1. 引言

　　結(jié)合中共中央辦公廳《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》、公安部網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度等要求，在“沒有網(wǎng)絡(luò)安全就沒有國家安全”的高度指引下，“十四五”期間，為協(xié)助工業(yè)企業(yè)開展體系化防護(hù)堡壘建設(shè)，本文提出安全運營概念，從內(nèi)涵解釋、體系建設(shè)、度量三個方面闡述工業(yè)企業(yè)安全建設(shè)的基本動作。

　　2. 安全運營內(nèi)涵

　　安全運營是什么？能達(dá)到什么樣的作用？業(yè)內(nèi)安全運營概念是較多的，但脫離于業(yè)務(wù)的獨立運營，為了“安全而安全”的做法是不可取的。安全運營應(yīng)該以關(guān)鍵核心業(yè)務(wù)和重要數(shù)據(jù)為中心，在用戶和專業(yè)安全產(chǎn)商的共同協(xié)作下開展的體系化建設(shè)。因此安全運營應(yīng)該是 “為了保護(hù)企業(yè)重要業(yè)務(wù)系統(tǒng)（含工業(yè)系統(tǒng)）和數(shù)據(jù)資產(chǎn)，引入運營管理理念，將安全管理工作融入到企業(yè)日常經(jīng)營活動中，基于安全戰(zhàn)略目標(biāo)，形成從安全建設(shè)到后續(xù)運行，始終能保證安全措施的全面覆蓋和有效的持續(xù)迭代優(yōu)化的過程”。其各要素內(nèi)涵如下：

　　為什么要做安全運營？可以從對外和對內(nèi)兩個層面去理解。

　　2.1 對外

　　能加快響應(yīng)上游網(wǎng)絡(luò)安全監(jiān)管單位，形成監(jiān)管有要求、企業(yè)有落實、結(jié)果有反饋的機(jī)制。

　　能加快融入國家、省、企業(yè)三級協(xié)同的工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障體系中。

　　2.2 對內(nèi)

　　有效避免目前“先建系統(tǒng)，后補(bǔ)安全”，安全建設(shè)片面化，無體系的問題。

　　有效避免目前“重前期建設(shè)，輕后期運行”的問題。

　　能度量安全措施的有效性，能保證安全質(zhì)量和滿意度始終保持在合理區(qū)間。

　　利用PDCA循環(huán)，反饋和改進(jìn)安全防護(hù)措施，形成動態(tài)防御機(jī)制。

　　3. 安全運營體系建設(shè)

　　安全運營體系是龐大而宏觀的，需要涉及方方面面的內(nèi)容。其建設(shè)過程中應(yīng)該要遵循四條原則，一是管理模式本土化，二是嚴(yán)格落實網(wǎng)絡(luò)安全責(zé)任制，三是抓好基礎(chǔ)建設(shè)，四是堅持體系化建設(shè)思維。

　　此外，文章用“3+1”模式提出安全運營體系建設(shè)的基本方法，其中“3”表示安全管理、安全技術(shù)防護(hù)、安全數(shù)據(jù)分析；“1”表示一個安全運營中心。

　　3.1 安全管理

　　網(wǎng)絡(luò)安全建設(shè)歷來都有著“七分管理、三分技術(shù)”的內(nèi)涵，落實網(wǎng)絡(luò)安全管理工作是網(wǎng)絡(luò)安全建設(shè)中極其重要的一環(huán)。網(wǎng)絡(luò)安全管理涉及范圍廣、內(nèi)容多，建設(shè)時應(yīng)該在吸收國外成功經(jīng)驗基礎(chǔ)上（ISO/IEC27000系列標(biāo)準(zhǔn)），結(jié)合我國實際（等級保護(hù)2.0管理要求），推進(jìn)管理模式的本土化。具體可劃分為三方面內(nèi)容，即網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全管理制度和網(wǎng)絡(luò)安全意識，其中網(wǎng)絡(luò)安全責(zé)任制落實是重要的主線建設(shè)內(nèi)容。

　　在實際操作中網(wǎng)絡(luò)安全責(zé)任制應(yīng)該加快落實，應(yīng)按照《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》明確本單位的網(wǎng)絡(luò)安全工作責(zé)任，其中黨委主要負(fù)責(zé)人履行網(wǎng)絡(luò)安全第一責(zé)任。此外，企業(yè)應(yīng)組織建立網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組及其辦公室，劃分信息中心和工控系統(tǒng)部門的網(wǎng)絡(luò)安全職責(zé)，不能一股腦的把安全責(zé)任全部丟給信息中心。下面是工業(yè)企業(yè)責(zé)任制落實的參考示意：

　　圖一、網(wǎng)絡(luò)安全管理主線建設(shè)（責(zé)任制落實）

　　另外，需要特別注意的是工業(yè)企業(yè)的網(wǎng)信領(lǐng)導(dǎo)小組應(yīng)該引導(dǎo)信息化部門和自動化部門的溝通合作，形成信息化人員懂工控業(yè)務(wù)，自動化部門懂安全，安全和業(yè)務(wù)融合發(fā)展的局面。

　　3.2 安全技術(shù)防護(hù)

　　兩化融合的推進(jìn)，提高工業(yè)企業(yè)生產(chǎn)控制系統(tǒng)信息化程度的同時也引入了傳統(tǒng)IT存在的安全問題，如Windows操作系統(tǒng)漏洞、Telnet、RDP等高危服務(wù)。面對工業(yè)控制生產(chǎn)特殊性，天融信提出了“構(gòu)建基于行為的安全保障能力”建設(shè)思路。

