1. 引言

　　結(jié)合中共中央辦公廳《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》、公安部網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度等要求，在“沒有網(wǎng)絡(luò)安全就沒有國家安全”的高度指引下，“十四五”期間，為協(xié)助工業(yè)企業(yè)開展體系化防護(hù)堡壘建設(shè)，本文提出安全運(yùn)營概念，從內(nèi)涵解釋、體系建設(shè)、度量三個(gè)方面闡述工業(yè)企業(yè)安全建設(shè)的基本動(dòng)作。

　　2. 安全運(yùn)營內(nèi)涵

　　安全運(yùn)營是什么？能達(dá)到什么樣的作用？業(yè)內(nèi)安全運(yùn)營概念是較多的，但脫離于業(yè)務(wù)的獨(dú)立運(yùn)營，為了“安全而安全”的做法是不可取的。安全運(yùn)營應(yīng)該以關(guān)鍵核心業(yè)務(wù)和重要數(shù)據(jù)為中心，在用戶和專業(yè)安全產(chǎn)商的共同協(xié)作下開展的體系化建設(shè)。因此安全運(yùn)營應(yīng)該是 “為了保護(hù)企業(yè)重要業(yè)務(wù)系統(tǒng)（含工業(yè)系統(tǒng)）和數(shù)據(jù)資產(chǎn)，引入運(yùn)營管理理念，將安全管理工作融入到企業(yè)日常經(jīng)營活動(dòng)中，基于安全戰(zhàn)略目標(biāo)，形成從安全建設(shè)到后續(xù)運(yùn)行，始終能保證安全措施的全面覆蓋和有效的持續(xù)迭代優(yōu)化的過程”。其各要素內(nèi)涵如下：

　　為什么要做安全運(yùn)營？可以從對(duì)外和對(duì)內(nèi)兩個(gè)層面去理解。

　　2.1 對(duì)外

　　能加快響應(yīng)上游網(wǎng)絡(luò)安全監(jiān)管單位，形成監(jiān)管有要求、企業(yè)有落實(shí)、結(jié)果有反饋的機(jī)制。

　　能加快融入國家、省、企業(yè)三級(jí)協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障體系中。

　　2.2 對(duì)內(nèi)

　　有效避免目前“先建系統(tǒng)，后補(bǔ)安全”，安全建設(shè)片面化，無體系的問題。

　　有效避免目前“重前期建設(shè)，輕后期運(yùn)行”的問題。

　　能度量安全措施的有效性，能保證安全質(zhì)量和滿意度始終保持在合理區(qū)間。

　　利用PDCA循環(huán)，反饋和改進(jìn)安全防護(hù)措施，形成動(dòng)態(tài)防御機(jī)制。

　　3. 安全運(yùn)營體系建設(shè)

　　安全運(yùn)營體系是龐大而宏觀的，需要涉及方方面面的內(nèi)容。其建設(shè)過程中應(yīng)該要遵循四條原則，一是管理模式本土化，二是嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任制，三是抓好基礎(chǔ)建設(shè)，四是堅(jiān)持體系化建設(shè)思維。

　　此外，文章用“3+1”模式提出安全運(yùn)營體系建設(shè)的基本方法，其中“3”表示安全管理、安全技術(shù)防護(hù)、安全數(shù)據(jù)分析；“1”表示一個(gè)安全運(yùn)營中心。

　　3.1 安全管理

　　網(wǎng)絡(luò)安全建設(shè)歷來都有著“七分管理、三分技術(shù)”的內(nèi)涵，落實(shí)網(wǎng)絡(luò)安全管理工作是網(wǎng)絡(luò)安全建設(shè)中極其重要的一環(huán)。網(wǎng)絡(luò)安全管理涉及范圍廣、內(nèi)容多，建設(shè)時(shí)應(yīng)該在吸收國外成功經(jīng)驗(yàn)基礎(chǔ)上（ISO/IEC27000系列標(biāo)準(zhǔn)），結(jié)合我國實(shí)際（等級(jí)保護(hù)2.0管理要求），推進(jìn)管理模式的本土化。具體可劃分為三方面內(nèi)容，即網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全意識(shí)，其中網(wǎng)絡(luò)安全責(zé)任制落實(shí)是重要的主線建設(shè)內(nèi)容。

