浅谈安全运营的十大关系

随着信息化的高速发展，新技术的快速应用，混合云的大规模部署，基础设施变得更加复杂多变，网络世界日新月异与此同时，网络安全事故频发，甚至严重威胁了人们的生产生活秩序，促使人们加强对网络安全的重视

在国家相关安全法规密集出台，网络安全被提升到了前所未有的高度，这对国家安全，企业数据保护，个人隐私保护具有极大的积极作用产业界和安全行业都在不断探索实践安全运营的理念，以此来保护人们的网络安全

安全运营就是调动一切的积极因素，把网络安全平台，设备，队伍，流程等统筹起来，并不断的运用持续改进的动态过程安全运营做的好，安全风险就会低，反之，可能会出现重大安全事故，造成不必要的损失

在多年的安全运营实践活动中，我们支持了多种类型的行业客户，对安全运营进行了深入的研究和分析，提炼出安全运营的十大关系，希望对读者有所帮助

是非关系

首先要谈的就是是非关系具体是什么？直白的说就是你认不认为网络安全很重要，是真认为重要呢，还是假认为重要？是认为很重要呢，还是认为仅仅有那么点用？这是本原问题，是原始矛盾

实际工作中，大大小小的局点我们都有接触，发现有的客户确确实实认为网络安全重要，也投入了大量的人力和物力对网络安全进行保障，但是也发现不少客户并不真心认为网络安全很重要，只是因为国家对网络安全的重视才不得不对网络安全进行投入

不过随着国家人们对网络安全的重视，后者越来越少，真心认为网络安全重要的客户越来越多，表现在对态势感知产品的关注上，对安全事件的处理上，对系统漏洞修复上的要求上只有真正认为网络安全很重要，是企业正常经营的基础保障，安全运营工作才能做好，才能真正起到安全防护的作用，否则，就起不到好的效果

业务与安全的关系

到底是业务重要还是安全重要呢？第一反应是业务，因为业务维持着企业运转的需要但是事实是否是这样的呢？可以看到，很多初创企业并不重视网络安全，而是只顾业务的增长，随着一定规模以后，逐渐的意识到没有安全的保护，业务不可能长期有效的发展，甚至可能带来毁灭性的打击，也因此加大安全的投入因此得出结论：需要平衡业务与安全的矛盾

现实中安全确实带来了正常业务以外的额外投入，造成成本的增加，而这种投入却有无法有效的形成在业务收入上的体现但是越发严重的网络安全事件让人们感到恐惧，甚至受到威胁或者已经受到侵害，使得安全的投入又是必须的

这里有一个有趣的对比，安全投入与软件测试非常像，看似是额外投入，但是一旦出问题，可能造成更大的损失一种好的办法就是像软件测试一样，把安全的价值衡量到业务收入上，这种思路对不同规模的客户实施具体细节也不一样

企业领导与安全运营人员的关系

信息安全建设和安全运营离不开领导的重视，这是一个自上而下的变革工作安全运营不成功的客户中，很多是因为企业领导没有明确清晰的安全目标，不清楚安全建设的思路和步骤，进而导致安全运营人员不知道要干啥，怎么干，看不到绩效

多数行业中，企业领导专注于企业业务的发展，对网络安全认识和理解确实可能比较模糊，这时，就需要与专业安全厂商，就企业的安全建设目标，计划，运营做出明确的方案，并积极稳步推进网络安全建设和运营，明确知道自己需要什么，从而对安全运营人员有着明确的要求和指导只有形成自上而下的整体安全建设观，达成一致的网络安全建设路标，安全运营才能产生预期的效果

先进与适度的关系

由于网络安全越来越受到重视，网络安全防御的理念产品也日新月异，每隔一段时间都会有新形态的安全产品的出现部分客户盲目追求技术先进性，谁先进就买谁，什么先进就买什么，到头来网络安全水平似乎并没有提升多少网络安全讲究适合自己的才是最好的

客户需要根据自己的核心业务，信息化水平，安全保护的难易度，网络安全建设的目标等选择适合自己的安全产品和安全理念

一个初创企业上安全产品全家桶是不现实的，一个大企业仅仅有被动防御也远远不够因此安全运营的前提是客户选择适合自己的安全产品和安全理念，进而依赖安全产品做适度的安全运营

全家桶产品与专项产品的关系

有部分客户很重视网络安全，斥巨资购入大量的，不同厂商的，种类繁多功能各异的安全产品以为有这么多安全产品，网络就一定安全了

固然每种安全产品有着自己独特的安全防御能力但是如果没有把所有安全产品有机的组合起来，充分利用，其效果很可能是1+1

    关注 黑客与极客