浅析IT安全运维管理

   近几年颁布的《网络安全法》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》和网络安全等级保护2.0系列国家标准等，共同构建了我国IT安全行业相关法律法规和执行标准。为各行各业在进行IT应用系统设计、建设和维护的各个阶段，提供了全面的IT安全体系支撑。

   安全行业一句老话：IT安全三分技术七分管理。但IT技术更新很快，对新技术的学习，的确需要花费很多时间和精力，因此在IT行业盛行重技术而轻管理的思维，同时如果你不了解一项新技术就无从谈起对该技术的有效管理。客观上，要全面保障IT应用系统安全，IT安全技术和管理，就好像左手和右手，都是同样重要。

一、IT、安全、运维管理的理解

1、IT安全的理解

   IT是Information Technology的英文缩写，中文翻译为信息技术，该技术主要用于处理、存储、计算和管理信息。目前阶段IT代表了除AI之外的所有信息技术，因此IT安全包括了网络安全、系统安全、应用安全、数据安全、云计算安全等内容。

   当然IT安全还应该包括IT安全管理，如IT安全策略、管理制度、组织架构、人员管理、IT安全操作手册等管理方面的内容。

2、IT安全运维管理的理解

   在IT应用系统的运维阶段，为保障IT系统的机密性、完整性和可用性，对相关IT环境设施、IT软硬件设备、IT安全设备以及IT安全人员的全面有效管理。

3、IT安全运维管理和IT运维管理的区别

   目前阶段IT安全运维管理和IT基础运维管理，两者的界限还是比较模糊。因为大部分企业，没有设置专职的安全运维工程师，有时候安全运维工程师会由运维工程师兼任，部分企业运维工程师也都由其他岗位兼职。因此在没有设置专职安全工程师的岗位情况下，的确很难区分两类管理之间的界限。但两者的区别还是很明显的：

   目标区别：前者是保障IT系统CIA安全；后者主要为了保障系统稳定运行和高效利用。

   范围区别：前者服务范围以IT安全设备为主；后者服务范围以支撑IT系统的IT软硬件为主。

   日常工作区别：前者以安全事件、安全问题为关注点，执行安全巡检、安全维护、安全加固等工作。后者以IT系统可用性状态为关注点，开展日常巡检、维护和部署等工作。

   按照等级保护2.0系列标准以及国际ISO27001信息安全管理体系的要求，明确IT安全管理员和系统管理员是不可以兼任的。因此有条件的企业，从业务发展的长远角度来看，还是应该设置专职的IT安全管理员，来保障IT系统安全，为迎接AI时代提前做好技术储备。

二、IT安全运维管理体系

    完整的IT安全运维管理体系包括制度体系和技术体系，其中制度管理体系主要包括IT安全目标策略、IT安全管理制度、IT安全组织架构、授权审批、IT安全人员管理等内容；而技术管理体系主要包括IT安全资产管理、IT安全风险评估、IT安全配置管理、IT安全事件管理、IT安全巡检加固、IT安全备份与应急管理等方面内容。在具体IT场景环境中，可以根据实际情况，如安全目标要求、IT资产范围、费用预算、人员能力及数量等条件，进行有选择分阶段的灵活体系设计。

三、IT安全风险评估

   IT安全风险评估是IT安全运维管理体系实施的第一步，IT安全风险评估主要包括准备阶段、识别阶段、风险分析阶段和风险处置阶段。其中识别阶段比较关键，包括了资产识别、威胁识别、技术脆弱性识别、管理脆弱性识别和安全措施识别等内容。

   IT安全涉及众多细分技术领域，并且IT技术自身发展速度很快，一项IT新技术还没有完全普及，就有可能被另外一项IT新技术所替代，同时全球也在大力发展推动AI人工智能技术在各行各业的落地应用，因此IT安全体系很快也会随着AI时代的到来，升级为AI安全体系。IT安全对于业务应用来说是一把双刃剑，一方面需要额外的资金投入而且会对易用性产生影响，另一方面IT安全始终是保障业务应用长期稳定发展的重要基石。因此我们需要把安全做专做实，不断学习新的IT安全技术，持续优化现有IT安全管理体系，助力数智化业务更高质量、更快速度、更加安全的长久发展。