过往二十年看安全服务变迁

绿盟科技安全服务体系从无到有，可以将其分成五个阶段。

自绿盟科技成立伊始，安全服务就成为首批具有鲜明绿盟特色的安全业务，早期安全服务的主要客户群体是互联网企业，其企业规模和如今的互联网企业不可同日而语，服务内容也相对单一，主要是围绕服务器这一核心资产进行的技术性服务 ：包括渗透测试（攻防能力展示）、安全加固（缺陷修复）、应急响应（抑制和止损）、安全培训（知识能力传递）。基于自身安全能力的传递和变现成为安全服务在国内行业启动的第一源动力。

这期间，绿盟科技开始实践并孵化出了一些工程服务的业务雏形。

基于英国标准化协会《信息安全管理体系》标准BS7799，尝试在客户项目中进行目标明确的管理评估（与管理评估相对应的通常被称为技术评估），这为后来的风险评估体系化和管理咨询业务注入了关键基因。

随着服务项目体量的逐步加大，包括中标某运营商的全网评估，都对工程管理、文档质量和数据呈现提出了更高的要求。当时正值非典时期，疫情期间业务的暂时搁置给了技术人员大量的空窗期，他们对文档模版、工作规范开始了全面的标准制定，包括渗透测试报告等模版都开始出现了。这一标准化工作的启动，一改安全服务输出成果的文档形态，更加贴近技术文档的行业现状，成为安全服务标准化的第一步。

在绿盟科技的“产品”和“服务”两大业务体系的构建过程中，如同行业内众多安全细分领域的创业公司一样，绿盟科技在以服务为触点接触客户的同时，为产品赋能成为安全服务的重要使命：围绕产品构建服务体系；通过产品为人员二度赋能：如基于扫描器进行评估服务，基于IDS流量进行一定周期内的威胁分析。这一模式很大程度上解决了“专家级”人才相对不足的问题，人员通过产品培训以及基础知识储备即可完成“程序化”服务。

这一阶段，绿盟科技安全服务的服务主张逐步形成，一个优秀的服务离不开清晰的服务主张，只有具备服务主张，服务人员才能和客户最大程度上达成一致的认知。早期绿盟提出的服务主张被概括为5-3-9-3模型（5个目标、3个阶段、9个服务模块、3个价值）。

通过5-3-9-3模型可以看到，其融合了BS7799、国际标准化委员会《信息安全管理指南》标准ISO/IEC13335以及系统安全工程能力成熟度模型SSE-CMM的体系思想，充分识别了认证合规、风险管理以及数据和业务可靠的安全服务核心驱动力，尤其是数据可靠这一安全目标的识别，在当时是难能可贵的。在这一时期，安全合规以及与IT治理相关的咨询服务随着BS7799被采纳为ISO27系列标准，以及美国《萨班斯—奥克斯利法案》SOX的出台，绿盟科技安全服务开始逐步进入客户的视野并且获得了客户的认可。越来越多的客户意识到各项安全工作推进前，安全标准需先行，安全标准的重要性被提升至了新的高度。绿盟科技也从向单一客户提供技术和管理的实践性服务，逐步过渡到参与行业安全标准乃至国家网络信息安全标准的制定，包括国家信息安全产品测评中心《网上证券交易系统安全保障要求》、公安部《信息系统等级保护评估实施指南》、国家信息中心《信息安全风险评估/管理指南框架》、证监会《证券期货业安全保障体系》、国家应急响应处理中心《网络安全事件处理服务规范》等一系列标准的讨论和制定，这其中均可以看到绿盟科技安全服务顾问的身影。通过对安全标准的充分理解和吸纳，并将其与绿盟科技的原生服务能力融合，绿盟科技通过5-3-9-3模型首次将风险管理、认证咨询与合规和可管理安全服务（MSS）整合形成统一解决方案的体系模型，这也奠定了绿盟科技安全服务体系化的发展基石。

