1. 威客安全首页
  2. 安全资讯

​企业安全运营三部曲之概念篇


作者介绍:

西小姐,某国企安全运营专员。从0到1搭建了该企业安全运营体系,主导了多次内部运营活动。在内部培训、团队管理、SRC建设、危机公关等方面有大量的经验和思考。企业安全实录将连载其三篇安全运营文章,从观念、实践和愿景三个方面完整的分析企业安全运营工作的方方面面。


前言:安全运营是集合网络安全技术与管理为一体的工作,本篇主要从安全运营的精髓,分类及成熟度三个方向进行讨论安全运营的概念与理解,从甲方安全运营的身份出发,描述与分析安全运营存在的意义?安全运营具体工作是什么?能够为企业解决哪些实际的问题。

由于本文文字较多,考虑到读者时间宝贵,大家可参考思维导图,按图索骥,找到自己感兴趣的部分。

​企业安全运营三部曲之概念篇


1

安全运营的精

1.1 为什么会有安全运营?
企业的安全工作根据不同的工作内容,包含了研发,产品,监控,响应和运营,其中安全运营是不可缺少一部分,也越来越被各安全企业所重视。在安全部门内部,安全运营的工作由于涉及到技术资源、人力资源与项目资源的整合与应用,起到整体方向指引的作用;其次,在各种资源应用的中间,安全运营从始至始贯穿,并且将这三种资源相互串联,沟通协调,将资源的利用率达到最高,从而,可以帮助安全部门把控和监督各类安全工作的整体质量,包括工作的阶段性和持续性;在安全意识方面,通过企业内部安全意识培训体系的建立,对标同行业起到标杆作用,极大地避免了因“人”的原因导致的安全事件发生的概率。在企业内部,安全运营建立建全安全合规机制,促使安全合规趋向规范化和标准化。对于整个安全行业来说,安全运营可以打造企业的安全品牌,在应对企业的重大、重要事件方面担负起安全公关的职责。

1.2 安全运营解决的问题
目前,根据大多数企业内部的架构设计,安全部门是一个技术的部门,90%的人员是技术出身,而且以运维与网络技术居多。相对于管理层的管理人员,技术部门的的技术人员,安全运营则介于二者之间专业的“翻译人员”,对于一名优秀的安全运营来说,既有管理层的大局意识,同时也兼顾具有技术人的逻辑思维,并且可以将二者不同频率的“语言”自由地转换。
首先,对于安全部门所负责的项目而言,希望通过这些项目在业务部门的应用达到对外防御风险的目的,这就需要安全运营人员进行跨部门安全项目沟通,根据不同项目功能的情况制定出对应的推广策略及执行方案,最终有效地得到业务部门的认可并使用,并且得到业务部门的精准反馈,为下次产品迭代提供有力的方向与数据支持;其次,安全工作并非是一家企业的工作,而是覆盖整个行业,需要联合各类安全企业和安全机构共同交流与合作,碰撞技术火花与研讨解决方案,取长补短,共同发展;而安全运营在这其中起到了决定性作用,优秀的安全运营将成为各企业的强壮的纽带,从提出新颖的想法,到通过独特的形式,在适合的时间,将各企业联合在一起,做出影响整个行业,同时也有利于本企业的安全大事。再次,企业在符合国家各项法律法规的前提下,需要通过建立自己的合规机制,加快合规的标准化与规范化进程;在合规合法的前提下,运营整个企业;并非想到一个实现一个,而是从整体出发,解决局部问题。最后,品牌是一个企业对外最基础的形象;专业的安全运营能够帮助企业建立自己的安全品牌,并在企业发生重大与重要事件的时候,做好相应的公关宣传工作。
此外,安全运营需要不定期地对内、对外进行安全意识类宣贯和教育工作,尤其是在国家各项相关法律颁布实施时,需要重点加强专项法律意识教育类工作。只有安全意识提高到了一定的高度,作为安全从业者才会在行为上面规范自己的工作行为,避免因为“人”的原因,造成企业无法挽回的损失,也因此断送了自己的职业生涯。安全部门的技术人员以及安全圈内的技术人员(如白帽子),都具有较强的安全攻防技术能力,但这些人员却存在将他们的技术能力输出的短板,简言之,只会写代码或者做渗透,却不会做项目。而安全运营了解技术,熟悉项目(产品),精通输出,所以可以将技术能力转化为项目或产品对外输出,使更多的企业和安全从业人员了解到安全部门的技术能力,同时这些能力可以解决企业的痛点、难点问题,当然也会给安全从业者带来无论是精神上,还是经济上更多的利益(如众测),从而促使更多其他安全项目的连锁合作。

