目前安全熱度已經(jīng)上升國家安全的層次，伴隨著各種有影響范圍的安全事件頻發(fā)，無論是來自國際的，還是國內(nèi)的，使安全類工作逐漸在企業(yè)管理中成為了重要工作項(xiàng)之一。
今天博主就和大家討論一下如何使安全部和運(yùn)維部門如何高效的協(xié)同工作。
目前國內(nèi)企業(yè)安全部和運(yùn)維部在企業(yè)管理中所處的關(guān)系型如下幾種：

創(chuàng)新互聯(lián)主要從事成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)安達(dá),10年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

1、死掐型
安全部站到安全視角發(fā)現(xiàn)識別安全風(fēng)險(xiǎn)，運(yùn)維以運(yùn)維帶來成本砍掉安全需求。
2、相安無事型
安全部和運(yùn)維部在處理已識別的企業(yè)安全風(fēng)險(xiǎn)時(shí)，大家明面不發(fā)生沖突，但是暗地是太極推手，左右互博，盡顯甩鍋技能。
3、協(xié)同型
安全部和運(yùn)維部共同識別企業(yè)系統(tǒng)中資產(chǎn)存在的脆弱性，使用科學(xué)的風(fēng)險(xiǎn)評估的方法，將風(fēng)險(xiǎn)進(jìn)行定量和定性的分析，識別了風(fēng)險(xiǎn)項(xiàng)和等級以后，雙方能夠根據(jù)實(shí)際業(yè)務(wù)系統(tǒng)的重要程度和影響范圍，制定風(fēng)險(xiǎn)處置計(jì)劃，劃分風(fēng)險(xiǎn)種類分為可接受的風(fēng)險(xiǎn)、需處置的風(fēng)險(xiǎn)、不可處置風(fēng)險(xiǎn)。雙方積極響應(yīng)，共同推進(jìn)。

安全無小事，安全問題不容忽視，因?yàn)橐坏┌l(fā)生安全事件，幾乎都不是小事。

博主在學(xué)習(xí)安全時(shí)候甚至大家學(xué)習(xí)安全的時(shí)候，都是將如何采取技術(shù)防護(hù)或者管理制度去提高整體安全防護(hù)能力，其實(shí)安全工作能否落地其核心因素：就是高層領(lǐng)導(dǎo)、決策層領(lǐng)導(dǎo)是否支持安全工作，整個(gè)環(huán)境是否存在安全方針和綱領(lǐng)。

在這一點(diǎn)，必須的點(diǎn)贊央企或國企，一般信息安全小組總指揮都會(huì)是常務(wù)副總或者總經(jīng)理擔(dān)任，所以安全工作在央企或者國企中安全部和運(yùn)維部有可能是一個(gè)cto管理，若是協(xié)同性關(guān)系，則安全工作一般都會(huì)按照風(fēng)險(xiǎn)處置計(jì)劃推進(jìn)，安全問題也都能落實(shí)。

那么如何分別站在安全視角和運(yùn)維視角做好安全工作呢？

安全部
博主，始終提倡的一句話，人是辦成一件事的最主要因素，事在人為，所以對人的要求是最高的。

畢竟是“三分靠技術(shù)，七分靠管理”

有多少漏洞利用，×××事件是由于人的使用不當(dāng)，和操作不當(dāng)導(dǎo)致，甚至是程序的編譯代碼設(shè)計(jì)額度邏輯缺陷是漏洞。

安全建設(shè)

關(guān)于企業(yè)信息化建設(shè)過程中，是否具備和運(yùn)維部門等同能力的安全架構(gòu)設(shè)計(jì)能力，具體可落地的安全管理規(guī)范及相關(guān)操作指南和基線的形成。大家都是做技術(shù)的尤其是跨部門協(xié)作，只有知己知彼才會(huì)被技術(shù)同仁所尊重，最怕的是溝通不在一個(gè)頻道。

