智能运营，安全赋能——安全运营创新实践分享

张旭：我今天和各位分享的内容叫做《智能运营，安全赋能--安全运营创新实践分享》。非常荣幸今天能参加这样一个民航信息化的高层论坛，绿盟科技是做信息安全领域的一家安全公司。我们为什么会非常重视这次活动？是因为通过我们日常工作，深刻体会到现在真正阻碍信息化发展的不是我们的信息化的技术，刚才各位领导也看到了有这么多的优秀企业为我们分享了很好的民航信息化的技术。现在真正有可能阻碍民航信息化发展的是信息安全方面的问题！所以今天我们也就信息安全方面的研究成果和各位领导做汇报。

我们为什么说安全才是阻碍信息化的重要一点呢？从我们看到的情况，很多企业，很多单位在安全方面还是经常会遇到一些问题。我们说安全建设要做一个长效的机制，特别是对于民航企业来说，很多企业在国家会被定为关键信息基础设施，有相应的安全要求，但是我们也看到一些情况很多企业在安全方面的投入是不足以做到安全防护水平的。今年我们曾经做了几个企业的调研，这是从企业里调研出来的结果，这是比较大的一个安全集团。可以看到他们有76%的二级单位对三级单位的安全运行不了解，100%采用外包运营的单位没有认为被机关进行监管，有很多的安全管理人员是缺乏安全意识、人员能力配备也有不足、流程也有不规范的等等情况。通过这几年的护网包括各种各样的安全检验我们都看到各种企业存在安上的问题。

大型企业在安全防护上主要面临着什么样的威胁和挑战？我们可以总结为：一个字是慢。利用紧急漏洞的攻击行为一般在10-12个小时才会被监听到，这还算是比较合格的安全运维机构的安全能力水平，而通过护网我们看到攻击方的情况是怎么样？从扫描到非法获取主机权限只用了8分钟，攻击方只需要七八分钟就得手的攻击事件，而防守方要在10-12个小时之后才有可能监测到，这一快和一慢的对比就是我们现在面临的各种各样的安全挑战的体现。

从攻防的角度来看我们如何做企业的安全防护？从安全防护的需求角度可以分成对主机与业务系统的安全防护，这是企业安全防护的最核心；外围的需要对网络进行防护，对终端进行防护。对这一系列核心IT资产去进行防护的过程，要做到企业的信息管理、威胁管理、风险管理，而整个体系化的安全防护需要具有管理制度、技术体系和运维体系的支撑。如何做到有效的防护？我们说要做到两个闭环：日常的安全运维过程中要做到安全运维管理的闭环；而一旦发生了信息安全事件的时候要能够做到安全事件的处置闭环。作为两个闭环的基础保障，我们说要做到两个高效：一个是安全漏洞的闭环组织高效，期望各个企业能够做到小时级的闭环处置，也就是说当网络上发现某一个业务系统存在安全漏洞的时候能够在小时级实现漏洞的修补和防护；另外一个是安全威胁分钟级闭环处置，就是当发现安全攻击行为的时候能够以分钟级的速度对这个攻击行为进行遏制和阻断。这就是我们看到的安全防护的需求。

接下来向各位领导汇报绿盟科技做大型企业安全防护运营的思路。

我们说从一个大型企业的运维规划上应该能够做到安全需求的分析、安全能力的差距分析、落实新的安全管控措施以及验证与度量。可能作为民航企业的信息中心，现在很多是做需求分析、能力差距分析、落实新的安全控制措施，但是我们要提的核心观点就是整个体系的高效运转、有效运转靠的是什么？靠的是最终的验证度量，闭环的前提也就是要能够做到验证度量。

如何去做？第一步要先去做安全需求分析，明确安全隐患与风险，能够了解资产变更产生的安全风险，比如我们又新上了什么样的业务系统，能够发现系统漏洞产生的业务风险，并且能够发现系统威胁产生的风险。通过我们的持续安全运营，持续的安全咨询与攻防演练，发现这些安全问题，才能够有效解决这些安全问题。

