黑白名单，同时还可以针对白名单进一步制定更为详细的访问控制策略；在允许访问的网页里，要防止一些非法内容，比如钓鱼网站，还可以通过部署必要的防病毒系统、入侵检测系统等防范来自非法网站的攻击。

在业务连续性方面，刘辉介绍其宗旨有二：预防中断；中断后要尽快恢复。基于这两个宗旨，企业需要先定义关于中断的标准，即针对业务，考虑相关方需求和期望，定义业务场景中不可接受的负面场景。企业还需要定义业务连续性目标，就是如果出现了不可接受的负面场景，能够容忍该负面场景持续的时间是多长，即MTPD。

企业还需要定义的指标是恢复时间，即需要在多长时间内将企业恢复到期望的正面场景（RTO）。其中，RTO一定要小于MTPD，因为要恢复业务就要部署某种解决方案，解决方案的结果需要相关方确认，如果这解决方案没有成功，还要给plan B留出一定的时间，这时间余量是多少，看的是具体方案的成熟程度。

此外还应考虑定义的一个指标是RPO，即企业对数据丢失的容忍度，如果企业能通过多活架构实现业务数据的实时备份，理论上就不会有数据丢失，可以做到RPO约等于0，从另一个角度看，RPO的指标跟数据备份的频次有关。

刘辉说，解决方案的复杂程度、如何部署与风险评估有关，这就是为什么风险评估需要评估价值资产、资产依赖关系、威胁暴露面、攻击路径等；而中断后的应急响应与恢复方案，目的是实现已定义的恢复目标，能否达成这一目的需要通过演练来验证，演练方法有单项测试、单项训练/演习、小范围桌面推演、多单元模拟、全范围真实场景模拟等。

演练完之后需要做复盘分析和方案评审，目的是为了持续改进，通过持续改进这种机制来完善方案中不甚理想的地方。所改进的内容可能在资源方面，也可能在技术路线方面，或管理流程方面。

其中业务部门对信息资产最敏感，业务部门比其他人更能够理解其信息资产的敏感性等级，所以对业务部门来说，首先是识别信息资产，评估其敏感性等级。

敏感性等级确定了，业务部门就可以讲清楚他们的安全要求是什么，所以安全要求源自于业务部门，而安全部门可以去设计、定义实现“达到业务部门安全要求”的系统性方法，安全部门的主要职责就是定义方法准则、设计方法模板。同时，安全部门可以按照27001附录A的标准为业务部门选择可用的技术方案，比如访问控制、加密等，还可以为业务部门提供管理措施。

在安全控制措施落地实施时，需要部门之间相互协同，比如安全部门需理解业务过程以及业务部门的安全需求，并帮助业务部门理解安全控制的规则、方法、模板，让业务部门学会去用，而技术部门则需要提供相应的技术支持。

至于这些安全措施实施下去后能不能达到期望的目标，则需要审计来验证。作为审核人员，首先要理解业务，同时要理解技术策略和管理方法。

董永乐表示，公司只要有安全团队，安全运营就能运作起来，因为公司建立安全团队的目的就是为了降本增效、控制风险，所以有了安全团队就等于有了安全运营，只不过安全运营的水平有高低之分。

董永乐为了方便众人理解，以C集团的发展作为参照。C集团在2021年正式建成安全运营中心，之后设了SOC经理、安全监控小组、安全分析小组、安全响应小组，还建立了三大类工作流程：防病毒流程，防攻击类流程，防数据泄漏流程。

2021年，C集团在原有SIEM的基础上，增加了5个子系统：检测分析子系统、响应编排子系统、运营管理子系统、可视化子系统、实战化红蓝对抗演练子系统。同时也定了流程化、可视化、实战化的目标。

基于此，董永乐引进了他所要分享的三个要点：安全运营的标准化、韧性和合规驱动。他声明，这里的标准化并不是依据某个标准来做安全运营，而是指“安全运营工作的标准化”。

在C集团的安全运营工作中，标准化是随处可见的。首先是数据标准化，SIEM必须具备的一项基础功能是日志的范式化，简单来说就是统一格式。进SIEM之前，安全信息与事件数据来源多样、形态各异，有文件，有syslog，有数据库表，甚至还有API调用读取到的数据。

