从今年6月开始,我一直在某市级政府单位做安全运维服务小兵。每天忙忙碌碌写各种安全运营报告,也在写报告的过程中对该单位的安全运营管理体系有了浅浅的了解。当今已经是数字化和智能化的时代,各业务也已逐步上云,这也带来一些网络安全防护的问题。通过我和各业务单位的沟通交流,我发现大概有这些问题:1、新业务不断开发且上云,部分老业务已无法加固,攻击面不断扩大;2、政务外网和电子政务云上的业务单位对数据和系统的控制管理能力不强,一般都是委托给外包运维,容易导致安全责任不明确;3、主要依赖电子政务云服务商提供的基础安全防护能力;4、安全管理缺抓手、一般常用的就是漏扫渗透、安全加固等手段;5、对数据安全相关风险管理较为薄弱,主要还是集中在信息系统安全管理上;针对这些问题,我有一些小小的改善的思考(仅限于思考,毕竟我说了不算,就算我说了算,我也不敢瞎尝试)首先,我觉得安全运营本质就是风险控制——如何高效的做好风险控制。那么,就需要能主动的发现和解决问题,需要利用智能化打造安全运营管理机制。这个听起来还是很“抽象”的,不过没办法,我的日常工作接触的也是很“抽象”的报告和管理理论,不涉及到最底层的实现,但抽象也是有用的哇。说到主动的发现和解决问题,其实就是一种“主动的运维”。这种“主动的运维”需要一个系统化的支撑,鉴于这类政务安全运营基本需要采购第三方安全公司的安全服务,我觉得可以从以下方面来考虑运营管理体系。目前我们国家也有很多法规和标准,如何做好安全运营也有一些“较好的实践”可参考,那么可以制定安全运营相关的制度,让安全运营工作有规矩可遵循。把各方的职能细化到具体的人,并严格把控安全运营服务商的质量。不过,这块儿的制度其实是非常难写的,写得脱离实际了,那就是废纸;写得太严格了,执行成本太高;写得太简单了,起不到引领执行的作用。前面也提过,这类单位主要靠采购安全服务来完成相关的工作,那么,就系统的进行设计,把一个个单个的安全服务结合起来,使得这些常规的服务能像经过过滤的自来水一样,高效的流向运营目标对象。这些安全服务按照之前的思路(安全运营就是风险控制)可以分两类,一类就是风险发现的服务(漏扫渗透、等保密评、数据安全风险评估、重保前期、基线核查、监测预警等),一类就是风险减小的服务(告警响应、安全事件处置、系统的整改加固等)这些服务如何从单个的服务变成像自来水一样流动呢?还是要经过类似SOC这样的安全管理平台来做数据和能力的汇总联动。以安管平台为大脑的技术升级支撑这块还是很重要的,重要的原因是通过技术可以把各种安全数据供给给“安全大脑”,通过数据的关联分析来发现风险,主动响应。这块儿的安管平台的内容也比较海,可以单独写很多细分的思考方向和技术了。有时候,我们看到指标会想起绩效考核。当然,这个肯定是有关系的。指标主要是评估标准,使得安全运营能够被度量,通过度量数据反哺提高安全运营水平。不过,定指标并不容易,我就发现在实际的指标考核过程中产生了大量无效安全工作的现象。但是,指标体系还是要建立并慢慢完善的。思考了这些“抽象”的东西,如果甲方领导问我接下来要以什么为抓手,我可能还是会说:咱们先根据自己的实际情况,整理一份《常见安全风险与对应服务清单》,还是先把手里的主要矛盾解决了。考虑了体系之后,我还想单独说一下数据安全相关的管理问题,这块一直是薄弱环节,从基础设施到运维都比较薄弱,后面再聊吧。THE END
🧩 我最近在研究网络安全管理平台(SOC/SIEM)相关技术,并准备写入论文,如果你:
使用过某款平台(不限厂商)
是运维/安全分析师
是安全专家
是开发过相关模块的研发工程师
非常欢迎加入我的交流群,互相交流。
📍 加我微信:catfishfighting(备注:SOC,不备注我就默认拉安全大群了)
📋 加群需要请大家先填写一份简单的安管平台功能调查问卷
一起学习,一起进步 🙌
还没有评论,来说两句吧...