構建“VOSM”安全即服務管理體系

裴力

一、 背景

隨著云計算、大數據、5G、工業互聯網等數字化行業的大力發展，各個行業場景、各類業務發展要求運營商能快速、全面、統一應對安全建設需求。

（一）安全即服務是未來發展的必然趨勢

黨的十九大五中全會明確指出，要”堅持總體國家安全觀，實施國家安全戰略，維護和塑造國家安全，筑牢國家安全屏障”。黨中央、國務院要求加快完善制定《云計算服務安全評估辦法》，工信部信息通信網絡與信息安全規劃文件指出要強化網絡責任，構建網絡安全態勢檢測與感知體系、強化安全標準體系建設。

（二）安全即服務是未來市場戰略高地

一方面國家戰略層面提出堅定不移建設網絡強國、數字中國、智慧社會。另一方面， ”十四五”期間，中國網絡安全產業呈高速增長態勢，中國信通院預計2021年產業規模約為1702億元，據行業分析機構IDC相關報告顯示2021年上半年僅中國IT安全服務市場整體收入約為37.42億元，市場前景廣闊，發展潛力巨大。

（三）安全即服務體系是提升安全效能的重要抓手

當前網絡安全產品與運營體系存在基礎能力分散、體系薄弱，管理模式不完善等問題，安全管理水平無法匹配市場安全需求的多樣性和復雜性。在政務云市場，網絡安全事件層出不窮，涉及敏感信息的政務系統每天面臨大量攻擊。平臺內獨立分割的單點安全防護能力越來越難以應對如此復雜的安全環境，安全管理壓力不斷增大。復雜的垂直行業項目架構更需要穩健的安全保障，NFV、MEC等新技術使網絡邊界變得模糊，網絡攻擊形態多樣。

綜上背景，提出“VOSM”value-oriented securitymanagement的安全服務管理體系。

二、模式實施

構建“VOSM安全即服務”管理體系，從“架構、治理、運行、價值變現”四個層次出發歸納實現了安全即服務管理模式，促進了安全模式的迭代，賦能市場的轉型。 “穩架構、嚴治理、精運營”三個維度是從體系化出發，提升安全防控質量： ”提價值”從市場需求出發構建安全產品化實現安全服務價值的提煉。

（一）安全架構設計模式變革

1.安全需求精確轉換

云業務支撐初期，實現網絡視角向用戶視角演進，通過“問需求-問痛點-問剛需一問喜好”四問法協助用戶全面梳理、精準描述安全需求，借鑒“云立方體四維模型”進行云形態選擇，四維度分別為數據應用的內外部界限、私有開放化程度、應用服務外包自供狀態、邊界化范圍，引導用戶進行安全架構和產品的選擇。為后續項目安全規劃鋪平道路。

2.架構范式管理模式突破

從應用特點及客戶安全需求出發考慮平臺架構、控制模型、合規模型的映射和適配，針對不同的模型，匹配合適的工具、安全防護模式和管控機制，讓用戶的選擇清晰簡易合理;云計算技術安全控制模型常用的包括物理平臺安全防護，計算存儲層的主機防火墻、日志管理加密、HIDP/HIPS等，可信計算層，網絡層的DDOS、防火墻、DPI，管理層的補丁、監控、配置，信息層的數據庫監控加密，應用層的掃描器.waf等。合規模型包括PCI、HIPPA、GLBA、SOX等;從傳統IT內生單功能單模塊的防控模式向應用平臺聯動設計適配轉換。

3.安全能力多維評估

創建安全能力成熟度評估模型，圍繞安全建設、制度、理念、工具及運營五個管理維度制定對應評估表，圍繞建設安全成熟度、安全管理成熟度、安全文化成熟度、安全IT化成熟度及安全人員專業化成熟度制定評估模型，對客戶的安全整體情況進行全面掌控;成熟度評估選項包含信息安全方針的落實、標準制度的執行情況、信息化程度、容災及業務連續性程度、組織文化意識與安全契合度等。通過提煉管理維度、制定分級級別、評估預判風險、制定防控策略這幾個方面來為客戶安全提供服務。

（二）安全治理管理模式變革

1.安全邊界清晰規劃

安全服務不同于常規業務服務，安全治理邊界職責的清晰切分至關重要，能幫助客戶和運營商在面對復雜多變的業務安全管控需求下分域治之，協同處置，減少邊界責任的推諉，控制合同履行時的SLA違約和成本上升風險，對于laaS、PaaS、SaaS不同層級分為用戶、云服務提供商、云代理者、云審計者、云基礎網絡運營者等不同角色，設置物理安全、主機安全、網絡安全、應用安全、數據安全、安全管理、安全運維等幾個維度的安全控制點，明確指責邊界和協同方式。

2.安全建設規范輸出

安全建設交付階段的嚴格管控為后續平臺的運作奠定了基石，安全管控“六維法”全面沉淀安全管控機制，從安全事件管理、安全服務管理、安全審計管理、安全設備管理、安全過程管理、安全測評管理等六個維度規劃了輸入標準-管控手段-評估標準一交付結果，形成一套標準化的治理方法，以服務的方式輸出客戶，實現面向各類安全需求的全面掌控;