在SIEM统一这些数据格式的过程中有一个好消息和一个坏消息。好消息是平台能够自动处理这些数据；坏消息是超过一半的数据源平台都不认识，需要解析日志，让人告诉它该如何处理。

然后是规则的标准化，每个人对规则都有不同的理解和描述，而平台只认一种，就是它认识的那种。所有的安全检测规则都是人设定的，都是人告诉平台的，哪怕当下的AI已经遍地开花了，仍然是人主导着一切。

此外，还有一点比较重要，那就是响应流程和操作的标准化。业务连续性、针对灾备恢复应急预案要落实到安全运营中，需要有相应的响应流程和标准化操作。

C集团属于制造业，企业整体更看重SOP，因此在安全响应编排方面，C集团做了60多个大大小小的SOP，包括11个主要流程和17个子流程以及35个高频任务SOP。这些标准化的工作来之不易，由C集团的信息安全经理亲自带领，人员包括项目经理等四位同事和供应商这边提供的10余人的SOC平台实施团队，在高强度地工作了将近9个月后才基本成形。

他们的标准化的成果包括：13大类（计47种）近2,000个数据源接入SOC平台，而且将日志解析率稳定保持在了99%以上；同时他们启用了产品自带的147条规则，额外自行设计编写了16条规则用于检测分析；另外，这些规则还逐条映射在了ATT&CK 7阶段。可以说，C集团在标准化这块做得很好。

董永乐介绍，C集团的安全团队非常推崇“韧性”，虽然他们自己并不会这么标榜自己。董永乐对“韧性”二字是这么理解的，他认为“韧性”至少包括三层含义：

1、业务永续；

2、弹性扩展；

3、柔性适配。

而在C集团，安全运营的韧性体现在了三项具体的工作上：

1、每周备份SOC平台的程序、配置、数据。而且在开始执行备份方案前，他们会在测试环境中做恢复测试，验证备份方案的有效性。

2、2022年，C集团将SOC平台从总部扩展，覆盖了分布在4个城市的6个厂区。

3、2022年，C集团重新调整了安全运营中心的组织结构，把防病毒和防攻击两个小组合并在了一起，以适应武器化的网络攻击和攻击后的投毒等复合安全事件。

最后董永乐介绍了C集团安全运营的合规驱动。董永乐表示，C集团多年前就已通过ISO27001认证，遵循PDCA运行信息安全管理体系并持续改进其有效性。可以认为SOC平台本身就是为了进一步提升安全运营水平而建，而安全运营本身既是标准所要求，也是为了满足C集团自身的业务需求。

这是因为C集团所从事的是电子制造业务，他们极重视保护知识产权和商业机密。同时，生产制造系统也必须竭尽全力避免意外停机造成业务损失。比如，台积电曾因生产线工控电脑大面积感染病毒而导致停产，其结果是不但立即遭受了巨量经济损失（财报可见），更影响客户对他业务连续性的信心，间接影响长远的业务收益（财报不可见）。

可以说，正是出于对“控风险”的考量，C集团管理层才批准了安全运营方面的投入预算，其中既有业务风险（主要）的因素，也有合规驱动（辅助）的因素。

董永乐分享了他对安全运营合规驱动的看法，他认为大多数企业包括C集团在内，主要考虑的是通过管控业务风险来加强安全运营。而近年来，随着《网络安全法》为代表的一系列相关法律陆续发布，行业监管与专业监管并举，企业面临着更严密、强度和频度更高的监管，因此合规驱动因素的占比也在逐步提升。

随着《隐私保护条例》、《消费者权益保护条例》、《关基保护条例》、DSMS国标等配套的法规、标准、监管细则越来越完善，《网络安全法》、《数据安全法》和《个人信息保护法》即将进入“有法必依”和“执法必严”的阶段。

戴宇晓介绍了自己的公司，维塔士的主要业务分为两大块，其一是美术内容制作，其二是游戏开发。美术方面覆盖了从原画、游戏角色、游戏场景、全关卡设计、到动画和特效等全方位内容制作。

在游戏开发方面，维塔士主要提供的服务包括与客户同步合作开发新内容，帮客户完成跨平台移植、老平台的游戏重制等。维塔士在游戏和电影领域都积累了丰富的成功经验，其客户包括众多著名独立工作室，以及世界顶级数码娱乐公司20强中的18家。

