安全运维，是企业安全管理中躲不开的一个环节，有一套良好的安全运维规范，可以帮助企业降低安全隐患。那么到底应该如何做好安全运维？近日安全牛有幸邀请到了行业资深专家杜建荣先生，从组织、流程、人员几个方面，围绕安全运维中的十个常见问题，来解答企业在安全运维中可能遇到的疑问，以下是主要内容：

杜建荣，2006年入行至今，技术出身，从事过甲乙双方的各个不同岗位，熟悉IT的各个领域。从2012年开始专注于信息安全领域，先后负责过安全运维、安全管理、制度建设、攻防、合规等不同工作。

杜建荣：安全运维包含两层意思，第一层意思是维护一个组织的信息安全管理体系，比如使用防火墙维护公司的安全域划分，使用堡垒机满足运维审计要求，使用漏扫挖掘漏洞风险等。第二层意思是在运维工作中落实安全管理要求，降低运维工作中的安全风险。

由此可见，第二层的意思立足于第一层，安全运维的前提是企业有明确的信息安全管理体系，信息系统有较合理的安全架构。

安全运维的主要工作模式也分为两种。一种是依靠信息安全管理团队的工作模式，组织建立信息安全管理体系，在信息系统建设时同步建设信息安全技术措施，敦促信息系统在建设中同步落实安全管理要求，利用安全产品开展管理与审计监督。另一种是依靠运维人员的工作模式，把安全赋能给运维人员，运维人员根据安全要求执行规范的运维规程。

安全运维需要将两种模式有机结合，不是信息安全团队或者运维人员的单打独斗，才能起到最好的效果。

杜建荣：在考虑安全运维之前，首先需要首先对企业的整体安全架构有一个全面、严谨的规划部署。做好一个良好的建设，后期通过安全运维严格执行，才能有好的效果。否则运维就只能像救火，头痛医头、脚痛医脚。安全运维的本质，就是通过规范的流程，落实贯彻企业既定的安全政策方针，推行企业设计好的安全架构。比如进行防火墙的运维，本质上是维护企业的安全域规划，如果在运维中不按规章胡乱开策略的话，用防火墙进行安全域隔离的初衷就等于形同虚设。安全策略一旦放行，日后要收回来就很不容易，任何弱点都能成为黑客攻击的目标。

杜建荣：安全运维的重点是：遵循一个商定的标准严格执行运维，而不是随心所欲或者随机应变。安全运维不是攻防演练，不需要灵光一现的点子，变化越少越好。如果在运维过程发现需要放开越来越多的特例，那就证明当初商定的标准有问题，需要重新修订当初的标准。良好的安全运维标准应该是松紧有度，并在建立之初得到涉及的业务部门共识，有一套规范的流程而无需经常放行各种特例。

另一方面，安全运维需要分层分级，有的放矢。比如将重点的漏洞管理、防火墙、WAF、IPS、服务器EDR等运维，专门交给有丰富经验的人员负责；将技术含量稍低的VPN、堡垒机、办公电脑准入防病毒等重复繁琐的运维，交给稍低经验的人员处理；最好有专岗负责日志告警，分析溯源。如果把所有运维工作都集中在一两个人身上，将会不堪重负，每天大量繁琐的低级运维工作与需要细心集中的重点运维工作交杂在一起，会降低人的集中力，应付了事，从而忽视了真正的风险。

此外，针对运维人员的操作，也需要有精细的权限控制与完善的日志记录，并最好由上级领导或专门审计角色进行定期审计。

以上几点的集合才能最大程度的提高安全运维的准确率，降低安全风险。

杜建荣：对于小型企业来说，往往没有专职的安全人员，安全建设通常由网络或基础架构部门兼任，安全运维往往只能依赖运维人员的能力。这种阶段下安全只是一个可有可无的附加值，并不能真正发挥它的作用。

发展到一定规模的中小型企业，招聘了安全专岗，但也往往只有一两个人，这种一个人的安全部模式，安全人员往往因为前期没有做好整体的安全规划而在运维上疲于奔命的救火。公司把信息安全的责任都放在安全人员身上。针对中小型企业，建议聘请安全公司的安服团队进行运维，让安全人员释放双手进行有效的安全规划与建设，才能逐渐走向正规。

对于大型企业，安全部门已逐渐成型，可能会有专人负责管理、制度建设、合规等工作；有专人负责运维工作。在这种模式下，建议参照上一点提到的重点，将运维工作分层分级给不同的人员处理，并将安全技能充分赋能给其他业务部门。如可以把终端杀毒，准入，VPN，防垃圾邮件等工作赋能给桌面运维团队；将堡垒机，服务器EDR等工作赋能给基础架构团队。真正的做到谁主管、谁负责；谁使用、谁负责、谁运营、谁负责。信息安全团队更可以集中精力在安全建设，日志监控，攻防等方面，同时提升了全公司的安全水平。

杜建荣：最近几年，专业的安全人才一票难求已经是公认的事实，未来很长一段时间这种趋势也会持续下去。这种情况下，应该如何培养安全运维的人才？私以为，将安全运维的能力分级，引入职业发展的路线，是一个很好的办法。比如从基础的终端安全运维岗开始，到网络安全运维岗，应用风控安全运维等，通过岗位轮动，培养全能的人才，同时也可以令