構建“VOSM”安全即服務管理體系

裴力

一、 背景

隨著云計算、大數(shù)據(jù)、5G、工業(yè)互聯(lián)網(wǎng)等數(shù)字化行業(yè)的大力發(fā)展，各個行業(yè)場景、各類業(yè)務發(fā)展要求運營商能快速、全面、統(tǒng)一應對安全建設需求。

（一）安全即服務是未來發(fā)展的必然趨勢

黨的十九大五中全會明確指出，要”堅持總體國家安全觀，實施國家安全戰(zhàn)略，維護和塑造國家安全，筑牢國家安全屏障”。黨中央、國務院要求加快完善制定《云計算服務安全評估辦法》，工信部信息通信網(wǎng)絡與信息安全規(guī)劃文件指出要強化網(wǎng)絡責任，構建網(wǎng)絡安全態(tài)勢檢測與感知體系、強化安全標準體系建設。

（二）安全即服務是未來市場戰(zhàn)略高地

一方面國家戰(zhàn)略層面提出堅定不移建設網(wǎng)絡強國、數(shù)字中國、智慧社會。另一方面， ”十四五”期間，中國網(wǎng)絡安全產(chǎn)業(yè)呈高速增長態(tài)勢，中國信通院預計2021年產(chǎn)業(yè)規(guī)模約為1702億元，據(jù)行業(yè)分析機構IDC相關報告顯示2021年上半年僅中國IT安全服務市場整體收入約為37.42億元，市場前景廣闊，發(fā)展?jié)摿薮蟆?/p>

（三）安全即服務體系是提升安全效能的重要抓手

當前網(wǎng)絡安全產(chǎn)品與運營體系存在基礎能力分散、體系薄弱，管理模式不完善等問題，安全管理水平無法匹配市場安全需求的多樣性和復雜性。在政務云市場，網(wǎng)絡安全事件層出不窮，涉及敏感信息的政務系統(tǒng)每天面臨大量攻擊。平臺內(nèi)獨立分割的單點安全防護能力越來越難以應對如此復雜的安全環(huán)境，安全管理壓力不斷增大。復雜的垂直行業(yè)項目架構更需要穩(wěn)健的安全保障，NFV、MEC等新技術使網(wǎng)絡邊界變得模糊，網(wǎng)絡攻擊形態(tài)多樣。

綜上背景，提出“VOSM”value-oriented securitymanagement的安全服務管理體系。

二、模式實施

構建“VOSM安全即服務”管理體系，從“架構、治理、運行、價值變現(xiàn)”四個層次出發(fā)歸納實現(xiàn)了安全即服務管理模式，促進了安全模式的迭代，賦能市場的轉(zhuǎn)型。 “穩(wěn)架構、嚴治理、精運營”三個維度是從體系化出發(fā)，提升安全防控質(zhì)量： ”提價值”從市場需求出發(fā)構建安全產(chǎn)品化實現(xiàn)安全服務價值的提煉。

（一）安全架構設計模式變革

1.安全需求精確轉(zhuǎn)換

云業(yè)務支撐初期，實現(xiàn)網(wǎng)絡視角向用戶視角演進，通過“問需求-問痛點-問剛需一問喜好”四問法協(xié)助用戶全面梳理、精準描述安全需求，借鑒“云立方體四維模型”進行云形態(tài)選擇，四維度分別為數(shù)據(jù)應用的內(nèi)外部界限、私有開放化程度、應用服務外包自供狀態(tài)、邊界化范圍，引導用戶進行安全架構和產(chǎn)品的選擇。為后續(xù)項目安全規(guī)劃鋪平道路。

2.架構范式管理模式突破

從應用特點及客戶安全需求出發(fā)考慮平臺架構、控制模型、合規(guī)模型的映射和適配，針對不同的模型，匹配合適的工具、安全防護模式和管控機制，讓用戶的選擇清晰簡易合理;云計算技術安全控制模型常用的包括物理平臺安全防護，計算存儲層的主機防火墻、日志管理加密、HIDP/HIPS等，可信計算層，網(wǎng)絡層的DDOS、防火墻、DPI，管理層的補丁、監(jiān)控、配置，信息層的數(shù)據(jù)庫監(jiān)控加密，應用層的掃描器.waf等。合規(guī)模型包括PCI、HIPPA、GLBA、SOX等;從傳統(tǒng)IT內(nèi)生單功能單模塊的防控模式向應用平臺聯(lián)動設計適配轉(zhuǎn)換。