说到信息安全，戴宇晓表示，维塔士的客户—这些世界顶级的数码娱乐公司，每一家都非常重视他们游戏知识产权的机密性，都会关注游戏开发项目的业务持续性，包括用户数据的隐私保护等问题。

在合作初期，很多客户会组织专业的安全团队对维塔士进行信息安全的尽职调查，对他们提出各种通用的或相对严格的信息安全要求。可以看到，这些安全要求基本遵从ISO27001的安全框架。戴宇晓表示，整个集团同样是以27001的标准作为运营的指导，目前维塔士有五家工作室已经通过了27001的认证。

在业务连续性方面，戴宇晓认为，团队初期由于数据量较小，考虑的仅仅是怎么把全部的数据备份下来，然后能在硬件或者软件失效的情况下进行恢复的问题，可以把这样的过程称为信息系统业务连续性。但在人员、数据量达到一定的规模后，这种简单的、基于信息部门内部的考虑，因为其缺乏对业务的全面了解，缺乏对风险的充分分析，所以变得不再能符合公司整体业务连续性的需求。

在实际运营中，企业需要考虑到信息部门、市场销售部门、项目管理部门、人力资源部门可能造成的风险，这些点在ISO整个体系里都有体现。其中，信息部门需要事先对信息进行梳理，对基础架构、管理数据和项目数据进行分类管理。

比较重要的是，需要让业务部门、法务部门参与到整个业务连续性的管理中来，让这些部门了解到整体的业务风险，包括风险涉及到的流程和数据，同时这些部门还需要了解信息部门、客户的安全要求和策略。

作为提供安全分析和安全解决方案的信息部门，戴宇晓表示，他们会根据对ISO标准的理解，在了解业务运作的前提下，包括在外部专家、老师的帮助下，会帮助业务部门进行风险识别和分析，协同业务部门制定响应的应急计划。

在疫情之下的这几年，戴宇晓觉得也需要将原来考虑较少的一些风险，比如政策风险、地域风险、自然风险等都考虑进去。而对维塔士来说，怎么样在全球平衡人员的能力，平衡生产的能力，来管理企业的质量，然后以此持续交付产品和服务则是他们始终不变的宗旨。

此外还有成本和收益平衡的问题，一般业务部门评估风险，需要能提供关于风险的一些经济的或者非经济的衡量指标，为安全部门的投入做参考。同时，由于客户对业务连续性有具体要求，安全部门也需要综合考虑方案的适用性和合规性。比如，公有云的业务连续性方案有时候不能在一些客户场景被使用。

说到新时代，戴宇晓表示，另一个绕不开的话题就是远程办公的安全。自从2020年初到现在，全球范围内的疫情对维塔士的业务也造成了影响。2021年9月，维塔士除中国地区以外，有85%以上的员工处于在家工作的状态。而在今年，由于中国疫情的变化，维塔士全球在家工作的员工人数和人次都创下了新高。全球近4000的员工都有过一段时间的在家工作体验，这对安全的运维和安全性都提出了较大的挑战。

戴宇晓认为，新时代之下信息安全的关注点是数据管理方式，方式会从完全的集中变成集中和分散相结合的模式，因此用户会在远端机上也会保留一部分数据，对远程数据的可用性等都提出了很多的挑战。

在远程办公的便捷和安全性上，也要做出相应的平衡，怎么样去适应不同的业务场景，同时又要符合客户的安全需求和合规方案，这就需要在面对不同的角色时使用不同的技术方案。比如对于美术或者游戏开发人员，他们会涉及大量的音频视频操作，这些操作和传统的办公文件不同，其对于数据传输的质量、网络的流量、软件、硬件，包括对很多显卡的需求都很高，因此就会要求在资源和选择方案上做出相应的成本。

李睿捷表示，云安全已被被广泛认知了，绿盟科技作为第三方的安全厂商，会在新时代这种需求交付上更多地关注持续性和能效，在保持SaaS化交付成本优势的同时，托管式的运营中心也会为企业侧带来更高的安全效率。

绿盟科技在2022年的合作伙伴大会上正式发布云化战略—智安云，即T-ONE Cloud。T-ONE Cloud是绿盟科技“智慧安全3.0”理念的全新实践，旨在以云的思路重构安全运营体系，为用户按需提供快速的安全闭环保障能力。