值得一提的是，这一阶段的绿盟科技也开始尝试通过全面运营的方式助力客户安全能力的提升。2003年正值与微软操作系统相关的各类蠕虫爆发的时期，包括冲击波在内的蠕虫爆发给大量企业造成了巨大的业务损失，绿盟科技立即启动与某国内大型券商的全面运营服务，作为安全第一责任人全面参与各项网络安全工作，将日常运维服务与系统安全管理紧密融合，迅速带动了客户安全能力的实质提升。

经历国家重保，让我们意识到安全服务的“地面部队”需要与云端能力共同构建，从而形成立体的保障体系。通过云端能力和现场保障人员的充分连接建立“云地”两级的保障体系，这也成了绿盟科技“云地人机”思想的雏形。

随着行业客户的崛起和成熟，绿盟科技安全服务也进入了业务的成熟期。典型模式中开始将服务能力与行业特点和业务场景相融合，无论是针对银行业的电子银行评估，还是主要面向运营商行业的安全域划分，绿盟科技安全服务均成为行业服务的标杆，同时也进入了行业客户和通用安全的视野。善用依托通用安全服务的能力和知识体系，设计具有行业针对性的安全服务，成为绿盟科技安全服务的特色。

同时，这一时期的安全服务体系也将咨询设计、可管理安全服务、教育与培训、安全能力评价以及安全研究等主要的服务领域进行了更加模块化的设计，形成了更加清晰的客户服务全景。参考IT服务领域的成熟经验，绿盟科技安全服务也引入了“服务产品化”的概念，即基于安全服务研发和交付的同时性，快速构建创新服务的体验原型，实现安全服务能力端到端的交付与快速复制。

随着2014年绿盟科技在深交所上市，在原有优势的基础上，对安全研究领域加大投入，分别在物联网、云计算与虚拟化、数据智能等前沿领域成立了独立实验室，并且发布了智慧安全2.0战略，正式启动基于“云地人机”的安全运营战略转型之路。服务业务也开始走向海外市场，其中具有代表性的包括在海外陆续建立的云清洗中心CloudDPS等服务能力建设。

这一时期，合规与治理的外部政策环境出现了里程碑式的根本变化，随着《网络安全法》、欧盟《通用数据保护条例》（简称GDPR）等法律的相继发布和实施，资产保护的视角从聚焦服务器资产和人员资产逐步转向关注全生命周期的数据资产。从这两年网络安全大会RSAC创新沙箱环节的评选就可见一斑，数据和隐私成为新的行业热点，一批相关领域初创公司（2020年的创新沙箱得奖者Securiti.ai就是典型代表）开始涌现。在数据和隐私这条安全新赛道上，绿盟科技及时面向客户群体启动了针对GDPR以及《网络安全法》的政策解读，并第一时间面向具有跨境业务的客户提供GDPR咨询服务，从人员、流程、技术和隐私治理等多角度出发，督促企业尽快符合GDPR的要求，成为最早拥抱数据和隐私领域的国内主流安全服务商。

在对抗领域，在“震网”Stuxnet时期初露端倪的APT攻击以及全球网络战逐步成为安全的新兴驱动力。在此背景下，国家也对关键信息基础设施保护提出了更高的要求，评估服务在作为不可替代的基础服务的同时，更具对抗性和协同效果的评估服务如红队/蓝队（RedTeam/BlueTeam）服务作为增性型服务开始出现。为应对对抗升级，绿盟科技通过建立专业的红队和蓝队，将攻防能力、设备防护与运营能力，分别从红蓝两方的视角面向企业客户提供对抗服务，从而确保关键信息基础设施在运行过程中，可以实现情报能力、事件响应能力和对抗性能力的协同运营。

回顾绿盟科技安全服务体系的演进过程，其核心驱动力始终是以风险管理、合规驱动以及新技术领域或新攻击面为导向，进行全生命周期管理的服务理念，姑且称之为安全服务体系1.0。基于这一理念，绿盟科技认为构建一个成熟的安全服务体系的基础要素包括服务主张、核心能力、体系化和标准化能力以及持续运营能力。那么，面向未来安全服务业务领域，进行2.0版本的服务体系升级，需要哪些变革呢？

