Question

资源一般包括流程与机制、组织架构与人员等，是实现安全运营的重要保障。

1.流程与机制

有效果、高效率的安全运营流程与机制是非常重要的。安全运营流程的核心是做好两个标准化的流程：

·安全事件处理流程。定义什么级别的事件该由什么样的人，在什么时间，按什么标准处理完成。一个外部攻击扫描，和一个内部分支机构的 IP 地址持续不断地对重要服务器的高权限账户的暴力破解，两者安全级别肯定不同。前者最多为普通或关注事件，由安全一线工程师下发一个指令，在防火墙上自动封禁该外部 IP 地址一段时间即可。后者需要定义为高风险事件，需立即由有经验的安全二线工程师或安全专家联系分支机构进行溯源排查，有可能是中了金融行业的特种木马，有可能是网络蓝军在偷袭，还可能真的是有攻击者进来了。不管如何，发现这些问题，就意味着安全感知能力已经往前进步了，终于不再是靠运气和概率而工作了。

·安全运营持续改进流程。安全事件的闭环管理，每笔安全事件的处理结果最终必须为误报或者属实，二者必选其一。如果是误报，必须改进 SIEM 安全检测规则或安全 Sensor 监测措施。如果属实，好的一面是安全检测能力有效，坏的一面是坏人已经进来了，那就需要根据坏人已经突破的层面，进行针对性的改进。安全运营持续改进要求每天、每周、每月都坚持进行安全事件 review，有可能重要事件被一时大意的一线人员放过，也可能是其他原因。安全运营持续改进流程的质量可能决定了整个安全运营质量。

2.组织架构与人员

我们期望的大型安全部门组织架构应该如图 20-3 所示。

图 20-3　理想的大型安全部门组织架构图

实际工作中安全部门组织架构图却是如图 20-4 所示。

图 20-4　实际工作中安全部门组织架构图

理想很丰满、现实很骨干，理想和现实总是有差距的。

团队规模方面，互联网公司阿里和腾讯，其安全团队的规模大约在 2 千人，总员工数约 3 万多人，安全团队人员占总员工人数约 7%，金融行业和这个比例差距还比较大。国内股份制银行总行安全团队规模一般为 10~20 人，总行 IT 人员从几百到几千不等。券商的安全团队人数普遍在 2~5 人之间，个别券商的安全团队有 7 人，已经算是“豪华配置”了。

作为金融企业安全部门中的一个重要团队，安全运营的实现肯定也离不开组织与人员，以下是推荐的安全运营团队配置：

证券公司安全运营团队建议按 1∶2∶3 比例配置：1 个安全运营平台运维人员，负责服务器和应用运维，该部分可以交给 IT 部门的运维团队代为运维；2 个安全人员互备，一个负责安全 Sensor 建设，一个负责安全检测规则和安全二线，包括事件调查、回顾与汇报、持续改进；3 个外包安全一线，负责 7×12 事件响应和初步调查确认。

股份制银行安全运营人员数量推荐配置为证券公司的 2~3 倍，外包人员还可视事件类型和数量增加。