一、企業(yè)安全運維的本質(zhì)是什么？

杜建榮：安全運維包含兩層意思，第一層意思是維護一個組織的信息安全管理體系，比如使用防火墻維護公司的安全域劃分，使用堡壘機滿足運維審計要求，使用漏掃挖掘漏洞風險等。第二層意思是在運維工作中落實安全管理要求，降低運維工作中的安全風險。

由此可見，第二層的意思立足于第一層，安全運維的前提是企業(yè)有明確的信息安全管理體系，信息系統(tǒng)有較合理的安全架構(gòu)。

安全運維的主要工作模式也分為兩種。一種是依靠信息安全管理團隊的工作模式，組織建立信息安全管理體系，在信息系統(tǒng)建設(shè)時同步建設(shè)信息安全技術(shù)措施，敦促信息系統(tǒng)在建設(shè)中同步落實安全管理要求，利用安全產(chǎn)品開展管理與審計監(jiān)督。另一種是依靠運維人員的工作模式，把安全賦能給運維人員，運維人員根據(jù)安全要求執(zhí)行規(guī)范的運維規(guī)程。

安全運維需要將兩種模式有機結(jié)合，不是信息安全團隊或者運維人員的單打獨斗，才能起到最好的效果。

二、如何做好安全運維？

杜建榮：在考慮安全運維之前，首先需要首先對企業(yè)的整體安全架構(gòu)有一個全面、嚴謹?shù)囊?guī)劃部署。做好一個良好的建設(shè)，后期通過安全運維嚴格執(zhí)行，才能有好的效果。否則運維就只能像救火，頭痛醫(yī)頭、腳痛醫(yī)腳。安全運維的本質(zhì)，就是通過規(guī)范的流程，落實貫徹企業(yè)既定的安全政策方針，推行企業(yè)設(shè)計好的安全架構(gòu)。比如進行防火墻的運維，本質(zhì)上是維護企業(yè)的安全域規(guī)劃，如果在運維中不按規(guī)章胡亂開策略的話，用防火墻進行安全域隔離的初衷就等于形同虛設(shè)。安全策略一旦放行，日后要收回來就很不容易，任何弱點都能成為黑客攻擊的目標。

三、安全運維的重點在哪里？

杜建榮：安全運維的重點是：遵循一個商定的標準嚴格執(zhí)行運維，而不是隨心所欲或者隨機應(yīng)變。安全運維不是攻防演練，不需要靈光一現(xiàn)的點子，變化越少越好。如果在運維過程發(fā)現(xiàn)需要放開越來越多的特例，那就證明當初商定的標準有問題，需要重新修訂當初的標準。良好的安全運維標準應(yīng)該是松緊有度，并在建立之初得到涉及的業(yè)務(wù)部門共識，有一套規(guī)范的流程而無需經(jīng)常放行各種特例。

另一方面，安全運維需要分層分級，有的放矢。比如將重點的漏洞管理、防火墻、WAF、IPS、服務(wù)器EDR等運維，專門交給有豐富經(jīng)驗的人員負責；將技術(shù)含量稍低的VPN、堡壘機、辦公電腦準入防病毒等重復(fù)繁瑣的運維，交給稍低經(jīng)驗的人員處理；最好有專崗負責日志告警，分析溯源。如果把所有運維工作都集中在一兩個人身上，將會不堪重負，每天大量繁瑣的低級運維工作與需要細心集中的重點運維工作交雜在一起，會降低人的集中力，應(yīng)付了事，從而忽視了真正的風險。

此外，針對運維人員的操作，也需要有精細的權(quán)限控制與完善的日志記錄，并最好由上級領(lǐng)導(dǎo)或?qū)ｉT審計角色進行定期審計。

以上幾點的集合才能最大程度的提高安全運維的準確率，降低安全風險。

四、安全運維分為幾個階段？

杜建榮：對于小型企業(yè)來說，往往沒有專職的安全人員，安全建設(shè)通常由網(wǎng)絡(luò)或基礎(chǔ)架構(gòu)部門兼任，安全運維往往只能依賴運維人員的能力。這種階段下安全只是一個可有可無的附加值，并不能真正發(fā)揮它的作用。

發(fā)展到一定規(guī)模的中小型企業(yè)，招聘了安全專崗，但也往往只有一兩個人，這種一個人的安全部模式，安全人員往往因為前期沒有做好整體的安全規(guī)劃而在運維上疲于奔命的救火。公司把信息安全的責任都放在安全人員身上。針對中小型企業(yè)，建議聘請安全公司的安服團隊進行運維，讓安全人員釋放雙手進行有效的安全規(guī)劃與建設(shè)，才能逐漸走向正規(guī)。

對于大型企業(yè)，安全部門已逐漸成型，可能會有專人負責管理、制度建設(shè)、合規(guī)等工作；有專人負責運維工作。在這種模式下，建議參照上一點提到的重點，將運維工作分層分級給不同的人員處理，并將安全技能充分賦能給其他業(yè)務(wù)部門。如可以把終端殺毒、準入、VPN、防垃圾郵件等工作賦能給桌面運維團隊；將堡壘機、服務(wù)器EDR等工作賦能給基礎(chǔ)架構(gòu)團隊。真正的做到誰主管、誰負責；誰使用、誰負責、誰運營、誰負責。信息安全團隊更可以集中精力在安全建設(shè)、日志監(jiān)控、攻防等方面，同時提升了全公司的安全水平。

