2023年11月1日，全国信息安全标准化技术委员会2023年第二次“标准周”全体会议，在武汉国家网络安全人才与创新基地成功召开。青藤联合创始人程度，在本次标准周的“网络安全产品与服务研讨会”上，发表了以《面向多重合规要求的主机安全运营探索与实践》为主题的演讲，围绕主机安全运营场景，深入分析其面临的多重合规挑战，阐述了青藤主机安全运营思路和框架，并举例介绍了青藤云安全在主机安全运营方面的实践情况。

主机安全运营面临多重合规挑战

主机安全运营主要面临多重合规要求、复杂棘手的运营现状，以及体系化运营与价值呈现的发展诉求等三方面挑战。

（1）主机面临多重合规要求

主机安全是整个信息系统安全的核心组成部分，在《网络安全等级保护2.0》、《关键基础设施安全保护条例》、《网络安全审查办法》等政策法规中，均要求从多个角度对主机进行自适应安全的设计和管理，以确保主机系统的稳定性和安全性。

（2）主机面临复杂棘手的运营现状

一是主机资产管理陷入瓶颈。随着各类业务不断发展与扩展，旧资产梳理细粒度不足，新资产记录信息缺失，资产更迭后台账更新不及时，风险资产排查困难，资产梳理陷入瓶颈。

二是主机风险、脆弱性难以收敛。随着各类主机资产不断增加，资产的脆弱性和风险暴露面越来越多，包括弱密码、可利用漏洞、老旧资产存在的入侵残留等高危风险。在风险的持续发现、修复优先级评价、漏洞缓解、复查验证等环节面临巨大运营压力。

三是主机安全事件处置闭环能力欠缺。主机层面入侵告警无法有效分析，无法还原攻击链路及有效溯源，事件调查周期长、响应处置效率低等问题突出。

四是主机安全基线合规无法保障。基于等保、CIS等合规基线是保障主机健壮性的重要一环，但由于缺少结合业务特点的检查标准，安全基线合规性往往得不到有效保障，整改推动极其困难。

（3）主机体系化运营与价值呈现的发展诉求

原始的主机层数据专业性强、异构问题突出，其他系统严重消化不良，信息系统之间的数据流动陷入瓶颈，导致整体安全运营体系化与价值呈现缺失重要一环。

主机安全运营思路与框架

青藤在服务客户进行主机安全运营中，形成了“指标化、流程化、体系化”的运营理念、自适应运营框架，以及三级运营指标体系。

（1）运营理念

让安全运营工作满足多种合规要求，同时以安全合规驱动安全运营工作扎实推进落实。以“业安融合”理念为指导深入客户运行环境，以运营结果为导向呈现安全运营价值。从用户的实际业务应用的安全保障需求出发，向用户提供持续且专业的现场主机运营服务，分析用户自身网络安全状况，不断发现问题并解决问题。在运营过程中帮助用户整合资源，固化流程，推动用户整体安全运营能力提升。

（2）自适应运营框架

青藤采用自适应框架来指导主机安全运营，分别在各阶段开展相关的运营工作。

l 预测威胁阶段

对主机系统的安全风险进行全面的预测和评估，包括对主机系统的漏洞、弱密码、配置风险进行分析，以便及时采取措施。

l 预测攻击阶段

通过强化主机系统的身份验证、访问控制、加密和安全配置等措施，防止未经授权的用户或者恶意软件对主机系统进行攻击和违法操作。

l 检测攻击阶段

主机系统的安全检测是必不可少的环节，需要采用有效的安全监控和日志记录工具，实时跟踪主机系统的运行状况，及时发现异常事件。

l 响应攻击阶段

在发生安全事件时，需要快速准确地响应，采取相应的应急措施，最小化损失，并对事件进行调查和分析，以提高主机系统的安全性和防御力。

l 运营指标体系

青藤在运营实践过程中，从资产、风险、威胁和基线4个方面，形成了三级30余项的运营指标体系，可以实现安全运营的效果评估，以不断提升运营质量。

主机安全运营实践

青藤已开展了多年的主机安全运营实践，下面从资产、风险、威胁和基线四个方面举例说明。

（1）资产运营

等保和关保相关国标中均对资产识别提出了基础的要求，青藤在此基础上，开展了细粒度的资产识别、维护等运营实践。

（2）风险运营

等保、关保和云审查相关标准中均对漏送、风险的识别管理提出了要求，青藤在此基础上，开展风险感知、评估、运营和验证等工作。

（3）威胁运营

等保、关保和云审查相关标准中分别对入侵防范、监测预警和事件处理提出了要求，青藤在此基础上，开展威胁运营工作。

（4）基线运营

等保、关保和云审查相关标准中分别对安全计算环境、主动防御和配置管理提出了要求，青藤在此基础上，开展自动化、日常化的主机基线检查工作。

青藤云安全，让云更安全！