第二步做安全的能力差距分析，对照现有的标准与安全框架明确现存的能力差距。我们国家对于网络信息安全也是非常地重视，现在已经发布的等级保护2.0的相关标准，在今年的晚些时候会发布关键信息基础设施安全防护的一些相关标准，这些标准其实都是指导企业去明确自身的安全差距的重要手段。

第三步落实安全控制措施，根据安全能力差距分析的结果，明确技术、运维、管理上需要更新的内容与实施方案，在技术支撑、运营支撑、配套的流程与职能分工等领域去开展 安全的建设工作，这些安全建设工作网络的厂商都可以为我们广大的用户做帮助与支撑。

第四步是日常运营对控制措施进行度量和追踪。这一步也是我们所说整体安全工作效果呈现的最关键的一步，我们说安全运维工作虽然工作在平时，我们只能看到我们部署什么样的安全设备，但是这些安全设备与我们的日常安全运维是否有效，更多需要做度量与追踪。绿盟科技也在持续地帮助我们的用户去因为安全运维的度量与追踪，实现网络安全的量化考核和横向对比，通过量化考核既可以体现出信息化信息安全的工作成果，也可以有效地发现自身的不足。

整体上可以分成后台的安全运营中心，对整体的网络安全情况进行基础技术的支撑；有一个安全的中台，通过安全运营的支撑中台把基础的安全设备产生的各种各样的数据，它们各种各样的能力整合起来形成一个整合的安全分析安全运营的支撑；前台通过安全风险的检测与控制对整体的网络进行安全防护。

而整个安全运营支撑的核心就是中台的智能安全运营平台。通过智能安全运营平台，我们可以跨度地发现安全威胁，做到安全威胁的闭环管理、安全事件的快速处置、日常运营的持续监控。我们可以说安全运营中台就是安全运营技术的支撑平台，也是安全响应效率提升的平台。

通过这个安全中台把所有的安全数据收集起来，面向网络运营和安全攻防做大数据的分析，可以有效提高安全运营的精度，告警的准度和响应的速度。在这里我们可以举两个例子，这是我们在某省移动做他们的运营商覆盖网络监控的实例，我们可以在一天之内数千万条告警日志中发现在7分钟之内发生的攻击行为，这些攻击行为只有5条告警日志，如果做过安全运营的领导专家可以知道对数千万条告警日志是不可能做人工分析的，只有靠我们所说的安全攻防、安全大数据分析才有可能在数千万条告警日志中发现在7分钟之内的5条告警日志并且把它们关联起来形成有效的攻击事件的分析。另外通过分析能力快速发现高危的资产，像再一个民航系统中少则数千、多则数万个资产，哪些资产存在安全隐患，哪些资产存在安全问题也是阻碍日常高效运维的一点。所以我们可以通过这样的一个快速分析，准确告警高危的资产快速实现闭环的响应。

接下来汇报一个安全运营的事件。绿盟科技一直参与"数字广东"的工作，我们和数字广东集团、腾讯云一起实现"数字广东"这样一个数字城市的安全运维工作，帮助他们实现安全评估、重大保障、应急机制以及威胁预警等一系列的安全运营机制。通过我们的安全运营实现了安全评估与差距分析，帮助他们发现了日常安全运营中存在的安全问题。并且在日常运维中实现了安全事件的闭环处置。通过我们的安全运营有效减少了安全事件的发生数量，减少安全事件带来的影响。

接下来介绍一下绿盟科技。

绿盟成立于2000年，现在是一家具有3000多员工的网络安全企业，主要在网络攻防与数据安全等一系列的网络安全领域为广大客户提供高效的安全运营和安全运维的支撑。

今天向各位领导汇报的是我们在关键信息基础设施，民航领域去做安全运营和安全运维的实践，希望能够利用我们的能力为民航信息化保驾护航，这是我今天汇报的内容，谢谢各位。

 

【PDF】智能运营，安全赋能——安全运营创新实践分享