1.3 安全运营职业定位
优秀的安全运营是一个对人综合素质要求非常高的岗位,不仅了解技术,甚至了解到某项技术哪家企业最强?某人是某项技术中技术水平最高的人?高到什么程度?主要应用领域?最佳实践在哪里?未来的发展方向?熟悉项目,项目的流程?每个流程推进的难点?涉及的部门?熟悉产品,产品应用的领域?解决的问题?用户的反馈?精通输出,可以将技术通过项目或者产品输出到其他部门或者同行业,解决具体的企业问题和行业痛点,将能力变现,促进安全生态链发展;能够从市场角度建立行业内企业安全品牌,可以处理各类危机公关事件,建立安全媒体生态圈;维护社区,从中挖掘人才资源为企业所服务;当然,优秀的安全运营还须具备优秀的语言能力,至少具有优秀的英语能力,安全生态不分国界,目前,很多企业已经跨国,而了解国外安全技术行业的发展可以为企业提供一定的参考,同时,安全技术人员的技术思路也可以弥补中国人自己技术思路的空缺之处。安全运营的工作方向大致可以从以下几个职位方向概括:
①活动运营方向,创建并创新活动运营机制,通过各种活动的落地执行,提高企业安全领域关注度,为社区运营打下基础
②社区运营方向,形成自有的社区运营制度与体系,通过社区关系维护,增加企业与目标人群的粘性,提高目标人群转化率和质量
③风险管理方向,建立企业自己的风险管理与内控体系,帮助企业开展内部的信息资产评估与管理工作
④项目管理方向,建立安全项目自有的管理体系,设计及推进安全部门各自研项目的实施工作,组织与协调,控制与评价各种安全项目,梳理各类安全项目之间的联系,整合安全项目资源,成体系化运营
⑤安全合规方向,根据企业所处的行业位置和企业性质,在国家相关法律法规指导下,建立企业自己的合规机制,熟悉安全标准及等保制度,帮助企业在合规标准化的情况下开展工作并配合国家及政府部门的检查,例如公安部,工信部和网信部等国家单位。
⑥品牌公关方向,建立企业独特的安全品牌和各科技媒体与安全垂直媒体的媒体关系,提高企业品牌影响力及危机公关的处理能力
⑦项目合作方向,制定企业内外的项目合作制度,规范及流程;与各类安全企业和安全研究机构合作,包括商务合作与内容合作,打造技术品牌影响力,维护企业之间的友好关系。
⑧安全教育方向,创建完整的安全教育体系及模式;不定期进行企业内部安全教育的培训与考核工作,真正地将安全教育向纳入新员工培训推进,向企业安全文化方向迈进
随着企业的不断扩大,业务不断增加,安全运营的工作分类也在不断地由粗糙变得精细,未来,相信还会有许多的方向定位,当安全真正地变成企业文化中重要的组成部分的时候,所要涉及的工作也将从点到面,最后形成闭环。


2

安全运营的分类

2.1 外部运营

2.1.1 安全品牌

安全品牌,是一个安全部门或者是一个安全企业对外的留在大众心中抽象化的无形资产,通过这种抽象化的定位与认知,形成固有的独特的,与同类形成差异性的意识认可。例如有一些企业形成技术品牌,有一些企业主打温馨品牌,有一些企业主打公益品牌,定位不同,所以所创造的品牌不同,正是因为这些差异性的品牌力量,使得大众记住某个企业的形象并认可这种形象。安全品牌的创建根据递进关系分为四个阶段:确定品牌定位,建立品牌形象,精准定位人数,宣传独立品牌。首先,安全部门或者是安全企业需要结合自己企业安全工作的特点,定位好自己的品牌,随后建立自己的品牌形象,精准定位哪些人会关注企业的安全品牌,确定好哪些人关注后,通过各种宣传渠道,宣传方式实现对精准人群的宣传工作。


