構建三位一體的網絡安全運維體系

蔣熠，唐濤，陳維新

（中國移動通信集團浙江有限公司，杭州 310051）

1 安全運維轉型的挑戰和意義

隨著業務越來越互聯網化、客戶信息的價值越來越高，信息的保密性、數據的完整性、業務系統的可用性與網絡安全的關系越來越密切，安全威脅所能造成的風險也越來越大，因此網絡安全工作將變得更加重要，同時，需要應對以下方面的挑戰。

（1） 業務發展訴求：業務數據的完整性，對移動轉型訴求及向新業務拓展的影響越來越大，個人信息泄漏的風險越來越大。

（2） 技術發展挑戰：移動業務的互聯網化使得業務數據更多被暴露在互聯網上，面臨了更多的威脅，新技術的應用打破了網絡管理邊界，防護能力不足。

（3） 安全合規性要求：國家層面成立網信辦，網絡安全上升為一把手工程，需滿足國家監管部門的安全合規性檢查要求。

（4） 客戶安全需求：安全防護的深度越來越深，范圍越來越廣，從簡單防火墻到7層全方位安全防護，應對拒絕服務、病毒、入侵等各種安全威脅。

（5） 安全運維挑戰：對專業的橫向/縱向分層運維模式已不能滿足安全高效、靈活及價值導向的要求；面向設備的安全運維方式，缺乏標準化、流程化及規范化的體系指導。

網絡安全轉型不僅是在某一領域進行突破，更重要的是對安全管理體系進行重構，將業務/系統運維 、安全威脅治理、對外安全能力輸出3種不同的體系（訴求、要求或需求均不一）統一化，建立三位一體化的安全運維新體系。對安全管理體系進行重構，促進安全運維部門從合規性建設向安全治理轉型，從技術導向向服務導向轉型，從成本中心向價值中心轉型，全方位提升安全管理水平。

2 安全運維體系的構建和實施思路

安全運營的轉型實質上要解決的是到底需要運營什么？因此，中國移動通信集團浙江有限公司（以下簡稱：中國移動浙江公司）基于三位一體的運維體系的思路提出了SecOps的概念，來推動安全工作的整體轉型。通過對人員、產品、流程等方面的轉變，將安全工作向安全服務進行轉變，來滿足安全運營框架提出的4種框架，進而實現安全運維向安全運營的轉型。

SecOps是一個管理框架，借助安全服務、安全能力及4P的有效結合，為網絡安全管理落地提供保障，通過安全與運維二者協同工作將安全能力服務化來滿足內部客戶和外部客戶的安全需求。其中：安全服務是為客戶創造安全價值的一種手段，為內部客戶和外部客戶交付滿足其安全需求的結果；安全能力是提供安全服務所需的人員技能或產品功能；4P是提供安全服務所需要的人員（People）、產品（Product）、流程 /制度（Process）、合作伙伴（Partner），如圖1所示。

圖1 SecOps管理框架示意圖

將業務/系統運維 、安全威脅治理、 對外安全能力輸出3種不同的體系（訴求、要求或需求均不一）統一化，建立三位一體化的安全運維新體系，全方位提升安全管理水平。通過安全與運維二者協同，借助安全服務、安全能力及4P的有效結合，為網絡安全管理落地提供保障，從而滿足內部客戶和外部客戶的安全需求。同時，以一個個的安全服務為最小運營單位，組織所需要的人員角色、產品工具、流程規范以及合作伙伴，高效、靈活的向內外部客戶提供高質量的安全服務。將類似的安全能力組成安全能力族，進行集中建設和管理，在生命周期的各個階段，當安全服務需要時，可被不同的安全服務調用。

3 安全運維體系主要內容

3.1 人員/組織建設

目前人員組織在工作中存在以下問題。

（1） 缺乏專職人員進行職能管理，造成安全工作各個中心分散管理的現狀，流程執行無法統一。

（2） 安全類防護處在各專業分散建設的模式，難以形成集中化運營的能力，防護效率較低。

（3） 缺乏對地市網絡安全工作的支撐和管理。

在SecOps安全服務保障體系架構中，借鑒了阿米巴經營組織模式，采用“量化分權”的原則將安全工作映射到安全服務中，以服務為單位組織日常網絡安全活動，并由安全服務經理負責對服務的規劃、執行及考核工作。