1.逐步改变以产品和服务为触点的模式，将用户视作安全能力运营中的监测点，通过辅助用户闭环运营来驱使安全能力的提升。

2.服务能力从依托专家和积累经验的异质性交付，变为以知识管理为前提，依托高效能平台工具，将安全能力传递给用户并构建有效的运营机制。

3.安全人才从单一的攻防型人才强势需求，走向细分岗位横纵拉通、高效协作的复合型需求。安全服务体系2.0将出现能力团队、运营团队、服务方案设计团队以及专项业务纵向指导团队，实现了从需求到建设，再到运营的立体架构。

4.安全人才与业务模式互为推力，安全人才在演进的过程中呈现出多元化的发展态势，其实是业务需求、技术变更和监管的共同驱动作用下，推动安全服务业务模式的进步。安全人才在业务模式的带动下，岗位发展逐步精细化，当专业化人才形成规模时，反过来会对安全服务业务进行正向的改进和优化。因此，需要对体系化和标准化的服务框架进行撮合，相互促进。

绿盟科技安全服务体系2.0立足于自身安全能力以及对行业客户的理解，以“创新、共建、价值化”作为服务理念，将服务项目、服务数据、服务人员作为触点，通过运营强化和知识管理来构建服务能力中台，最终通过“标准化+方案化”的服务产品来进行端到端的交付，实现面向客户的能力转移。

可以预见，在新的安全体系下，除了风险管理、合规治理以及新增攻击面等传统驱动力，通过新的数据和知识驱动，将衍生出一系列新兴服务：

新体系下的安全体系建设咨询:随着安全思想的进步以及专业安全人员的相对稀缺，原有的安全体系难以更好地匹配安全建设、检测与响应等场景的需求。而“对抗战术、技术和常识”ATT&CK框架、安全编排自动化与响应SOAR等兼具知识管理，可拓展、可落地，具备实战能力的体系模型开始成为客户安全建设时的体系参照，由此衍生出的威胁建模等服务，将客户的检测和响应体系、自动化能力以及内外部安全数据和知识更好地进行结合，使企业安全建设能力得以最大程度地发挥，实现投入和产出比的最大化。

情报与协同服务:由于安全行业存在大量的细分领域，任一安全厂商可能都无法独立完整构建满足客户需求的安全情报体系，即便客户采购多源的情报，但这些情报如何更精准地应用于客户，往往只有贴近客户的服务供应商才有最大的发言权。了解企业的资产情况和风险偏好，结合外部多情报源的输入，并发挥安全厂商原生情报和社区化能力，将使企业应对关键时刻，（如国家级演练、高危漏洞爆发时）快速响应和决策，拉通每个客户形成一定范围的情报共享社区，实现跨企业的响应闭环和情报共享。

数据分析与评价服务:随着客户运营能力的增强，服务过程中产生的大量客观数据和主观评价，均可用于持续定级和度量当前的安全运营状态。安全厂商在介入运营的过程中，也会提供更强的数据能力和决策建议能力，协助企业掌握自身的风险评级。

绿盟科技经过在安全服务领域的深耕，并与各行业客户风雨同舟二十载，深深意识到安全服务能力的长期发展将是对服务团队耐力和生命力的考验，其过程注定是持续而漫长的，若失去了耐力和延续性，安全服务能力的进步将停滞或者偏离。安全服务是一种共创价值的业务形态，持续抓住客户需求并对其精准回应，共同决策、积累和沉淀经验，最终共同实现安全能力的螺旋式上升。

最后，用一段话结束本文，“虽然我们可以利用各种工具来完成一些自动化的检测工作，但是更重要的是经过我们经验丰富的工程师的人工检测，撰写了这样一份易于理解和实施的专业性报告，这是任何安全工具都不能实现的目标。”

绿盟科技安全服务，将安全带到设备不可达的地方。