2.1.2 技术影响力

作为带有新媒体性质的企业,区别于传统行业的关键在于技术能力的强弱及应用,技术的影响力到底通过哪些方式能够被人们熟知并且认可?安全运营可以通过技术刊物的发布,技术演讲的参与,技术培训的实施,技术交流的实现及共同合作出品一个项目,打造企业在技术方面的影响力,并且通过巧妙地项目设计与运营让人们对企业技术实力的强弱也有一定的了解,从而使企业在安全技术的层面获得人们较高的评价。
① 技术刊物,开设安全技术刊物专栏,沉淀和输出技术内容或技术人的见解与观点、对于某个技术产品、项目或系统的使用心得分享
② 技术演讲,参与国内外顶级安全会议演讲,发表安全技术观点及预测安全方向发展趋势,侧面也反映出了技术实力
③ 技术培训,建立完善的安全技术培训体系,定期组织企业内外安全从业者参与培训,获得技术知识提升
④ 技术交流,成立相关安全技术联盟,定期联合安全企业,由安全从业者参与的技术交流,畅谈安全趋势,研讨解决方案,擦出技术火花
⑤ 合作出品,形成由安全负责人和优秀技术人员组成的安全智库,作为国内外顶级安全会议联席代表、出品人或安全顾问


2.1.3 安全公关

安全是一个行业,同时也是一个生态,安全的企业存在于这样的一个公共的安全关系之中,创建企业自己的公共关系系统尤为重要;
① 日常媒体关系维护,建立与媒体关系积极的合作关系,友好往来,在重要的事件发生前后,由媒体作为发声的窗口
② 特殊时期重点关注,对于企业而言,在特殊时间特殊事件发生期间,提前预告媒体,发布相关正面报道,触及到相关人士关注领域,扩大信息的宣传覆盖

③ 重大事件宣传发布,企业在安全领域发生重大,重要事件的时候,包括重要项目上线前后,通过媒体向行业内发声,表明企业态度与立场,发表技术观点与解决方案,例如曾发生过的勒索软件时,企业可以分享对于勒索软件的分析与指导解决方案,安全专家可发表自己的技术观点,帮助行业内其他企业共同应对风险,以此彰显企业的社会责任

④ 危机公关应急处理,建立建全危机公关应急处理流程与机制,日常的舆情收集,特殊的媒体负面报道或恶意攻击的时候,及时启动响应处理流程,避免造成对企业更恶劣的负面影响


2.1.4 安全趋势

安全行业的发展方向,主流观点及未来可能会涉及的工作;通过对于趋势的分析与预见,提前做好应对措施及技术研讨与革新,准确的方向定位有助于精确未来安全行业的发展空间及为企业本身预防更多的未知风险。

① 全球信息整理统计,形成信息搜索的媒体渠道体系,每日搜集国内外安全信息,洞察安全圈敏感信息,进行分文别类统计与分析

② 国家政策法规分析,对于当前国家主导的政策方向、法规制度等,尤其是安全领域相关的政策法规作深度研究与分析,预测未来安全行业发展方向
 深度关注与分析近期重大安全事件及主要漏洞,并从中分析出未来安全事件可能出现的方向或漏洞类型
④ 熟读历史,结合当今网络世界,以史为鉴,可以知兴替,预测安全行业的生命周期
⑤ 关注各行业发展动向,行业发展必然带动着网络安全发展方向;结合其他行业发展,找到并存和共同发展的规律。


2.1.5 安全圈子
圈子也是一个生态,由人组成的,人的力量是无穷的,并且动态发展,每个人身上的潜力都不可低估,因此关注圈子就是关注人的动态发展,关注人就是通过挖掘与管理每个人身上潜在的力量,从而帮助企业实现自己的安全保障。通过对于安全圈成员的画像分析,挖掘不同时期,不同层面的可用资源。
① 对于圈子内不同的人群进行分文别类,挖掘不同人群的不同潜力;
② 对于圈内成员进行画像管理,通过已有的大数据,对成员进行画像分析,初步形成每个群体的不同画像,为维护每个群体关系提供数据支持;

 熟悉圈内成员关系网,形成以点带动面的影响;

④ 熟悉圈内成员每个人的不同技术点或技术领域,为日后合作提供参考资料;
⑤ 熟悉圈内成员成长轨迹及不同时期的需求,增加与成员间的粘性。


2.2 内部运营:

2.2.1 安全意识

安全意识指的是人通过语言、声音和图像对网络安全制度、规范及行为等在大脑中形成的感知,认识,直至最后的判断、评价等精神活动。规范安全行为,包括日常生活行为及工作中的操作行为,首先是需要在意识上面得到认知,认识并了解到网络安全是一项保护自己的行为,这样才能从根本上驱动人在行为中时刻规范自己,而不是说强制某人应该怎么样,强制只能是作为当时的一种纪律,在短时间内,表面上达到目标,但是,如果想从根本上,使人能够自觉地去遵守,这就需要很系统地从意识层面着手进行。意识是驱动人所有行为的原动力!
 在不间断地宣贯工作,通过图片、视频、刊物、海报、电子资料等360度无死角地,将安全植入到生活与工作中的每个瞬间;

