Question

金融企业安全的内容是什么？金融企业安全的全貌是什么？要回答这两个问题，让我们拿着显微镜，看看安全管理员每天的工作内容：每天查看各类安全设备和软件是不是正常运行；查看安全设备和系统的安全告警，响应处理如入侵检测、互联网监测、蜜罐系统、防数据泄密系统的日志和告警，查看各类审计系统，如数据库审计、防火墙规则审计，查看外部第三方漏洞平台信息；处理各类安全检测需求和工单；有分支机构管理职责的还要督促分支机构的安全管理工作；填报各类安全报表和报告;推进各类安全项目；有的还要付出大量精力应对各类安全检查和内外部审计。

做过基层安全运维的人对上述场景都会很熟悉，这是金融企业安全各个场景的缩影，但不是全貌。如果一个企业只有少量人员、服务器和产品，那么上述内容就是企业安全工作的全部。但是，如果企业拥有万台服务器、几百名程序员、数以百计的系统，那么企业安全除了安全设备部署、漏洞检测和漏洞修复之外，还要考虑安全运营的问题，从工作量上看，这两类工作各占一半。

占据“半壁江山”的安全运营，重点要实现以下两个目标：

1）将安全服务质量保持在稳定区间。

企业部署大量的安全防护设备和措施，在显著提升安全检测能力的同时带来问题：随着安全设备数量的急剧增多，如何解决安全设备有效性的问题？在应对安全设备数量和安全日志告警急剧增多的同时，如何确保安全人员工作质量的稳定输出？安全运营的目标是要尽可能消除人员责任心等因素对安全团队向外提供安全服务质量的影响。

举个例子，大餐和快餐，大餐靠的是名厨名师的发挥，如果今天这个名厨心情不好或者换个新人，可能做出的产品质量就有非常大的下降。而快餐如肯德基，所有的操作都标准化和流程化，就是没学过烹饪的人经过短期培训和严格管理，也能确保炸出的薯条味道一模一样。快餐的标准化流程和管理几乎完全消除了人的因素，确保对外提供的服务质量能够始终稳定，不会出现大幅波动的情况。

安全运营的目标之一，就是在企业扩张，业务和系统日趋复杂，资源投入保持基本稳定的情况下，尽量确保安全团队的服务质量保持在稳定区间。

2）安全工程化能力。

安全运营还需要解决的一个问题是安全工程化能力如何提升。举个例子，企业内很多有经验的安全工程师能够对一台服务器疑似被黑进行排查溯源，查看服务器进程和各种日志记录，这是工程师的个人能力。如何将安全工程师的这种能力转变成自动化的安全监测能力，并通过安全平台进行应急响应和处理，让不具备这种能力的安全人员也能成为对抗攻击者的力量，这是安全工程化能力提升的收益，也是安全运营关注的问题。

要实现目标，必须有方法。本章接下来将从架构、工具、所需资源三个方面介绍安全运营体系的实现方法。