　　在實(shí)際操作中網(wǎng)絡(luò)安全責(zé)任制應(yīng)該加快落實(shí)，應(yīng)按照《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》明確本單位的網(wǎng)絡(luò)安全工作責(zé)任，其中黨委主要負(fù)責(zé)人履行網(wǎng)絡(luò)安全第一責(zé)任。此外，企業(yè)應(yīng)組織建立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組及其辦公室，劃分信息中心和工控系統(tǒng)部門的網(wǎng)絡(luò)安全職責(zé)，不能一股腦的把安全責(zé)任全部丟給信息中心。下面是工業(yè)企業(yè)責(zé)任制落實(shí)的參考示意：

　　圖一、網(wǎng)絡(luò)安全管理主線建設(shè)（責(zé)任制落實(shí)）

　　另外，需要特別注意的是工業(yè)企業(yè)的網(wǎng)信領(lǐng)導(dǎo)小組應(yīng)該引導(dǎo)信息化部門和自動(dòng)化部門的溝通合作，形成信息化人員懂工控業(yè)務(wù)，自動(dòng)化部門懂安全，安全和業(yè)務(wù)融合發(fā)展的局面。

　　3.2 安全技術(shù)防護(hù)

　　兩化融合的推進(jìn)，提高工業(yè)企業(yè)生產(chǎn)控制系統(tǒng)信息化程度的同時(shí)也引入了傳統(tǒng)IT存在的安全問題，如Windows操作系統(tǒng)漏洞、Telnet、RDP等高危服務(wù)。面對(duì)工業(yè)控制生產(chǎn)特殊性，天融信提出了“構(gòu)建基于行為的安全保障能力”建設(shè)思路。

　　圖二、威脅行為示例和技術(shù)防護(hù)

　　以行為分析為基礎(chǔ)，將工業(yè)控制過程與網(wǎng)絡(luò)安全相結(jié)合，在保障生產(chǎn)過程可用性的前提下，構(gòu)建基于行為的安全管控能力，針對(duì)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大方面開展六個(gè)層級(jí)的建設(shè)：一是基于等保2.0和關(guān)保相關(guān)要求的工控安全基礎(chǔ)建設(shè)；二是云平臺(tái)安全防護(hù)（平臺(tái)）；三是應(yīng)用安全防護(hù)（應(yīng)用）；四是數(shù)據(jù)治理管控與數(shù)據(jù)安全防護(hù)（數(shù)據(jù)）；五是網(wǎng)絡(luò)安全運(yùn)營統(tǒng)一監(jiān)管和大數(shù)據(jù)態(tài)勢(shì)分析（安全運(yùn)營中心）。

　　3.3 安全數(shù)據(jù)分析

　　以“數(shù)據(jù)驅(qū)動(dòng)安全”，圍繞企業(yè)各類數(shù)據(jù)，建立以數(shù)據(jù)為核心的安全分析體系，通過對(duì)工業(yè)企業(yè)內(nèi)外的各項(xiàng)數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)分析，賦能工業(yè)企業(yè)安全防護(hù)體系的建設(shè)，用數(shù)據(jù)來驅(qū)動(dòng)安全，為逐步邁向安全動(dòng)態(tài)防御，探索研究網(wǎng)絡(luò)安全智能化提供源源不斷的動(dòng)力。

