”运维离不开安全 安全没有运维也就没有价值“理论下的隐藏意义

运维离不开安全 安全没有运维也就没有价值

说起运维安全，郭老师表示企业运维安全首先要从业务出发，考虑如何为企业业务做好IT系统支撑，提供一个稳定的平台，支撑企业业务发展，这是运维的基础。从安全角度来讲，运维是一个不可或缺的环节。运维离不开安全，而安全没有运维也就没有价值。

传统的运维是以采购、建设、把设备当不动产来管理的模式。伴随云计算、大数据以及移动互联网的快速发展，给企业运维安全工作带了很大的颠覆和变化。

一是，从以采购、建设和简单粗放式的管理转变到现在基于云承载的业务，更多的由关注设备转变成关注业务，这是一个很大的转变。

二是，从数据角度讲，现在有很多的数据支撑企业的业务发展，数据量大，维度多。所以，对于数据的解读是一个很大的挑战。现在我们不止需要管好PC时 代的数据库、服务器，还要管理好我们的数据，手机客户端，应用等，将这些维度进行关联，分析运维中出现的问题，以及业务发展中的问题。

每个业务千差万别，不同的行业就有不同的业务。但是归根结底可以分成几大类。在对业务进行关联分析时，首先是看规律，每个行为都有其规律，如采购规 律，时间规律。再次是可视化，不管数据量有多大，它的规律是客观存在的，而时间也是相对存在的，只要把这些客观规律和相对时间的数据进行采集，并通过可视 化的方式对事件进行解读，从而在业务角度找到着力点。因此，尽管业务千差万别，只要把规律、时间、可视化三个基础抓住，即可对各种业务进行解读。

从“不出事，能省钱”到“不出事，别丢钱”

以前，传统运维的核心是“不出事，能省钱”就OK了，在这个目标下，我们的运维工作就是很简陋的过程。省钱的情况下，无法发挥运维价值，对于业务的 解读也无法体现。如果要做好运维过程中的安全，无非是定好漏洞检测机制，并做扫描。我们经常说三天或者一个工作日之内必须做漏洞的修补，实际上从发现漏洞 到处理的周期是没有一个时间做量化考核的。这也体现出运维者的主观更新的问题。当出现病毒的时候，搞运维的人经常熬夜，吃饭不规律，缺乏锻炼，运维人员会 非常辛苦。 

数据时代，面对不断变化的新兴威胁和未知威胁，我们需要把好的方法论归结下来，用数据去表达它。围绕业务出发，以“不出事，别丢钱”为核心去做运 维，保障安全。通过流程引导合规，选择最合适的业务，改善业务运营模式，把漏洞和日志相结合，通过关联分析观察系统与主机曾经遭受的***，遭受了哪种攻 击，失败还是成功。最终，根据数据分析结果调整运维策略。

运维安全工作的难点与重点

作为企业的一个CSO或者企业运维安全管理的人员，他的运维安全管理工作中的难点是什么，重点应该放在哪里呢?郭老师认为，企业运维安全的难点在于企业中无论员工还是老板，整体安全意识偏低，需要全面提升大家的安全意识之后，加强企业运维安全。

个人看法：

当然，以上都是人家郭亮郭老师的看法，对此我只对于我懂那一方面说话，中国人多是吃一堑长一智的，在网络安全这方面难免因为觉得不需要而不重视。没有经历过的事情往往得不到重视。只是等经历下来又未必坚持的过去。再次没有多余看法的推荐网络安全方面要未雨绸缪，赶紧使用SSL数字证书。SSL证书可以加密网站客户数据，防止客户数据被盗用；增加客户信任度，提升交易量。总之SSL证书在安全网络的主流下是必不可少的，连百度没有交易项目都做全站https了，你的网站安全证书刻不容缓。使出事了也不丢钱是我们的共同愿望。