构建三位一体的网络安全运维体系

蒋熠，唐涛，陈维新

（中国移动通信集团浙江有限公司，杭州 310051）

1 安全运维转型的挑战和意义

随着业务越来越互联网化、客户信息的价值越来越高，信息的保密性、数据的完整性、业务系统的可用性与网络安全的关系越来越密切，安全威胁所能造成的风险也越来越大，因此网络安全工作将变得更加重要，同时，需要应对以下方面的挑战。

（1） 业务发展诉求：业务数据的完整性，对移动转型诉求及向新业务拓展的影响越来越大，个人信息泄漏的风险越来越大。

（2） 技术发展挑战：移动业务的互联网化使得业务数据更多被暴露在互联网上，面临了更多的威胁，新技术的应用打破了网络管理边界，防护能力不足。

（3） 安全合规性要求：国家层面成立网信办，网络安全上升为一把手工程，需满足国家监管部门的安全合规性检查要求。

（4） 客户安全需求：安全防护的深度越来越深，范围越来越广，从简单防火墙到7层全方位安全防护，应对拒绝服务、病毒、入侵等各种安全威胁。

（5） 安全运维挑战：对专业的横向/纵向分层运维模式已不能满足安全高效、灵活及价值导向的要求；面向设备的安全运维方式，缺乏标准化、流程化及规范化的体系指导。

网络安全转型不仅是在某一领域进行突破，更重要的是对安全管理体系进行重构，将业务/系统运维 、安全威胁治理、对外安全能力输出3种不同的体系（诉求、要求或需求均不一）统一化，建立三位一体化的安全运维新体系。对安全管理体系进行重构，促进安全运维部门从合规性建设向安全治理转型，从技术导向向服务导向转型，从成本中心向价值中心转型，全方位提升安全管理水平。

2 安全运维体系的构建和实施思路

安全运营的转型实质上要解决的是到底需要运营什么？因此，中国移动通信集团浙江有限公司（以下简称：中国移动浙江公司）基于三位一体的运维体系的思路提出了SecOps的概念，来推动安全工作的整体转型。通过对人员、产品、流程等方面的转变，将安全工作向安全服务进行转变，来满足安全运营框架提出的4种框架，进而实现安全运维向安全运营的转型。

SecOps是一个管理框架，借助安全服务、安全能力及4P的有效结合，为网络安全管理落地提供保障，通过安全与运维二者协同工作将安全能力服务化来满足内部客户和外部客户的安全需求。其中：安全服务是为客户创造安全价值的一种手段，为内部客户和外部客户交付满足其安全需求的结果；安全能力是提供安全服务所需的人员技能或产品功能；4P是提供安全服务所需要的人员（People）、产品（Product）、流程 /制度（Process）、合作伙伴（Partner），如图1所示。

图1 SecOps管理框架示意图

将业务/系统运维 、安全威胁治理、 对外安全能力输出3种不同的体系（诉求、要求或需求均不一）统一化，建立三位一体化的安全运维新体系，全方位提升安全管理水平。通过安全与运维二者协同，借助安全服务、安全能力及4P的有效结合，为网络安全管理落地提供保障，从而满足内部客户和外部客户的安全需求。同时，以一个个的安全服务为最小运营单位，组织所需要的人员角色、产品工具、流程规范以及合作伙伴，高效、灵活的向内外部客户提供高质量的安全服务。将类似的安全能力组成安全能力族，进行集中建设和管理，在生命周期的各个阶段，当安全服务需要时，可被不同的安全服务调用。

3 安全运维体系主要内容

3.1 人员/组织建设

目前人员组织在工作中存在以下问题。

（1） 缺乏专职人员进行职能管理，造成安全工作各个中心分散管理的现状，流程执行无法统一。

（2） 安全类防护处在各专业分散建设的模式，难以形成集中化运营的能力，防护效率较低。

（3） 缺乏对地市网络安全工作的支撑和管理。

在SecOps安全服务保障体系架构中，借鉴了阿米巴经营组织模式，采用“量化分权”的原则将安全工作映射到安全服务中，以服务为单位组织日常网络安全活动，并由安全服务经理负责对服务的规划、执行及考核工作。