為了更好的發揮阿米巴模式的管理效果，我們需要從以下方面進行改進。

（1） 人員發展：建立服務和技術兩條發展路徑，服務條線負責規劃、設計及運營服務，技術條線負責技術能力的儲備和提升。

（2） 工作模式：安全服務條線負責向客戶交付服務，安全服務條線按需融合原有職能崗位，并重新定義服務崗位職責，安全服務經理對交付服務的質量負責。

（3） 人員技能：人員技能向專業化、集中化轉變，實現人員技能縱深發展，技術關注領域更加集中，技術經理負責人員技能的提升和整合負責。

人員/組織建設，打破現有職能管理壁壘，基于服務和產品實現現有工作模式向服務模式轉型，人員發展多元化發展，人員技能縱深化發展，如圖2所示。

3.2 產品/技術建設

圖2 人員/組織轉型模式

產品的轉型是整個轉型的核心，產品需要打通安全管理工作和運維工作之間的壁壘，實現安全管理工作和安全運維工作的有序對接，完成網絡安全管理工作的轉型，規劃設計了“一池兩平臺”的安全服務能力建設和保障框架，圍繞“能力建設、能力轉化、能力輸出”為核心，以分散建設轉向集中建設為原則，保障產品向服務化、云化、大數據化進行轉變，實現與云平臺的全面融合。最終保障安全運營工作的轉型，如圖3所示。

圖3 “一池兩平臺”框架示意圖

3.3 流程/制度建設

突破安全技術運維的局限，從對安全設備、系統的運維支撐，過渡到關注安全服務的有效交付，同時通過安全運營流程的目標、活動、角色確保安全服務管控和測量。所以流程體系建設包括兩方面建設：一是安全本身的制度、規范要求建設，二是安全服務運營流程建設。

為達到安全服務的有效交付，從面向設備支撐的流程改造成面向以服務為導向，以客戶為中心的端到端流程。根據移動安全運維實際，選取了ISO27001的14個控制域下的相應控制要求，在生命周期各階段，梳理出需要的制度/規范文檔，以風險控制點的方式來完成網絡安全管理的目標，如圖4所示。

為確保安全服務產品的持續、穩定運營，需建立一套基于安全服務運營流程的運作機制，具體包括安全事件流程、安全問題流程、安全變更流程、安全配置流程、安全發布流程、安全知識庫管理流程以及安全服務臺等，如圖5所示。

通過安全運營流程建設，可以提升公司的安全服務水平和提高安全服務運營效率，在滿足公司內外部安全需求的同時，為公司提供性價比更高的安全服務支持，從而也確保安全服務產品的高效運轉，縮減安全服務運營成本、提高安全服務產品盈利能力。

圖4 安全制度/規范體系建設架構圖

3.4 合作伙伴生態圈建設

改變供應商合作模式，共同打造網絡安全服務平臺，為客戶共同創造價值，實現合作共贏的網絡安全生態圈。

安全離不開合作伙伴的支持，需要與合作伙伴建立全新的合作模式，基于網絡安全服務平臺，為內部客戶和外部客戶提供安全服務，打造網絡安全生態圈，如圖6所示。

合作伙伴分為服務合作伙伴和設備合作伙伴，作為安全服務提供者，中國移動浙江公司需要基于網絡安全服務平臺進一步整合合作伙伴的產品和服務，并像內部和外部客戶提供特色安全服務。

4 實際應用效果

圖5 安全服務運營流程圖

為了做好相關防護工作，中國移動浙江公司根據本項目的思路建立較為完備的網絡安全體系，如“一二一”網頁防篡改體系、“三三”DDoS綜合防護體系、DNS劫持防護體系等，針對網頁篡改、安全事件封堵、流量清洗及域名劫持處置等4類危害性較大的場景建設了一鍵式應急系統，并提供給監控一線使用，將應急處理時間縮短到2 min以內，極大的提升了應急效率。

建立“一二一”網頁防篡改體系，根據工作的特點，結合網頁防篡改的最新技術手段，中國移動浙江公司網絡部針對高風險的網頁篡改威脅部署了完整的監控及治理體系，包括一類防護、兩類監控、一類快速處置手段，簡稱“一二一”網頁防篡改體系。

圖6 合作伙伴生態圈

建立“三三”DDoS綜合防護體系。為了做好防DDoS攻擊保障工作，中國移動浙江公司全面梳理了各個業務系統，分別從3個層次增強對DDoS攻擊的檢測、防護和處置能力，實現了確保重點、統一調度、一鍵清洗的能力。

5 總結

網絡安全已經上升到國家戰略層面，企業也進一步加大了對網絡安全的主抓力度，如何落實主管部門的安全合規性要求，是公司網絡安全工作亟待解決的問題，同時，系統的IT化互聯網化，數據安全更加重要，需要全方位的網絡安全保護。

SecOps給公司網絡安全工作的轉型提供了更切實有效的進行落地的指導，通過人員/組織、技術、流程及合作伙伴的轉型和建設，以安全服務的方式向內外部客戶創造價值，一方面打破了內部網絡安全分散建設，各自為政的局面，另一方面，讓客戶可以按照業務需求靈活的調用安全服務，提供有效保障，提高了工作效率和效果。

SecOps是一種全新的管理模式嘗試，為在中國移動各個省公司更加切實、有效的落實國家、企業網絡安全要求提供了良好的借鑒意義。