李睿捷介绍，T-ONE Cloud提出了云化时代的用户价值主张，首先是采用云化交付的安全产品和服务，以获得弹性高效安全能力；其次是按需引入弹性全面的安全能力，提升企业的成本转化率，以达到最优的安全效能；最后是客户与专业安全公司建立持续可信任的连接，以获得实战化的安全运营，以便后续执行快速的安全响应。

可以看到，这里用户价值主张，紧扣“云”的思想。云的特点是弹性、快捷、泛化连接、按需服务。采用云化交付的安全产品和服务，以获得弹性高效的安全能力。“弹性”，意味着能力类型可变、安全策略可变、保护范围可变、性能容量可变。通过弹性安全能力，可以针对不同客户环境，进行自适应的安全防护。

针对投入大、成本高的安全痛点，按需引入弹性安全能力，可以提升成本转化率，以达到最优的安全效能。在覆盖PPDR环节的同时，所有的安全能力都可以通过T-One Cloud模式为用户提供服务，支撑客户不同的安全需求。

李睿捷指出，在云化时代，一个明显的特征是万物互联，因此数据安全、隐私保护等成为安全热点。在安全运营方面，需要与专业安全公司建立持续可信任的连接是实时获得实战化安全服务的基础。T-One Cloud基于可信任的身份体系、可信任的数据传输，与客户构建可信任的连接，确保重要攻击都能被发现和分析，实现秒级安全检测、分钟级威胁闭环响应；通过可信计算环境、增强隐私保护等技术，实现客户环境隐私数据不出门。

基于上述用户价值主张，T-One Cloud设计了一套以客户需求外循环为主导、公司供给内循环为支撑，以云化交付的安全产品和服务衔接内外双循环的安全保障体系架构，为用户按需提供快速的安全闭环保障能力。

客户需求外循环，以用户的合规、可信、安全保障需求为驱动，连通安全规划、交付、运营各环节。相比传统安全，T-One Cloud在收费模式、交付模式、运营方式、内容可视化上进行了革新，形成良性循环，使安全能力的交付不断加速。

据李睿捷介绍，其中在收费模式上，一次性付费与线上按需订阅相结合，可降低下单流程复杂性；交付模式上，云化交付的安全产品和服务，包括传统安全设备、安全资源池、SASE及即将推出的魔力防火墙NF-SSE等不同载体形态，适应不同场景客户需求。

在运营方式上，T-One Cloud通过云地协同，可实现全天候按需服务；内容可视化上，T-One Cloud关注用户体验，通过安全运营中心实现统一用户视图，注重场景化交付价值体现，让安全一屏统揽，提升用户运营效率。

李睿捷说，持续增长的安全业务需求与用户反馈驱动着公司供给内循环演进，而安全公司的核心竞争力就是把对安全的理解和攻防能力，通过安全产品和服务传递到客户侧。

T-One Cloud以云化交付的安全产品和服务为起点，以隐私保护、可信计算为基础，构建可信数据体系，持续采集数据，实现数据治理，结合用户使用体验及需求反馈进行分析，为后续环节持续赋能。建设强大的云端智慧大脑，融入XDR、XSOAR、AISecOps等技术，实现自适应智能分析；以数据体系为基础构建情报与知识图谱体系，把安全研究能力及实战经验快速转化为系统能力。

同时，设立科学的观测指标体系，与可信数据体系、云端智慧大脑等结合，进行定性及定量评估分析，实现“人-流程-技术-数据”的完整闭环，持续提升运营能效，并快速赋能安全产品与服务。

李睿捷介绍，T-One Cloud战略包括了采用云化交付的安全服务体系，提供安全产品服务、安全运营服务和专项安全服务；以及T-One Cloud三大重要组件：提供统一用户视图，实现全面安全可视的安全运营中心；支持弹性按需订阅多种安全能力和服务的魔力防火墙NF-SSE；以及支撑实时风险管理和安全运营的全新手机APP。

其中，安全运营中心（SOC）可实现统一用户视图和全面安全可视，提供安全产品和服务的订阅与管理能力。向下对接各类安全资源和能力，向上对接专家服务，绿盟科技的研究成果和情报数据都为之赋能。

接下去，李睿捷介绍了基于弹性架构的新一代魔力防火墙NF-SSE，它的基础能力是一个防火墙，出厂即可作为防火墙使用。NF-SSE一旦与SOC建立连接，用户就可以拥有自己的安全运营中心，可享受MSS设备托管服务，在SOC上面按需订阅自己所需的产品服务和运营服务。SOC上订阅的安全能力可按需推送到NF-SSE。