为了更好的发挥阿米巴模式的管理效果，我们需要从以下方面进行改进。

（1） 人员发展：建立服务和技术两条发展路径，服务条线负责规划、设计及运营服务，技术条线负责技术能力的储备和提升。

（2） 工作模式：安全服务条线负责向客户交付服务，安全服务条线按需融合原有职能岗位，并重新定义服务岗位职责，安全服务经理对交付服务的质量负责。

（3） 人员技能：人员技能向专业化、集中化转变，实现人员技能纵深发展，技术关注领域更加集中，技术经理负责人员技能的提升和整合负责。

人员/组织建设，打破现有职能管理壁垒，基于服务和产品实现现有工作模式向服务模式转型，人员发展多元化发展，人员技能纵深化发展，如图2所示。

3.2 产品/技术建设

图2 人员/组织转型模式

产品的转型是整个转型的核心，产品需要打通安全管理工作和运维工作之间的壁垒，实现安全管理工作和安全运维工作的有序对接，完成网络安全管理工作的转型，规划设计了“一池两平台”的安全服务能力建设和保障框架，围绕“能力建设、能力转化、能力输出”为核心，以分散建设转向集中建设为原则，保障产品向服务化、云化、大数据化进行转变，实现与云平台的全面融合。最终保障安全运营工作的转型，如图3所示。

图3 “一池两平台”框架示意图

3.3 流程/制度建设

突破安全技术运维的局限，从对安全设备、系统的运维支撑，过渡到关注安全服务的有效交付，同时通过安全运营流程的目标、活动、角色确保安全服务管控和测量。所以流程体系建设包括两方面建设：一是安全本身的制度、规范要求建设，二是安全服务运营流程建设。

为达到安全服务的有效交付，从面向设备支撑的流程改造成面向以服务为导向，以客户为中心的端到端流程。根据移动安全运维实际，选取了ISO27001的14个控制域下的相应控制要求，在生命周期各阶段，梳理出需要的制度/规范文档，以风险控制点的方式来完成网络安全管理的目标，如图4所示。

为确保安全服务产品的持续、稳定运营，需建立一套基于安全服务运营流程的运作机制，具体包括安全事件流程、安全问题流程、安全变更流程、安全配置流程、安全发布流程、安全知识库管理流程以及安全服务台等，如图5所示。

通过安全运营流程建设，可以提升公司的安全服务水平和提高安全服务运营效率，在满足公司内外部安全需求的同时，为公司提供性价比更高的安全服务支持，从而也确保安全服务产品的高效运转，缩减安全服务运营成本、提高安全服务产品盈利能力。

图4 安全制度/规范体系建设架构图

3.4 合作伙伴生态圈建设

改变供应商合作模式，共同打造网络安全服务平台，为客户共同创造价值，实现合作共赢的网络安全生态圈。

安全离不开合作伙伴的支持，需要与合作伙伴建立全新的合作模式，基于网络安全服务平台，为内部客户和外部客户提供安全服务，打造网络安全生态圈，如图6所示。

合作伙伴分为服务合作伙伴和设备合作伙伴，作为安全服务提供者，中国移动浙江公司需要基于网络安全服务平台进一步整合合作伙伴的产品和服务，并像内部和外部客户提供特色安全服务。

4 实际应用效果

图5 安全服务运营流程图

为了做好相关防护工作，中国移动浙江公司根据本项目的思路建立较为完备的网络安全体系，如“一二一”网页防篡改体系、“三三”DDoS综合防护体系、DNS劫持防护体系等，针对网页篡改、安全事件封堵、流量清洗及域名劫持处置等4类危害性较大的场景建设了一键式应急系统，并提供给监控一线使用，将应急处理时间缩短到2 min以内，极大的提升了应急效率。

建立“一二一”网页防篡改体系，根据工作的特点，结合网页防篡改的最新技术手段，中国移动浙江公司网络部针对高风险的网页篡改威胁部署了完整的监控及治理体系，包括一类防护、两类监控、一类快速处置手段，简称“一二一”网页防篡改体系。

图6 合作伙伴生态圈

建立“三三”DDoS综合防护体系。为了做好防DDoS攻击保障工作，中国移动浙江公司全面梳理了各个业务系统，分别从3个层次增强对DDoS攻击的检测、防护和处置能力，实现了确保重点、统一调度、一键清洗的能力。

5 总结

网络安全已经上升到国家战略层面，企业也进一步加大了对网络安全的主抓力度，如何落实主管部门的安全合规性要求，是公司网络安全工作亟待解决的问题，同时，系统的IT化互联网化，数据安全更加重要，需要全方位的网络安全保护。

SecOps给公司网络安全工作的转型提供了更切实有效的进行落地的指导，通过人员/组织、技术、流程及合作伙伴的转型和建设，以安全服务的方式向内外部客户创造价值，一方面打破了内部网络安全分散建设，各自为政的局面，另一方面，让客户可以按照业务需求灵活的调用安全服务，提供有效保障，提高了工作效率和效果。

SecOps是一种全新的管理模式尝试，为在中国移动各个省公司更加切实、有效的落实国家、企业网络安全要求提供了良好的借鉴意义。