五、如何培養(yǎng)安全運維的人才（如何留住安全運維的人才）？

杜建榮：最近幾年，專業(yè)的安全人才一票難求已經(jīng)是公認的事實，未來很長一段時間這種趨勢也會持續(xù)下去。這種情況下，應(yīng)該如何培養(yǎng)安全運維的人才？私以為，將安全運維的能力分級，引入職業(yè)發(fā)展的路線，是一個很好的辦法。比如從基礎(chǔ)的終端安全運維崗開始，到網(wǎng)絡(luò)安全運維崗，應(yīng)用風控安全運維等，通過崗位輪動，培養(yǎng)全能的人才，同時也可以令更多其他運維崗學(xué)習(xí)安全技能，培養(yǎng)公司的后備人才。安全運維經(jīng)驗豐富以后，可以嘗試編寫腳本的自動化運維，培養(yǎng)開發(fā)方面的能力；或是走分析溯源路線。同時，這也是留住安全人才的方法，有一條清晰明確的職業(yè)發(fā)展路線，避免安全人才反復(fù)做低級的運維工作。

六、從事安全運維崗最重要的技能是什么？

杜建榮：我覺得是持之以恒的學(xué)習(xí)能力（其實很多崗位都需要，但安全尤甚），因為安全是跨領(lǐng)域的學(xué)科，在從業(yè)的路上需要不斷學(xué)習(xí)和理解IT其他領(lǐng)域的知識范疇，不能只看到自己的一畝三分地。比如我本人就曾在數(shù)據(jù)庫審計的運維工作中學(xué)習(xí)到大量的SQL語句與數(shù)據(jù)庫結(jié)構(gòu)；在業(yè)務(wù)上云的項目中惡補了大量公有云的知識體系。另一方面，還需要在工作中保持細致耐心，面對反復(fù)的策略調(diào)整，權(quán)限控制不厭其煩，同時也能從千百行日志中找到有價值的事件。

七、安全運維如何能避免成為背鍋俠？

杜建榮：在安全方針政策的制定，安全架構(gòu)的部署時，一定要與相關(guān)的業(yè)務(wù)部門形成共識，在大家的充分知情同意下制定出來，不能由安全部門單獨拍板，在安全方針政策制定之初明確各自的責任擔當，才不會在后續(xù)的運維工作中讓安全運維成為背鍋俠。以漏洞掃描這件事來打比方：在部署之初先規(guī)劃好掃描頻率、具體時間、誰來修復(fù)、有何潛在的風險、告警手段等等，并得到業(yè)務(wù)部門的同意認可。才不至于讓業(yè)務(wù)方一有業(yè)務(wù)中斷就懷疑是安全引起，也不會對發(fā)現(xiàn)的漏洞推三阻四不愿意修復(fù)，一旦被入侵又怪罪是安全的責任。

八、安全運維崗位的就業(yè)形勢如何？這個職業(yè)會有瓶頸嗎？

杜建榮：安全運維崗的就業(yè)形勢相對其他網(wǎng)絡(luò)或桌面運維還是很吃香的，雖然今年遭遇疫情，但從各大招聘平臺上看，也有不少的崗位在求人。安全運維崗的瓶頸在于面對重復(fù)的工作容易有惰性，必須主動堅持學(xué)習(xí)才能有突破?，F(xiàn)在很多如云安全運維、大數(shù)據(jù)安全運維、應(yīng)用安全運維等崗位都需要積極學(xué)習(xí)新的知識來迎接。另一方面，也可以嘗試學(xué)習(xí)開發(fā)能力，利用態(tài)勢感知、SOC等平臺，通過流程設(shè)計實現(xiàn)自動化運維。

九、企業(yè)需要態(tài)勢感知嗎？

杜建榮：態(tài)勢感知是最近幾年很火的一個概念，幾乎所有的安全廠商都會推出自己的態(tài)勢感知產(chǎn)品。但我認為，不要隨便被銷售忽悠，只有少量安全設(shè)備的中小企業(yè)是不需要態(tài)勢感知的。態(tài)勢感知的應(yīng)用場景在于企業(yè)擁有大量安全設(shè)備，產(chǎn)生海量的日志，運維人員對于這些設(shè)備與日志疲于應(yīng)付，誤報漏報太多，響應(yīng)緩慢，無法真正提煉出有價值的事件時，才有使用態(tài)勢感知的價值。

十、態(tài)勢感知會給安全運維帶來什么幫助？

杜建榮：態(tài)勢感知可以簡化運維的工作量，更加聚焦于有價值的事件，令運維人員可以集中精力在溯源與分析上。同時，通過參與態(tài)勢感知里安全告警的設(shè)計與提煉，也能提升運維人員的綜合能力，幫助企業(yè)培養(yǎng)人才。

在未使用態(tài)勢感知前，安全運維人員的工作可能是在每天的WAF、防火墻、IPS、服務(wù)器日志、漏洞報告中發(fā)現(xiàn)異常，再驗證攻擊是否已發(fā)生。但部署態(tài)勢感知后，利用設(shè)計好的告警規(guī)則，可以迅速發(fā)現(xiàn)攻擊的來源、路徑，迅速修復(fù)漏洞，并不斷優(yōu)化告警規(guī)則。