NF-SSE衔接云端与用户侧，承载多种安全能力的运行，如Web应用防护能力、全流量威胁检测能力、终端安全防护能力等。在T-ONE云地协同的体系里，利用NF-SSE这个神奇魔盒，能够实现对企业网络的纵深防御，使安全效能最大化，并且在这种架构下，流量数据无需发送云端即可实现动态的检测与防御，最大程度降低企业隐私数据泄露的风险。

最后，李睿捷介绍了便捷易用的手机APP，其包括了租户门户和运营门户。通过租户门户，最终用户可以随时随地监测安全风险，享受对安全服务的实时感知和交互。利用为运营人员提供的运营门户APP，合作伙伴可以实现对用户安全7*24小时的无间断服务。

T-ONE CLOUD不只是技术或产品服务的创新，更是一种模式创新。T-One Cloud吸收云化的开放精神，结合绿盟科技渠道战略，推出了全新的合作运营商业模式，携手合作伙伴，共建T-One Cloud安全运营中心。

绿盟科技为合作伙伴提供全套的建设合作运营中心所需安全能力和系统软件，同时提供绿盟科技品牌支持、安全专家支持以及技术指导培训，帮助合作伙伴快速了解安全市场，掌握安全服务技能，通过一线安全运营服务与最终客户产生更紧密的价值连接。

问题一：什么样的运营算是好的安全运营，安全运营的价值是否可以实现可视化？

戴宇晓：可以让内部去参考保险行业的风险。比如保险行业中，火灾发生的风险是几万分之一，可以把此指标作为机房发生安全事件的概率来进行统计；对于机房里数据的价值，可以用合同的数值进行衡量，即以成本来衡量是否能够抵去发生安全事件后所造成的损失。此外，防火墙中的日志可以反映每天的攻击量，所带来的这些风险可以统计起来，从而给安全产品提供了投入依据。

问题二：考虑安全运营的好坏，都有哪些考核指标？

董永乐：底层的数据质量很重要，因为当下的企业普遍缺乏把CMDB就是配置管理和业务中的业务服务模型建立起来，所以一定要把数据质量做到位，安全运营的价值才能体现，但这过程本身也需要经过业务价值分析，才能把安全运营最终对于公司在降本增效、控制风险方面的价值呈现出来。

问题三：在云化的过程中，对于不同设备、不同日志是怎样管理的？

李睿捷：无论是通过云化的订阅方式去交付安全能力，还是采用近源部署的方式将安全能力部署在客户的私有云和公有云里，从整体上来看，安全能力都往云上集中；日志方面，可以利用比如对象存储、文件存储的能力，在日志留存策略上做阶梯性的设置；然后使用云服务商提供的比如KMS去做数据的加密，来保证数据机密性。另外，在日志访问控制这一侧也需要做好细粒度的管控，防止未授权访问发生。

同时，在云环境中去配置策略文件（通常为JSON格式），组织机构最好配置有专职的云安全管理人员，无论是外聘专业的工程师，还是通过内部的培训来提升相关的专业能力，以最大限度地避免云上配置的错误，这是应对云上数据泄露事件的关键，只有这样才能达到最佳实践的效果。

问题四：新版的5.35对原来的18.11由组织运营的专业团队实施，可以吗？

刘辉：识别什么样的法律法规取决于业务和产品的推送目标是哪个国家，同时，法律法规的识别需要非常专业的团队来完成工作。拿某公司较好的实践举例，他们有专业的律师团队，首先就会按国家、地区、领域分小组，然后按照公司自己的业务线来分专业接口人。

之后，法务团队会跟踪各个国家和地区的立法动态，解析法律法规的要求，接下去在公司的业务过程中落地。同时他们还会出合规方案，并和业务团队、安全团队一起协同讨论业务架构中在合规方面的各个环节该怎么有效的处理，并一起协同制定解决方案。

而无论是哪一种解决方案，站在企业经营的角度，他肯定要将风险、成本、资源、技术可实现的程度都考虑进去，若是可以不计成本，那很多事就都可以一步到位了。

在合规风险方面，从审核的角度看这些企业的优秀实践，有一些条款就是0和1的关系，要么合规，要么违法。当然，也有一些条款可能会允许存在缓冲地带。