北斗安全运营中心 > 安全运营需求与分析

安全运营提升安全新境界

作者:启明星辰 2019-09-02

安全从运维到运营预示新的质变

网络信息技术的快速推陈出新,不仅使得网络安全技术不断创新,模式创新也势必持续同步跟进,以解决技术和管理的整体连贯协调不足所带来的防护缺失。

在信息安全建设的先期,很多行业企业为满足信息安全基本的合规性要求,通过购买软硬件设备、设立岗位和部门,部署和管控系统,并进行日常维护,来内求安全外应检查。人们越来越发现,这种靠堆砌产品和服务以及简单粗略的管理,随着云物移大智等新技术的深度发展与融合,以及智能化手段的应用,安全环境发生了重大改观,系统日益复杂,业务规模不断扩大,业务关联性和架构复杂性、信息资产和数据总量成倍增加,加之网络防护边界日益模糊等因素,导致安全威胁随之陡然加大,过去还勉强可用的方法已然显得力不从心、难以为继。

新的环境召唤着新的安全理念和安全举措。在4·19网络安全与信息化座谈会上,习近平总书记提出,网络安全是整体的而不是割裂的;网络安全是动态的而不是静态的;网络安全是开放的而不是封闭的;网络安全是相对的而不是绝对的;网络安全是共同的而不是孤立的。要树立正确的网络安全观。加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

按此要求,网络安全保障工作亟需迈上一个新的台阶,突破过去静态的、被动的、孤立的和局部的局限,以解决安全管理与技术安全协同不到位,不断优化及提高其安全能力,建立起持续运营的安全运营体系,从业务系统安全的角度出发,保障业务活动安全稳定,让安全不只停留在“大屏”上,说白了就是把安全从给人看到给人用,从合规满足到能力输送。对安全来说,这是一个重要的突破和质的变化。

在此背景下,安全运营开始逐渐兴起。安全运营是一系列规则技术和应用的集合,目的是要构建整体联动的主动安全防御体系,围绕业务活动场景,实现告警响应处置恢复的闭环,充分使安全要素最优配置,动态地智能化地协同内外资源,保障组织核心业务平稳运行,并持续迭代优化,有效抵御内外部威胁。有学者评论说,安全运营是促进网络安全良性发展,安全建设实际落地的必经之路。

安全运营包括运维,但高于运维,可以说是传统安全建设的集中和升华。近年来,一些机构企业相继建立安全运营团队,一些安全企业也着手建立安全运营中心。安全运营被各方追崇,除上述大环境变化诸多因素之处,一个重要原因在于合规管控的进一步增强。

按照网络安全法要求,新颁布的网络安全等级保护2.0标准,明确对新技术、新应用安全保护对象和安全保护领域的全覆盖,更加突出技术思维和立体防范,注重全方位主动防御、动态防御、整体防控和精准防护,强化“一个中心,三重防护”的安全保护体系,把云计算、物联网、移动互联、工业控制系统、大数据等相关新技术新应用也全部纳入保护范畴。所谓的“一个中心三重防御” ,是指针对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行定制化设计的整体保障体系。其中一个中心就是安全管理中心,而基于安全运营的安全管理中心是其本质,侧重于对设备运行状况、审计数据、安全策略、恶意代码、补丁升级、安全事件等进行集中式的分析与管控。

目前安全运营在技术层面大多采用建立统一的安全管理中心,围绕其融合各类安全资源,包括安全产品和安全数据,集中进行安全态势感知,常规开展安全管理、指挥与调度、事件应急处置、安全监测等活动,依托于安全管理中心开展持续的监控、检测、评估、整改、指挥调度等,形成网络安全运营的闭环管理。当然也有通过企业原有分支机构开展安全运营服务的,有核心企业表示,在一个城市新建一个独立的专用的安全运营中心的目的是为了提升安全运营在地方尤其是用户侧的体验,更好地体现安全运营的专业性。

