谈谈安全运营

周五（2019.9.6）晚听二胡大佬开坛说法，受益颇多，也写点自己的看法，记录一下青葱岁月。

要了解一个新事物，就要了解她/他的历史和发展历程。安全运营具体什么时候出现的，我没有特意去考证，国内大约就是2010-2012之间吧。可以确信的是从国外的安全趋势引入国内的；也可以确信的是互联网企业首先重视并落地这一理念的。为什么是互联网企业，而不是安全公司或传统企业，因为互联网动作快呀，愿试错又不太受监管。

之前我们做网络安全，突出的是保障，重视的是体系，持续优化一般都不是强项，毕竟产出没那么光鲜。改变这一切的还得从SRC说起。

SRC出现后，安全团队发现漏洞管理的第一步，也就是漏洞的发现和采集，有那么一帮无私爱探索、知法守法的白帽子可以帮助做，只要给他们适当的诱惑和关怀，她/他们就嗨皮的孜孜不倦，当然毕竟双方都受益。于是，安全团队进一步尝试，发现只要用心去经营这么一项事，时不时搞搞大促，平日多观照，漏洞管理第一步做好了，为后续开了好头，似乎漏洞的工作都在往良性发展。于是乎，安全运营从SRC落地开花了，这个花开的灿烂到推动了行业新理念、带动了行业新岗位和就业、引领了行业一个新时代。

安全运营又是啥？字面就是网络安全方面的运作和经营，重点是经营，要用心，也要有方法，最终效果才会更好。二胡大佬和欠钱大佬都有描述，我就不定义啦，也不敢班门弄斧，先说说自己的判断：

安全运营貌似需要四个要素：

一是面向用户的，这些用户是与安全相关的利益攸关者，是组织或人；二是围绕特定的安全内容的，这个内容与安全风险相关；三是基于产品或服务的，由此承载特定的安全内容；四是可开展活动的，具备特定的开展形式也有套路。

安全运营貌似又具备三个特征：

一是交互性。运营者和面向的用户一定是要互动的，有来有往；二是协作性。各方之间是相互协作的关系，共同完成运营者设定的安全目标；三是实效性。在一定时间内，运营的效果对目标达成很明显，影响很大。具体有很强的时间性，最佳时间错过则可能无以补救或效果变差。

那么，工作中哪些常见的工作属于安全运营，哪些又不算？个人不靠谱经验觉得，主要还是通过上述四个要素和三个特征判断。大家可以拉一个二维表，以四要素中特定的安全内容为一列；其他三要素三特证为一横，一一对应分析，我认为能分析清楚的就属于安全运营，说不清的，就可以先划到不算，即使不算也不一定就不是安全运营，人人参照的标杆不同而已。

按照上述方法，我简单划分一下：

属于的：入侵检测，漏洞SRC，安全意识，安全任职资格，第三方安全风险，资产梳理等；不算的：紧急响应，设备规则优化，挖洞，持续安全分析，管理制度优化，活动保障，外部检查等。

最后说一下，新事物或理念的出现并非一定推翻已有的理念或观点，也不一定能划分的很清晰，可能80%是原有的而20%赋予了新内涵或新价值或新特征，新赋予的原有的无法完全覆盖，所以就出现了新词。我们既要看到差异，看到新的内涵，也要明白她/他不是独立的。

也建议大家探讨问题时，多说观察，多描述事实，少说判断，少提观点，判断很主观，观点很廉价。牢记，也不要相信我上述的文字，我很可能都是错的。

2019.9.9早