　　圖二、威脅行為示例和技術(shù)防護(hù)

　　以行為分析為基礎(chǔ)，將工業(yè)控制過程與網(wǎng)絡(luò)安全相結(jié)合，在保障生產(chǎn)過程可用性的前提下，構(gòu)建基于行為的安全管控能力，針對設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大方面開展六個層級的建設(shè)：一是基于等保2.0和關(guān)保相關(guān)要求的工控安全基礎(chǔ)建設(shè)；二是云平臺安全防護(hù)（平臺）；三是應(yīng)用安全防護(hù)（應(yīng)用）；四是數(shù)據(jù)治理管控與數(shù)據(jù)安全防護(hù)（數(shù)據(jù)）；五是網(wǎng)絡(luò)安全運營統(tǒng)一監(jiān)管和大數(shù)據(jù)態(tài)勢分析（安全運營中心）。

　　3.3 安全數(shù)據(jù)分析

　　以“數(shù)據(jù)驅(qū)動安全”，圍繞企業(yè)各類數(shù)據(jù)，建立以數(shù)據(jù)為核心的安全分析體系，通過對工業(yè)企業(yè)內(nèi)外的各項數(shù)據(jù)進(jìn)行匯總關(guān)聯(lián)分析，賦能工業(yè)企業(yè)安全防護(hù)體系的建設(shè)，用數(shù)據(jù)來驅(qū)動安全，為逐步邁向安全動態(tài)防御，探索研究網(wǎng)絡(luò)安全智能化提供源源不斷的動力。

　　圖三、安全數(shù)據(jù)分析基本流程

　　安全數(shù)據(jù)分析基本流程分為四個部分，從數(shù)據(jù)收集、數(shù)據(jù)處理到數(shù)據(jù)分析產(chǎn)生安全策略供管理員作出安全決策。其中數(shù)據(jù)收集階段須著重注意數(shù)據(jù)的質(zhì)量，數(shù)據(jù)分析階段將威脅分為已知威脅和未知威脅兩大類，利用告警研判、分析建模等方式，確認(rèn)已知威脅行為特征；利用異常行為分析、威脅狩獵、機(jī)器學(xué)習(xí)、威脅情報等手段不斷探索發(fā)現(xiàn)更多的未知威脅。

　　在具體工具選擇上，天融信安全態(tài)勢感知平臺、安全大數(shù)據(jù)分析平臺是非常理想的選擇。天融信在26年的發(fā)展歷程中，優(yōu)先于其它安全產(chǎn)商開展了機(jī)器學(xué)習(xí)、大數(shù)據(jù)等新技術(shù)應(yīng)用于安全的研究，開發(fā)了業(yè)內(nèi)知名的安全態(tài)勢感知平臺、安全大數(shù)據(jù)分析平臺等系統(tǒng)。安全態(tài)勢感知平臺提供安全態(tài)勢預(yù)警、事件監(jiān)測等功能，安全大數(shù)據(jù)分析平臺協(xié)助產(chǎn)生專家知識，支撐安全態(tài)勢感知平臺的不斷優(yōu)化。

　　3.4 安全運營中心

　　從組織形態(tài)的角度看，安全運營中心是安全管理的智能大腦，是幫助企業(yè)建立起堅強(qiáng)防護(hù)堡壘的重要組織。其應(yīng)實現(xiàn)的功能是 “推動構(gòu)建上述安全管理、安全技術(shù)防護(hù)和安全數(shù)據(jù)分析三個方面的建設(shè)，可視化展現(xiàn)企業(yè)安全現(xiàn)狀，協(xié)調(diào)處理網(wǎng)絡(luò)安全事件及輸出企業(yè)所需的各類專家知識”。安全運營中心的基本要素應(yīng)包括人、服務(wù)、工具和策略流程四個方面。

　　4. 安全運營度量

　　安全運營度量是為了審計安全運營成果而出現(xiàn)的，隨著安全運營的深入，我們建議安全運營度量分為以下兩個階段、四個方面的內(nèi)容。

　　4.1 第一階段

　　未違反《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個人信息保護(hù)法》等法律法規(guī)；

　　企業(yè)滿足等級保護(hù)2.0基本要求和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)要求；

　　未發(fā)生較大以上的網(wǎng)絡(luò)安全事件，未被按《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實施辦法》追責(zé)；

　　始終保持合理的性價比，安全質(zhì)量和滿意度始終保持在合理區(qū)間。

　　4.2 第二階段

　　能夠?qū)崿F(xiàn)安全智能化能力，即能實現(xiàn)安全事件主動發(fā)現(xiàn)、及時響應(yīng)和自動處置等能力。

　　5. 結(jié)語

　　網(wǎng)絡(luò)安全防護(hù)體系建設(shè)是個復(fù)雜且持續(xù)的過程，用戶在建設(shè)階段需要牢牢抓住網(wǎng)絡(luò)安全的本質(zhì)是“攻與防兩端力量的較量”這一特征，通過借鑒安全運營理念，構(gòu)建起安全管理、安全技術(shù)防護(hù)、安全數(shù)據(jù)分析三位一體的網(wǎng)絡(luò)安全綜合治理框架。同時，天融信科技集團(tuán)通過26年發(fā)展的沉淀與積累，從存在問題導(dǎo)向和需求導(dǎo)向出發(fā)，將與用戶一起從戰(zhàn)略的高度思考建設(shè)任務(wù)，以體系化思維共同協(xié)作開展“十四五”期間安全建設(shè)工作，為實現(xiàn)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)而努力。