在实践层面,当前安全运营落地的方式主要有两种,一种是单位建设自己的安全运营体系,另一种是服务外包。对于单位自建安全运营的情况看,形式差别很大,而制约安全运营发展的主要因素,一是缺乏好的商业化工具,二是没有形成统一的安全运营标准,加之专业技能和专业人才不足,虽然单位安全运营建设成效日显,但不足之处也不能回避,有待进一步提升和完善。

安全运营给安全企业带来新的生机

安全运营对网络安全企业来说,意义更是非同寻常。这两年,许多安全厂商像启明星辰、奇安信、绿盟等纷纷组建安全运营中心,把它作为业务突破的新抓手,有的甚至把它列为战略级核心业务。这与很多国际厂商在全球范围投入安全运营中心业务,有着异曲同工的关联。

郑建华院士近期在一次会议上提出,要解决行业防护工作分割的状况,有必要建立国家级的安全专业队伍或企业,用以代管行业的专业安全需求。有国外国际研究报告认为,安全运营的主要载体,威胁监测与主动响应服务将会成为中国最具吸引力的安全服务。Gartner预测,到2019年安全外包服务开销会大幅增长。技术和资源的缺乏,加之威胁复杂度的增加与IT安全人才的短缺,将促使企业用户寻找由安全提供商、电信运营商或其他供应商外部托管的自动化安全服务。尤其是在中端市场,对中小企业而言更是如此。IDC的预测则显示,随着托管安全服务继续朝着托管检测和响应的方向发展,市场范围将继续扩大。到2024年,70%的托管安全服务客户将采用威胁生命周期服务,与2019年的20%相比明显增加。国内一些安全企业的看法是,安全运营在安全市场空间占比未来会接近一半,预计可达上千亿元规模。

这些年,安全企业特别是老牌安全企业一直在苦苦探索转型之路,但效果并不理想。如果不能突破卖产品和边界防护的旧思路,转型就会流于空转。而安全运营的兴起和实践,让企业看到新的亮点和施展专业技术的空间。据了解,仅启明星辰一家就在全国建了二十多个安全运营中心,很快还会扩大到三十多个,就足以说明问题。

安全企业组建第三方独立安全运营中心,以专业产品和服务提供商的身份,直接深入到用户的业务深层,能够更加便捷地获取一线核心运行的信息和数据,更加精准地部署安全策略、应对各种威胁,充分发挥专业队伍的技术和人才优势。对用户而言,不仅节省了大量成本,防护效果也大幅提升,变给我安全到我要安全。由于以业务安全和最佳安全防御为目的,企业第三方安全运营中心会自觉选用最好的方案,整合优质厂家的产品服务资源,这样安全的生态会有助于趋于良性。因此有人认为,在国内安全运营最好的交付方式是服务化交付,未来安全运营服务会大规模爆发。再者安全企业在安全运营实践上,摸索了经验,取得了显著的成绩,对公司的业务贡献率也直线上涨。这一点,在国外早不乏成功的案例。

同时,安全厂商建立安全运营中心,直面一线真实的挑战,自然能够激发其不断创新的动力,采用最先进的技术,比如基于AI技术和机器学习自动化动态识别,并构建关联分析的场景和威胁情报的利用,推进技术创新升级,以此来确保业务和数据安全,帮助用户落实单位安全责任。从用户角度看,用原来的机制和技术手段来增加其安全投入不易,因为其对安全的感知较差,而安全运营能够提升用户的安全感知,再加上大数据和云计算建设,分散建设趋向集中建设,使得用户对安全的预算分配能够达到一个较高的水准。

尽管,企业安全运营现在还算是起步和探索阶段,但这种尝试不论是对行业也好,对安全企业也好,都正在或更将产生积极深远的影响,安全保障和安全产业也许因之拾级而上,翻开新的一页,自然值得各方深度关切。


(本文刊登于《中国信息安全》杂志2019年第8期)

上一篇 下一篇

服务热线

400-624-3900