　　圖三、安全數(shù)據(jù)分析基本流程

　　安全數(shù)據(jù)分析基本流程分為四個(gè)部分，從數(shù)據(jù)收集、數(shù)據(jù)處理到數(shù)據(jù)分析產(chǎn)生安全策略供管理員作出安全決策。其中數(shù)據(jù)收集階段須著重注意數(shù)據(jù)的質(zhì)量，數(shù)據(jù)分析階段將威脅分為已知威脅和未知威脅兩大類，利用告警研判、分析建模等方式，確認(rèn)已知威脅行為特征；利用異常行為分析、威脅狩獵、機(jī)器學(xué)習(xí)、威脅情報(bào)等手段不斷探索發(fā)現(xiàn)更多的未知威脅。

　　在具體工具選擇上，天融信安全態(tài)勢(shì)感知平臺(tái)、安全大數(shù)據(jù)分析平臺(tái)是非常理想的選擇。天融信在26年的發(fā)展歷程中，優(yōu)先于其它安全產(chǎn)商開展了機(jī)器學(xué)習(xí)、大數(shù)據(jù)等新技術(shù)應(yīng)用于安全的研究，開發(fā)了業(yè)內(nèi)知名的安全態(tài)勢(shì)感知平臺(tái)、安全大數(shù)據(jù)分析平臺(tái)等系統(tǒng)。安全態(tài)勢(shì)感知平臺(tái)提供安全態(tài)勢(shì)預(yù)警、事件監(jiān)測(cè)等功能，安全大數(shù)據(jù)分析平臺(tái)協(xié)助產(chǎn)生專家知識(shí)，支撐安全態(tài)勢(shì)感知平臺(tái)的不斷優(yōu)化。

　　3.4 安全運(yùn)營中心

　　從組織形態(tài)的角度看，安全運(yùn)營中心是安全管理的智能大腦，是幫助企業(yè)建立起堅(jiān)強(qiáng)防護(hù)堡壘的重要組織。其應(yīng)實(shí)現(xiàn)的功能是 “推動(dòng)構(gòu)建上述安全管理、安全技術(shù)防護(hù)和安全數(shù)據(jù)分析三個(gè)方面的建設(shè)，可視化展現(xiàn)企業(yè)安全現(xiàn)狀，協(xié)調(diào)處理網(wǎng)絡(luò)安全事件及輸出企業(yè)所需的各類專家知識(shí)”。安全運(yùn)營中心的基本要素應(yīng)包括人、服務(wù)、工具和策略流程四個(gè)方面。

　　4. 安全運(yùn)營度量

　　安全運(yùn)營度量是為了審計(jì)安全運(yùn)營成果而出現(xiàn)的，隨著安全運(yùn)營的深入，我們建議安全運(yùn)營度量分為以下兩個(gè)階段、四個(gè)方面的內(nèi)容。

　　4.1 第一階段

　　未違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等法律法規(guī)；

　　企業(yè)滿足等級(jí)保護(hù)2.0基本要求和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)要求；

　　未發(fā)生較大以上的網(wǎng)絡(luò)安全事件，未被按《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》追責(zé)；

　　始終保持合理的性價(jià)比，安全質(zhì)量和滿意度始終保持在合理區(qū)間。

　　4.2 第二階段

　　能夠?qū)崿F(xiàn)安全智能化能力，即能實(shí)現(xiàn)安全事件主動(dòng)發(fā)現(xiàn)、及時(shí)響應(yīng)和自動(dòng)處置等能力。

　　5. 結(jié)語

　　網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是個(gè)復(fù)雜且持續(xù)的過程，用戶在建設(shè)階段需要牢牢抓住網(wǎng)絡(luò)安全的本質(zhì)是“攻與防兩端力量的較量”這一特征，通過借鑒安全運(yùn)營理念，構(gòu)建起安全管理、安全技術(shù)防護(hù)、安全數(shù)據(jù)分析三位一體的網(wǎng)絡(luò)安全綜合治理框架。同時(shí)，天融信科技集團(tuán)通過26年發(fā)展的沉淀與積累，從存在問題導(dǎo)向和需求導(dǎo)向出發(fā)，將與用戶一起從戰(zhàn)略的高度思考建設(shè)任務(wù)，以體系化思維共同協(xié)作開展“十四五”期間安全建設(shè)工作，為實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)而努力。