② 启用企业全员参加考核机制,通过前期知识培训,后期全面考核,可以了解全员在安全意识方面哪此领域欠缺,需要强调与学习,同时也为管理层对于员工在网络安全意识方面的认知情况提供一目了然的了解,为未来的安全意识工作提供方向与基础;

 通过各类互动性的活动,包括互动游戏,互动小程序在有趣的活动中感受安全的存在,提高安全意识;
④ 通过精心设计的事件演练,使得人们切身体会到安全意识薄弱所产生的严重后果,例如钓鱼邮件演练,随意连接WIFI。

2.2.2 法律法规

企业存在于社会中,必须要遵守国家制定的相关法律法规,这不仅仅是国家规范人行为的一个标准,同时也是保护我们每一个人知法守法的一种举措,尤其是在虚拟世界里面,如果不遵守法律,在造成对别人伤害的同时,我们也可能是受害的主体,并且要承担相应的法律责任。国家的网络方面的法律在不断地健全,可见,国家对于网络安全行为的重视程度也在不断加深,作为从事安全行业的每一个人来说,都应该在法律的规范之下开展自己的工作,这也是对自己的负责。
 定期邀请法律专家,组织全员进行安全法规学习,安全部同事进行专项学习,并纳入考核机制;
② 每次安全项目推广或安全活动开展之时,同时伴有安全法规的宣贯,做到一日在工作,一日不离法;
 每次新的安全法规颁布实施,都进行专项法律的学习活动;
④ 发放安全法律纸质学习手册,时时可以翻看学习,制作安全法律小卡片,存在于工位区间,做到抬头低头随时可以学习法律知识;
⑤ 持续性地推送电子资料进手机终端,不受任何限制,进行普及法律知识;
⑥ 开发参与性强,互动性强的法律小游戏,寓教于乐;
⑦ 不定期分享经典安全案例,提高大家守法意识;
⑧ 每年举办安全普法周大型活动。

2.2.3 安全合规

关于从事互联网性质的的企业及个人,在日常的工作中,所进行的网络行为应当符合国家的立法及各项标准,从国家层面,在进行网络行为的同时,需要维护着正常的网络运行,应当符合国家的等级保护制度,履行安全保护义务,防止网络数据泄露。合规在银行领域、电商领域的工作尤为重要,当然只要具有“支付”类功能的其他企业,同样也要符合国家各类合规要求。合规主要是需要根据不同行业的专项法律法规来工作,在此就不作展开讨论。
① 建立企业合规机制,在符合国家各项法律的前提下,开展网络运营工作;

② 熟悉国家各项政策标准,建立企业对应的等级保护制度,配合工信部,公安部及网信办、行业指定的审计单位等国家各部门进行网络安全检查工作。

2.2.4 安全教育

教育是一种思维的传授,每个人都有自己的思维模式与意识形态,如何将安全教育传授到每一个人的精神体系中去,这需要一个客观并持续的过程,如何通过教育使得每个人自觉地遵守某些行为,并且直至自己成为一名教育者,传授给其他人同样的理念,这便是教育的最高境界了。

① 建立安全教育体系,体系化对全员进行安全教育工作,包括定期(月度、季度、年度)、不同岗位的员工(技术岗、管理岗、职能岗、特殊岗位等),不同级别的员工(初级、中级、高级),不同阶段的员工(新员工、老员工)、安全知识内容(技术、管理、项目、法律等),考核(理论、实践)等,都需要进行统计、分析、分类;

② 将安全教育纳入到新员工培训体系中,让每个新来到企业的员工“安全”是企业运营与发展的关键原则之一;

 逐步建立企业安全文化,当“安全”成为企业文化之一的时候,每位员工都将成为一名“安全小卫士”,对于企业的安全运营与发展,起着微小的作用,但众人拾柴火焰高。

2.2.5 安全运营管理
管理包括对人的管理,也同样包括对资源(技术、项目、产品)的管理;当然,对资源的管理来的相对容易,小到我们可以将各个项目形成的前期开发文档,产品文档及相关的技术规范,将期归类放在统一的平台,供大家进行翻阅和学习,定期随着技术、项目、产品的迭代随时更新;另外,还包括各个安全项目的其他资料,同文档一样,一并归类存档。对于人的管理,相对就比较复杂,需要建立一套完整的人才管理标准与体系,从一个陌生人与安全部门建立联系,面试开始,直到被录用,最后转正,升职,最后离职等一系列的过程,需要被记录与跟踪,并且有相关的导师或者是leader进行培养与监督,其中包含了复杂的招聘流程,培训流程,考核流程,晋升流程、监督流程,权限管理等。