安全設備管理通過標準化運維管理，保證設備可用性、冗余性、功能性滿足上層應用需求，評價指標為設備可用性、業務中斷時長、故障處理時長、資料完整性;輸出包含安全事件管理規范、監控操作手冊、安全事件處置手冊、安全防護報告、安全保障方案及安全應急演練方案;

安全工程管理通過實施安全設備工程，保證設備達到云平臺運維標準，擴展和優化安全能力，評價指標包括基礎資料完整性、工程實施長度，輸出物包括安全工程管理規范、安全資產清單、關鍵配置計現、安全工程進展表;

安全事件管理實現安全事件的事前、事中、事后的閉環管理，輸入包括態勢感知、DDOS. IPS、WAF、防篡改、蜜罐、防病毒等數據，匹配對應告警規則和觸發應急機制;

安全服務管理遵循服務目錄，對云租戶提供標準化、可計量、可回溯的安全服務，兼顧滿足租戶個性化服務需求，評價指標包括服務交付市場、服務持續有效性、客戶滿意度，輸出物包括安全服務目錄、安全服務管理規范、安全服務標準化交付手冊、安全服務報告、租戶后評估報告;

安全審計管理通過閉環管理保證云平臺所有運維行為的合規性，輸入包含堡壘機、VPN、設備操作日志、態勢感知、UEBA工具，輸出包括安全審計管理規范、審計報告、審計結果整改記錄;

安全測評管理使云平臺的安全整體架構符合各類評測標準，并通過測評機構審查監管，輸出物包括符合性評估表、評估舉證材料、整改記錄及監管記錄;

3.安全人才持續孵化

安全即服務人才培養需要細化培養路徑和技能評價方法，快速構建安全梯隊的孵化體系，在實踐過程中對于新型安全服務人才主要側重IT能力、安全能力、CT能力、安全規劃實施能力及客響能力的綜合性培養，培養方式通過課程、訓戰、項目商機支撐和能力評估實現;人才構建的目標是圍繞國家、行業和公司內安全標準和要求，建立與安全合作方、與客戶良好的溝通交流渠道，提升協作效率。

（三）安全運行處置模式變革

1.安全運維精細運作

夯實安全運維管控流程，提煉核心支撐方法，專注于系統安全事件處置、故障響應、變更控制等流程，為客戶提供一套高質量的管理協同方案，包含流程的設計、組織的協同處置、電子化告警管控平臺的輔助，實現安全處置到安全服務的演進。通常運維支撐體系可以包含故障/事件觸發后的三層支撐體系，一線值班團隊通報處置、二線運維團隊分析優化、三線專業研發深層研討;故障管理和事件變更流程為兩大核心流程，需要根據團隊的特性和業務模式進行適配和優化調整。

2.安全風險聯動防控

安全風險聯動防控是安全即服務中至關重要的一環，安全風險防控聯動模型的設計為客戶和運營商提供了一套全生命周期風險管理的方法，包含安全風險識別、信息鏈串聯、聯動腳本設計到最后的響應閉環執行。從專注單點防控向專注安全聯動的多點體系化防控轉變，從單一安全運維向全生命周期管控轉變。

（四）安全即服務價值變現模式探索

1.安全專題咨詢

在與政企類客戶商機支撐的溝通過程中發現用戶往往缺乏專業的安全運維團隊，在面對一些突入起來的需求時往往手足無措，例如安全審計檢查、深層安全防控方案設計、安全設備參數優化等，根據用戶的需求進行總結沉淀，將安全專題進行歸類匯總，尋找適合的生態合作并進行部分能力的內化，并為客戶提供專題咨詢服務，實現安全管理能力的價值變現。安全需求主要包含安全攻擊防護、安全重保、等保國密服務、疑難癥結防控。

2.安全集成遷移

安全集成遷移往往是客戶的又一個需求點，云網協同模式下需要配備懂安全、網絡、云平臺、數據遷移、平臺開發等多種能力的遷移團隊才能高質量的完成該類任務，運營商安全服務團隊具備優勢，安全遷移范式提供了完整的步驟和工具快速滿足各類用戶需求。

3.安全等保測評

安全測評管理是基于云平臺整理安全體系，滿足各類國家級監管要求的測評活動的統一管理。通過對標準的解讀，強化各類安全管理規范，整改不符合條目，配合測評機構取證評估。在支撐過程中客戶對于等保測評、云計算服務安全評估、密碼測評需求旺盛，借助項目經驗將測評服務模式固化，對外輸出能力實現價值變現。

4.安全模塊構建

安全模塊的構建需求主要分為兩個階段項目初始設計階段及后期新增迭代的安全需求，針對此類場景，依托信安強大全面的安全工具庫可以實現安全模塊靈活的組合封裝，對外實現賦能，同時安全即服務的產品設計全流程管控機制則進一步保證了產品的開發運營質量;

安全即服務產品設計全流程管控機制基于各類網絡安全需求場景聚類分析結果，開發設計標準化產品體系，以業務三同步為抓手，建立覆蓋網絡安全產品與服務業務全生命周期的開發評估體系，實現業務流程與安全流程的有機統一，提升業務安全運營水平。

作者單位：中國移動通信集團上海有限公司