網(wǎng)絡(luò)安全話(huà)題已經(jīng)不是新鮮事兒。伴隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等法律法規(guī)的推出，網(wǎng)絡(luò)安全產(chǎn)業(yè)進(jìn)一步健康發(fā)展。此外，國(guó)內(nèi)網(wǎng)絡(luò)安全攻防演練以及網(wǎng)絡(luò)安全建設(shè)效果的提升，也不斷推動(dòng)網(wǎng)絡(luò)安全行業(yè)向更高的層次演進(jìn)。

本篇小編嘗試著從馬斯洛理論來(lái)解讀安全運(yùn)營(yíng)需求，希望能給各位讀著一些啟發(fā)。

網(wǎng)絡(luò)安全運(yùn)營(yíng)需要解決的三大核心問(wèn)題：缺少專(zhuān)業(yè)的運(yùn)營(yíng)人員、沒(méi)有標(biāo)準(zhǔn)化的響應(yīng)處置流程、需要更加智能化的安全產(chǎn)品。

可能有人會(huì)覺(jué)得，不就是人、流程、產(chǎn)品嘛。缺人就招人，沒(méi)有流程那就制定流程，用制度驅(qū)動(dòng)人員的工作流程化，安全產(chǎn)品我已經(jīng)很多了，讓專(zhuān)業(yè)的人士用起來(lái)就行。然而安全運(yùn)營(yíng)不是1+1>2這么簡(jiǎn)單，需要有計(jì)劃、有思辨、有目的地進(jìn)行體系化設(shè)計(jì)。

首先，我們需要思考，企業(yè)/單位是哪些部門(mén)承載安全工作的。相信大部分會(huì)答案是IT部門(mén)兼職或者IT部門(mén)下的子級(jí)部門(mén)來(lái)負(fù)責(zé)。但也不乏一部分政府和企業(yè)有專(zhuān)職專(zhuān)業(yè)的團(tuán)隊(duì)專(zhuān)門(mén)負(fù)責(zé)網(wǎng)絡(luò)安全工作。

大多數(shù)IT部門(mén)預(yù)算投入的理想狀態(tài)是5%～10%，但實(shí)際情況下是3%，甚至更低。來(lái)拆解下這3%的預(yù)算都包含哪些費(fèi)用：IT基礎(chǔ)設(shè)施維護(hù)、更換、擴(kuò)容、IT人員的薪資、企業(yè)的信息化&數(shù)字化投入。其中信息化&數(shù)字化這是企業(yè)良性發(fā)展的重要戰(zhàn)略，也是體現(xiàn)IT負(fù)責(zé)人最有價(jià)值的事情。

安全，一出事就是大事情。如果你做為IT負(fù)責(zé)人，你會(huì)優(yōu)先投入哪項(xiàng)？想必許多人更容易傾向于產(chǎn)生成績(jī)的信息化&數(shù)字化建設(shè)。因?yàn)閿?shù)字化這番大事業(yè)干成了，獲得老板認(rèn)可，那么升職漲薪走向人生巔峰還會(huì)遠(yuǎn)嗎。

雖然不愿承認(rèn)，但這也直接導(dǎo)致安全的投入很微薄，在僅有的預(yù)算下，每年采購(gòu)一個(gè)新的產(chǎn)品就會(huì)囊中羞澀了，人員、流程、平臺(tái)只不是年初時(shí)的一個(gè)美好愿景罷了。

分析完是不是覺(jué)得安全運(yùn)營(yíng)這個(gè)事情就是扯犢子？生存問(wèn)題都還沒(méi)解決，網(wǎng)絡(luò)安全又這么虛無(wú)縹緲。但網(wǎng)絡(luò)安全發(fā)展的滾輪在快速追趕，信息化建設(shè)的初級(jí)過(guò)程已經(jīng)過(guò)去，在政府和企業(yè)已經(jīng)積累大量核心數(shù)據(jù)，這些數(shù)據(jù)如果管理不當(dāng)，會(huì)直接對(duì)本體造成經(jīng)濟(jì)損失或惡劣的社會(huì)影響。于是，我們又要把IT負(fù)責(zé)人拉起來(lái)鞭策，“為什么核心數(shù)據(jù)會(huì)泄漏？是怎么被泄漏的？這對(duì)我們?cè)斐闪藰O其嚴(yán)重的影響?！盜T負(fù)責(zé)人還沒(méi)享受好成功的喜悅，又開(kāi)始戰(zhàn)戰(zhàn)兢兢重新預(yù)算，心中的天平開(kāi)始傾斜網(wǎng)絡(luò)安全建設(shè)。

IT負(fù)責(zé)人看完，表示似懂非懂，難道哥的未來(lái)之路可以晉升到CSO、CIO了？有錢(qián)途，擼起袖加油子干。

從開(kāi)始被摩擦到分不清東南西北，一狠心在這個(gè)事情硬磕了3年，于是總結(jié)出來(lái)更這套解決方案與大家分享。

首先，要解決戰(zhàn)略問(wèn)題。如果沒(méi)有戰(zhàn)略高度，網(wǎng)絡(luò)安全就會(huì)面臨兩大難題：

其次，是人員問(wèn)題。政府和企業(yè)需要自己招募培養(yǎng)安全人才還是借助廠商的專(zhuān)家？

建議初期通過(guò)與技術(shù)提供商合作獲取專(zhuān)家人員的支持，先把安全運(yùn)營(yíng)價(jià)值點(diǎn)呈現(xiàn)出來(lái)，正所謂留得青山在不愁沒(méi)柴燒；過(guò)度到后期，配合政府和企業(yè)的而發(fā)展不同階段，可以招人&合作共營(yíng)，通過(guò)廠商的專(zhuān)家把團(tuán)隊(duì)培養(yǎng)起來(lái)，逐步替換為核心業(yè)務(wù)自主運(yùn)營(yíng)配合購(gòu)買(mǎi)技術(shù)提供商所提供的的定期培訓(xùn)，形成一個(gè)完善的人才管理體系。

第三，產(chǎn)品和技術(shù)。人員問(wèn)題解決后產(chǎn)品和技術(shù)的利用率自然而然就解決掉了，同時(shí)向上管理，在安全運(yùn)營(yíng)的戰(zhàn)略下將之前花的錢(qián)體現(xiàn)出價(jià)值來(lái)，這樣就可以獲得領(lǐng)導(dǎo)的瘋狂點(diǎn)贊。

解決了以上三個(gè)問(wèn)題的基礎(chǔ)上，最后一步，流程制度。配合法律法規(guī)要求的合規(guī)性等與業(yè)務(wù)部門(mén)拉通制定合理、高效的流程制度，也會(huì)水到渠成。

網(wǎng)絡(luò)安全建設(shè)任重道遠(yuǎn)，小米步槍已經(jīng)發(fā)展到海陸空三棲作戰(zhàn)，網(wǎng)絡(luò)安全運(yùn)營(yíng)也需要持續(xù)不斷的優(yōu)化完善，向著下一個(gè)目標(biāo)出發(fā)。