3.安全能力多維評估

創(chuàng)建安全能力成熟度評估模型，圍繞安全建設、制度、理念、工具及運營五個管理維度制定對應評估表，圍繞建設安全成熟度、安全管理成熟度、安全文化成熟度、安全IT化成熟度及安全人員專業(yè)化成熟度制定評估模型，對客戶的安全整體情況進行全面掌控;成熟度評估選項包含信息安全方針的落實、標準制度的執(zhí)行情況、信息化程度、容災及業(yè)務連續(xù)性程度、組織文化意識與安全契合度等。通過提煉管理維度、制定分級級別、評估預判風險、制定防控策略這幾個方面來為客戶安全提供服務。

（二）安全治理管理模式變革

1.安全邊界清晰規(guī)劃

安全服務不同于常規(guī)業(yè)務服務，安全治理邊界職責的清晰切分至關重要，能幫助客戶和運營商在面對復雜多變的業(yè)務安全管控需求下分域治之，協(xié)同處置，減少邊界責任的推諉，控制合同履行時的SLA違約和成本上升風險，對于laaS、PaaS、SaaS不同層級分為用戶、云服務提供商、云代理者、云審計者、云基礎網(wǎng)絡運營者等不同角色，設置物理安全、主機安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全、安全管理、安全運維等幾個維度的安全控制點，明確指責邊界和協(xié)同方式。

2.安全建設規(guī)范輸出

安全建設交付階段的嚴格管控為后續(xù)平臺的運作奠定了基石，安全管控“六維法”全面沉淀安全管控機制，從安全事件管理、安全服務管理、安全審計管理、安全設備管理、安全過程管理、安全測評管理等六個維度規(guī)劃了輸入標準-管控手段-評估標準一交付結(jié)果，形成一套標準化的治理方法，以服務的方式輸出客戶，實現(xiàn)面向各類安全需求的全面掌控;

安全設備管理通過標準化運維管理，保證設備可用性、冗余性、功能性滿足上層應用需求，評價指標為設備可用性、業(yè)務中斷時長、故障處理時長、資料完整性;輸出包含安全事件管理規(guī)范、監(jiān)控操作手冊、安全事件處置手冊、安全防護報告、安全保障方案及安全應急演練方案;

安全工程管理通過實施安全設備工程，保證設備達到云平臺運維標準，擴展和優(yōu)化安全能力，評價指標包括基礎資料完整性、工程實施長度，輸出物包括安全工程管理規(guī)范、安全資產(chǎn)清單、關鍵配置計現(xiàn)、安全工程進展表;

安全事件管理實現(xiàn)安全事件的事前、事中、事后的閉環(huán)管理，輸入包括態(tài)勢感知、DDOS. IPS、WAF、防篡改、蜜罐、防病毒等數(shù)據(jù)，匹配對應告警規(guī)則和觸發(fā)應急機制;

安全服務管理遵循服務目錄，對云租戶提供標準化、可計量、可回溯的安全服務，兼顧滿足租戶個性化服務需求，評價指標包括服務交付市場、服務持續(xù)有效性、客戶滿意度，輸出物包括安全服務目錄、安全服務管理規(guī)范、安全服務標準化交付手冊、安全服務報告、租戶后評估報告;

安全審計管理通過閉環(huán)管理保證云平臺所有運維行為的合規(guī)性，輸入包含堡壘機、VPN、設備操作日志、態(tài)勢感知、UEBA工具，輸出包括安全審計管理規(guī)范、審計報告、審計結(jié)果整改記錄;

安全測評管理使云平臺的安全整體架構符合各類評測標準，并通過測評機構審查監(jiān)管，輸出物包括符合性評估表、評估舉證材料、整改記錄及監(jiān)管記錄;

3.安全人才持續(xù)孵化

安全即服務人才培養(yǎng)需要細化培養(yǎng)路徑和技能評價方法，快速構建安全梯隊的孵化體系，在實踐過程中對于新型安全服務人才主要側(cè)重IT能力、安全能力、CT能力、安全規(guī)劃實施能力及客響能力的綜合性培養(yǎng)，培養(yǎng)方式通過課程、訓戰(zhàn)、項目商機支撐和能力評估實現(xiàn);人才構建的目標是圍繞國家、行業(yè)和公司內(nèi)安全標準和要求，建立與安全合作方、與客戶良好的溝通交流渠道，提升協(xié)作效率。

