构建“VOSM”安全即服务管理体系

裴力

一、 背景

随着云计算、大数据、5G、工业互联网等数字化行业的大力发展，各个行业场景、各类业务发展要求运营商能快速、全面、统一应对安全建设需求。

（一）安全即服务是未来发展的必然趋势

党的十九大五中全会明确指出，要”坚持总体国家安全观，实施国家安全战略，维护和塑造国家安全，筑牢国家安全屏障”。党中央、国务院要求加快完善制定《云计算服务安全评估办法》，工信部信息通信网络与信息安全规划文件指出要强化网络责任，构建网络安全态势检测与感知体系、强化安全标准体系建设。

（二）安全即服務是未来市场战略高地

一方面国家战略层面提出坚定不移建设网络强国、数字中国、智慧社会。另一方面， ”十四五”期间，中国网络安全产业呈高速增长态势，中国信通院预计2021年产业规模约为1702亿元，据行业分析机构IDC相关报告显示2021年上半年仅中国IT安全服务市场整体收入约为37.42亿元，市场前景广阔，发展潜力巨大。

（三）安全即服务体系是提升安全效能的重要抓手

当前网络安全产品与运营体系存在基础能力分散、体系薄弱，管理模式不完善等问题，安全管理水平无法匹配市场安全需求的多样性和复杂性。在政务云市场，网络安全事件层出不穷，涉及敏感信息的政务系统每天面临大量攻击。平台内独立分割的单点安全防护能力越来越难以应对如此复杂的安全环境，安全管理压力不断增大。复杂的垂直行业项目架构更需要稳健的安全保障，NFV、MEC等新技术使网络边界变得模糊，网络攻击形态多样。

综上背景，提出“VOSM”value-oriented securitymanagement的安全服务管理体系。

二、模式实施

构建“VOSM安全即服务”管理体系，从“架构、治理、运行、价值变现”四个层次出发归纳实现了安全即服务管理模式，促进了安全模式的迭代，赋能市场的转型。 “稳架构、严治理、精运营”三个维度是从体系化出发，提升安全防控质量： ”提价值”从市场需求出发构建安全产品化实现安全服务价值的提炼。

（一）安全架构设计模式变革

1.安全需求精确转换

云业务支撑初期，实现网络视角向用户视角演进，通过“问需求-问痛点-问刚需一问喜好”四问法协助用户全面梳理、精准描述安全需求，借鉴“云立方体四维模型”进行云形态选择，四维度分别为数据应用的内外部界限、私有开放化程度、应用服务外包自供状态、边界化范围，引导用户进行安全架构和产品的选择。为后续项目安全规划铺平道路。

2.架构范式管理模式突破

从应用特点及客户安全需求出发考虑平台架构、控制模型、合规模型的映射和适配，针对不同的模型，匹配合适的工具、安全防护模式和管控机制，让用户的选择清晰简易合理;云计算技术安全控制模型常用的包括物理平台安全防护，计算存储层的主机防火墙、日志管理加密、HIDP/HIPS等，可信计算层，网络层的DDOS、防火墙、DPI，管理层的补丁、监控、配置，信息层的数据库监控加密，应用层的扫描器.waf等。合规模型包括PCI、HIPPA、GLBA、SOX等;从传统IT内生单功能单模块的防控模式向应用平台联动设计适配转换。

3.安全能力多维评估

创建安全能力成熟度评估模型，围绕安全建设、制度、理念、工具及运营五个管理维度制定对应评估表，围绕建设安全成熟度、安全管理成熟度、安全文化成熟度、安全IT化成熟度及安全人员专业化成熟度制定评估模型，对客户的安全整体情况进行全面掌控;成熟度评估选项包含信息安全方针的落实、标准制度的执行情况、信息化程度、容灾及业务连续性程度、组织文化意识与安全契合度等。通过提炼管理维度、制定分级级别、评估预判风险、制定防控策略这几个方面来为客户安全提供服务。

（二）安全治理管理模式变革

1.安全边界清晰规划

安全服务不同于常规业务服务，安全治理边界职责的清晰切分至关重要，能帮助客户和运营商在面对复杂多变的业务安全管控需求下分域治之，协同处置，减少边界责任的推诿，控制合同履行时的SLA违约和成本上升风险，对于laaS、PaaS、SaaS不同层级分为用户、云服务提供商、云代理者、云审计者、云基础网络运营者等不同角色，设置物理安全、主机安全、网络安全、应用安全、数据安全、安全管理、安全运维等几个维度的安全控制点，明确指责边界和协同方式。

2.安全建设规范输出

安全建设交付阶段的严格管控为后续平台的运作奠定了基石，安全管控“六维法”全面沉淀安全管控机制，从安全事件管理、安全服务管理、安全审计管理、安全设备管理、安全过程管理、安全测评管理等六个维度规划了输入标准-管控手段-评估标准一交付结果，形成一套标准化的治理方法，以服务的方式输出客户，实现面向各类安全需求的全面掌控;