3

安全运营的成熟度模型

根据企业安全文化体系的发展程度,回报外部风险的能力,安全合规,安全管理能力的强弱程度以及品牌与公关的能力大小等综合方面考量,安全运营的成熟度分为:初级,中级和成熟三个阶段。

3.1 初期阶段能力

① 安全意识培训到位,通过系统地,成体系地安全意识的培训,由基础到深度,由点到面,提升企业全员的安全意识,规范日常的工作行为,尤其是涉及到关键岗位,敏感岗位的人员,必须加强安全意识,避免因为意识的薄弱造成无法挽回的损失。

② 具备回收安全隐患能力,安全部门的技术能力是有限的,但是,为了弥补这种有限的能力,需要联合整个行业的力量共同保障企业的网络安全,初级阶段的时候,安全运营人员需要倡议整个行业技术人员和安全企业共同帮助企业回收安全隐患,企业自身也具备分析与处理来自外部风险的能力,包括漏洞与情报。

③ 具有简单的安全规范和流程,安全运营人员应该与技术人员沟通,共同制定出相应的应急响应流程与规范,各个自研项目的上线流程与检测规范。

3.2 中期阶段能力

① 安全意识具备考核能力,在经历了初级阶段的安全意识培训之后,对于安全意识的培训力度需要加大,并且定期对全员进行安全意识考核,将此项考核也列为工作中的一个指标,号召全员参与并实现高品质的通过率

② 创建自有应急响应中心或已启动众测模式,通过技术手段开发自有的应急响应中心平台,并在整个安全行业内运营此平台,用于接报来自外部的威胁,并且存档,、统计与分析数据;不但具有处理漏洞的能力,还具有分析、沉淀相应的挖掘漏洞的技术;通过外部发现漏洞的方式,补充内部缺失的技术能力。在众测之前,企业需要具备的各种认证或者资格,启动众测模式,通过外部技术能力为企业提供更多安全保障。

③ 具有一定的安全合规和安全管理能力,设有专门的安全运营人员进行安全合规的工作,建立企业自已的安全合规体系及完善的安全管理能力;熟悉国家的各项标准与制度,对接公安部,中央网信办,国家工信部等相关的网络监管单位,定期配合以上单位进行等保制度制定及各项检查工作,保证企业在国家相关政策法规之下,开展业务。安全管理能力,将传统人力资源管理与安全人才特点相结合,建设专属于安全人才的管理体系,安全人才的吸纳、招募及管理等一系列工作应当于专业的人员承担。将传统的项目管理结合安全项目的自有特点,成立专门的安全项目管理组,把控安全项目方向与进度,控制风险,按期完成结果。

3.3 成熟阶段能力

① 创建自己的企业文化,将安全纳入到公司的企业文化中去,将安全意识培训纳入新员工培训中去,当一个新加入企业的人员,在接受各种人事与行政培训的同时,进行安全意识培训,做到心中有安全,行为有安全,形成人是最大的安全主体!

② 具有自己的安全品牌、技术影响力的打造模式,确定企业的安全品牌,精准定位安全品牌的受众,持续性地扩大安全品牌的影响力,根据安全部门人员的组成,及技术方向,项目内容,打造自己的技术影响力。

③ 具备一定的安全行业危机公关能力,建立建全公共类,科技类及垂直安全媒体体系,尤其是比较有影响力的媒体需要格外关注,增强媒体关系维护,在重要节点上,具备处理危机的公关能力。实现危机公关并非是所谓的金钱关系,砸钱就能搞好关系;关系,是一种双边及多边动态的联系,有互动的对应存在的状态。根据企业自身的特点和定位,形成企业自有的“公关style”。

④ 具有对行业安全态势感知能力,研发企业自己的安全态势感知平台,提前预知风险,分析漏洞信息,及时制定解决方案;时时实现对风险的可知、可控、可处。

期内容精选

漏洞治理平台的设计与实现

内容安全体系建设

安全服务那些事

风险管理体系设计与实现

安全开发那些事

原文始发于微信公众号(企业安全工作实录):​企业安全运营三部曲之概念篇

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X