安全合規(guī)
相關(guān)的合規(guī)檢查項(xiàng)自身的理解程度是否能結(jié)合自身現(xiàn)有基礎(chǔ)環(huán)境制定可落地可執(zhí)行的改進(jìn)計(jì)劃指導(dǎo)運(yùn)維部門落地。（等保2.0 27000、行業(yè)相關(guān)的合規(guī)要求等）
安全管理
管理要求的相關(guān)管理制度、規(guī)范、流程是否能夠結(jié)合企業(yè)本身現(xiàn)狀設(shè)定，并且能在企業(yè)管理中起到約束、預(yù)防、和執(zhí)行。制度是約束人不去做違反規(guī)定的事。所以制度一定是經(jīng)過高層領(lǐng)導(dǎo)多部門評審之后，擇其善者而發(fā)布的具有力度的可執(zhí)行條例。
安全教育和培訓(xùn)，新人入職培訓(xùn)，安全防范月考核，安全知識與個(gè)人kpi關(guān)聯(lián)，考試不合格者相應(yīng)處罰，使安全意識深入每個(gè)人內(nèi)心，有益于安全工作的開展。
安全運(yùn)營
應(yīng)急響應(yīng)能力和應(yīng)急處置的能力，也就是互聯(lián)網(wǎng)公司的sec或者src，對于應(yīng)急處置事務(wù)一定是和運(yùn)維部門高度配合協(xié)同的事，首先是應(yīng)急處置的人擁有安全能力，其次是具有整體協(xié)調(diào)資源和跨部門溝通的能力。
應(yīng)急工作一定是建立在具有應(yīng)急預(yù)案和應(yīng)急流程的前提下，指導(dǎo)我們工作。
應(yīng)急工作進(jìn)展需及時(shí)向相關(guān)干系人通報(bào)。
應(yīng)急處置報(bào)告應(yīng)當(dāng)具有應(yīng)急步驟 風(fēng)險(xiǎn)分析 風(fēng)險(xiǎn)處置 和預(yù)防措施，甚至高要求還需有樣本分析。需要按時(shí)復(fù)盤，提高應(yīng)急響應(yīng)能力。
對全網(wǎng)日志及鏡像流量的審計(jì)和分析，提取異常行為。

安全運(yùn)維

負(fù)責(zé)運(yùn)維公司安全安全設(shè)備，制定相關(guān)安全策略，負(fù)責(zé)網(wǎng)路、主機(jī)、數(shù)據(jù)庫、中間件、數(shù)據(jù)、云等安全基線的推進(jìn)和落地。配合安全建設(shè)完成相應(yīng)的安全架構(gòu)的設(shè)計(jì)。對安全策略的定期審計(jì)，識別不合理的策略。
配合運(yùn)維部門完成技術(shù)架構(gòu)支撐的實(shí)施相關(guān)工作。

web安全測試及產(chǎn)品內(nèi)測

這部分工作對于對外有交易業(yè)務(wù)及產(chǎn)品的企業(yè)至關(guān)重要，對于對社會(huì)團(tuán)體有影響力的組織對外發(fā)布的網(wǎng)站群也至關(guān)重要，具有適應(yīng)企業(yè)現(xiàn)狀的測試方法，能熟練使用各種安全工具，熟悉sdl安全開發(fā)流程，開發(fā)自動(dòng)化測試工具。具備測試開發(fā)能力，都是企業(yè)安全保障的重要一環(huán)。

個(gè)人對這方面認(rèn)識還是比較粗淺，還請各位專業(yè)人士指正。

關(guān)于運(yùn)維部門的要求我也就不顯丑了，論壇內(nèi)的各種itil大神及itsm大神太多，總體參照ITIL最佳實(shí)踐的落地，還是強(qiáng)調(diào)的人的問題，人也是干好運(yùn)維的唯一主要因素。

規(guī)劃、設(shè)計(jì)、實(shí)施、變更、配置管理、知識庫記錄都應(yīng)該是完善完備的，

關(guān)于運(yùn)維工作我還是強(qiáng)調(diào)的是cmdb這個(gè)事，資產(chǎn)識別無論是安全還是運(yùn)維，都是重要的，因?yàn)槲覀円烙惺裁矗拍茏稣w規(guī)劃，才能考慮到冗余、災(zāi)備。業(yè)務(wù)可持續(xù)性等問題。

對于安全來講只有識別了資產(chǎn)的脆弱性才能做風(fēng)險(xiǎn)管理。

運(yùn)維的工作我還是建議大家看一下bmc的itsm系統(tǒng)，其中bbna（網(wǎng)絡(luò)自動(dòng)化工具）bppm（主機(jī)自動(dòng)化工具），對于網(wǎng)絡(luò)自適應(yīng)和自發(fā)現(xiàn)，甚至是apm應(yīng)用監(jiān)控等都是提升運(yùn)維能力都有所幫助。

最近實(shí)在是太累心，沒有寫技術(shù)類博客，等有時(shí)間一定精心制作技術(shù)博，還希望大家多多關(guān)注我。

Mr.wang

2018.6.1