安全设备管理通过标准化运维管理，保证设备可用性、冗余性、功能性满足上层应用需求，评价指标为设备可用性、业务中断时长、故障处理时长、资料完整性;输出包含安全事件管理规范、监控操作手册、安全事件处置手册、安全防护报告、安全保障方案及安全应急演练方案;

安全工程管理通过实施安全设备工程，保证设备达到云平台运维标准，扩展和优化安全能力，评价指标包括基础资料完整性、工程实施长度，输出物包括安全工程管理规范、安全资产清单、关键配置计现、安全工程进展表;

安全事件管理实现安全事件的事前、事中、事后的闭环管理，输入包括态势感知、DDOS. IPS、WAF、防篡改、蜜罐、防病毒等数据，匹配对应告警规则和触发应急机制;

安全服务管理遵循服务目录，对云租户提供标准化、可计量、可回溯的安全服务，兼顾满足租户个性化服务需求，评价指标包括服务交付市场、服务持续有效性、客户满意度，输出物包括安全服务目录、安全服务管理规范、安全服务标准化交付手册、安全服务报告、租户后评估报告;

安全审计管理通过闭环管理保证云平台所有运维行为的合规性，输入包含堡垒机、VPN、设备操作日志、态势感知、UEBA工具，输出包括安全审计管理规范、审计报告、审计结果整改记录;

安全测评管理使云平台的安全整体架构符合各类评测标准，并通过测评机构审查监管，输出物包括符合性评估表、评估举证材料、整改记录及监管记录;

3.安全人才持續孵化

安全即服务人才培养需要细化培养路径和技能评价方法，快速构建安全梯队的孵化体系，在实践过程中对于新型安全服务人才主要侧重IT能力、安全能力、CT能力、安全规划实施能力及客响能力的综合性培养，培养方式通过课程、训战、项目商机支撑和能力评估实现;人才构建的目标是围绕国家、行业和公司内安全标准和要求，建立与安全合作方、与客户良好的沟通交流渠道，提升协作效率。

（三）安全运行处置模式变革

1.安全运维精细运作

夯实安全运维管控流程，提炼核心支撑方法，专注于系统安全事件处置、故障响应、变更控制等流程，为客户提供一套高质量的管理协同方案，包含流程的设计、组织的协同处置、电子化告警管控平台的辅助，实现安全处置到安全服务的演进。通常运维支撑体系可以包含故障/事件触发后的三层支撑体系，一线值班团队通报处置、二线运维团队分析优化、三线专业研发深层研讨;故障管理和事件变更流程为两大核心流程，需要根据团队的特性和业务模式进行适配和优化调整。

2.安全风险联动防控

安全风险联动防控是安全即服务中至关重要的一环，安全风险防控联动模型的设计为客户和运营商提供了一套全生命周期风险管理的方法，包含安全风险识别、信息链串联、联动脚本设计到最后的响应闭环执行。从专注单点防控向专注安全联动的多点体系化防控转变，从单一安全运维向全生命周期管控转变。

（四）安全即服务价值变现模式探索

1.安全专题咨询

在与政企类客户商机支撑的沟通过程中发现用户往往缺乏专业的安全运维团队，在面对一些突入起来的需求时往往手足无措，例如安全审计检查、深层安全防控方案设计、安全设备参数优化等，根据用户的需求进行总结沉淀，将安全专题进行归类汇总，寻找适合的生态合作并进行部分能力的内化，并为客户提供专题咨询服务，实现安全管理能力的价值变现。安全需求主要包含安全攻击防护、安全重保、等保国密服务、疑难症结防控。

2.安全集成迁移

安全集成迁移往往是客户的又一个需求点，云网协同模式下需要配备懂安全、网络、云平台、数据迁移、平台开发等多种能力的迁移团队才能高质量的完成该类任务，运营商安全服务团队具备优势，安全迁移范式提供了完整的步骤和工具快速满足各类用户需求。

3.安全等保测评

安全测评管理是基于云平台整理安全体系，满足各类国家级监管要求的测评活动的统一管理。通过对标准的解读，强化各类安全管理规范，整改不符合条目，配合测评机构取证评估。在支撑过程中客户对于等保测评、云计算服务安全评估、密码测评需求旺盛，借助项目经验将测评服务模式固化，对外输出能力实现价值变现。

4.安全模块构建

安全模块的构建需求主要分为两个阶段项目初始设计阶段及后期新增迭代的安全需求，针对此类场景，依托信安强大全面的安全工具库可以实现安全模块灵活的组合封装，对外实现赋能，同时安全即服务的产品设计全流程管控机制则进一步保证了产品的开发运营质量;

安全即服务产品设计全流程管控机制基于各类网络安全需求场景聚类分析结果，开发设计标准化产品体系，以业务三同步为抓手，建立覆盖网络安全产品与服务业务全生命周期的开发评估体系，实现业务流程与安全流程的有机统一，提升业务安全运营水平。

作者单位：中国移动通信集团上海有限公司