（三）安全運行處置模式變革

1.安全運維精細運作

夯實安全運維管控流程，提煉核心支撐方法，專注于系統(tǒng)安全事件處置、故障響應、變更控制等流程，為客戶提供一套高質(zhì)量的管理協(xié)同方案，包含流程的設計、組織的協(xié)同處置、電子化告警管控平臺的輔助，實現(xiàn)安全處置到安全服務的演進。通常運維支撐體系可以包含故障/事件觸發(fā)后的三層支撐體系，一線值班團隊通報處置、二線運維團隊分析優(yōu)化、三線專業(yè)研發(fā)深層研討;故障管理和事件變更流程為兩大核心流程，需要根據(jù)團隊的特性和業(yè)務模式進行適配和優(yōu)化調(diào)整。

2.安全風險聯(lián)動防控

安全風險聯(lián)動防控是安全即服務中至關重要的一環(huán)，安全風險防控聯(lián)動模型的設計為客戶和運營商提供了一套全生命周期風險管理的方法，包含安全風險識別、信息鏈串聯(lián)、聯(lián)動腳本設計到最后的響應閉環(huán)執(zhí)行。從專注單點防控向?qū)Ｗ踩?lián)動的多點體系化防控轉(zhuǎn)變，從單一安全運維向全生命周期管控轉(zhuǎn)變。

（四）安全即服務價值變現(xiàn)模式探索

1.安全專題咨詢

在與政企類客戶商機支撐的溝通過程中發(fā)現(xiàn)用戶往往缺乏專業(yè)的安全運維團隊，在面對一些突入起來的需求時往往手足無措，例如安全審計檢查、深層安全防控方案設計、安全設備參數(shù)優(yōu)化等，根據(jù)用戶的需求進行總結(jié)沉淀，將安全專題進行歸類匯總，尋找適合的生態(tài)合作并進行部分能力的內(nèi)化，并為客戶提供專題咨詢服務，實現(xiàn)安全管理能力的價值變現(xiàn)。安全需求主要包含安全攻擊防護、安全重保、等保國密服務、疑難癥結(jié)防控。

2.安全集成遷移

安全集成遷移往往是客戶的又一個需求點，云網(wǎng)協(xié)同模式下需要配備懂安全、網(wǎng)絡、云平臺、數(shù)據(jù)遷移、平臺開發(fā)等多種能力的遷移團隊才能高質(zhì)量的完成該類任務，運營商安全服務團隊具備優(yōu)勢，安全遷移范式提供了完整的步驟和工具快速滿足各類用戶需求。

3.安全等保測評

安全測評管理是基于云平臺整理安全體系，滿足各類國家級監(jiān)管要求的測評活動的統(tǒng)一管理。通過對標準的解讀，強化各類安全管理規(guī)范，整改不符合條目，配合測評機構取證評估。在支撐過程中客戶對于等保測評、云計算服務安全評估、密碼測評需求旺盛，借助項目經(jīng)驗將測評服務模式固化，對外輸出能力實現(xiàn)價值變現(xiàn)。

4.安全模塊構建

安全模塊的構建需求主要分為兩個階段項目初始設計階段及后期新增迭代的安全需求，針對此類場景，依托信安強大全面的安全工具庫可以實現(xiàn)安全模塊靈活的組合封裝，對外實現(xiàn)賦能，同時安全即服務的產(chǎn)品設計全流程管控機制則進一步保證了產(chǎn)品的開發(fā)運營質(zhì)量;

安全即服務產(chǎn)品設計全流程管控機制基于各類網(wǎng)絡安全需求場景聚類分析結(jié)果，開發(fā)設計標準化產(chǎn)品體系，以業(yè)務三同步為抓手，建立覆蓋網(wǎng)絡安全產(chǎn)品與服務業(yè)務全生命周期的開發(fā)評估體系，實現(xiàn)業(yè)務流程與安全流程的有機統(tǒng)一，提升業(yè)務安全運營水平。

作者單位：中國移動通信集團上海有限公司