服務(wù)外包在IT行業(yè)是很普遍的現(xiàn)象，通常會(huì)把自身不愿意組建團(tuán)隊(duì)來做的事情，外包出去。隨著時(shí)代的發(fā)展，IT行業(yè)的體量在不斷擴(kuò)展，從一開始只有門戶網(wǎng)站、辦公、協(xié)同系統(tǒng)等單一的業(yè)務(wù)應(yīng)用，到現(xiàn)在的移動(dòng)辦公、虛擬化、云計(jì)算等越來越復(fù)雜的IT環(huán)境，需要外包的服務(wù)類型也越來越多。

業(yè)務(wù)單一時(shí)，只有設(shè)備運(yùn)維需要長期駐場，業(yè)務(wù)擴(kuò)展后，原有的定期滲透測試、代碼審計(jì)等攻防技術(shù)類工作，也需要加在日常工作流程中，通過長期駐場的方式進(jìn)行。當(dāng)業(yè)務(wù)擴(kuò)展到需要一個(gè)團(tuán)隊(duì)來對(duì)接安全部門與開發(fā)部門，資產(chǎn)、漏洞等信息需要平臺(tái)來管理時(shí)，運(yùn)營工作也需要外包駐場了。

運(yùn)營團(tuán)隊(duì)類似于安全部門的行政，運(yùn)營人員的工作性質(zhì)與秘書、助理等差不多。相比較于滲透測試工程師對(duì)技術(shù)的要求，咨詢顧問的行業(yè)工作經(jīng)驗(yàn)，項(xiàng)目經(jīng)理對(duì)項(xiàng)目的把控，運(yùn)營人員需要的技能體現(xiàn)在溝通協(xié)調(diào)能力、文檔整理能力等方面。

駐場在甲方的運(yùn)營人員，需要幫甲方處理的事情包括：

一、工作對(duì)接

任務(wù)發(fā)起：甲方接口人發(fā)起一個(gè)任務(wù)，如系統(tǒng)滲透測試，風(fēng)險(xiǎn)評(píng)估等。

計(jì)劃制定：運(yùn)營團(tuán)隊(duì)與安全團(tuán)隊(duì)溝通，完成該任務(wù)，需要的材料（如：資產(chǎn)清單，管理員聯(lián)系方式等），需要配合的部門，計(jì)劃時(shí)間等。然后擬定工作計(jì)劃，向甲方接口人匯報(bào)，征求甲方同意后，配合安全團(tuán)隊(duì)開始任務(wù)。

任務(wù)進(jìn)行：在安全團(tuán)隊(duì)開展工作后，協(xié)調(diào)安全團(tuán)隊(duì)所需要的資源，跟進(jìn)任務(wù)完成進(jìn)度，定期向甲方匯報(bào)。將安全團(tuán)隊(duì)的工作結(jié)果反饋給各團(tuán)隊(duì)整改，如應(yīng)用安全問題反饋給開發(fā)組，網(wǎng)絡(luò)安全問題反饋給網(wǎng)絡(luò)組等。維護(hù)安全問題列表，如等保整改計(jì)劃表、漏洞表等。

任務(wù)結(jié)束：安排安全團(tuán)隊(duì)向甲方匯報(bào)檢測情況，開發(fā)、運(yùn)維團(tuán)隊(duì)匯報(bào)整改情況，記錄檢測結(jié)果及整改進(jìn)度。

二、信息維護(hù)

運(yùn)營團(tuán)隊(duì)需要記錄、維護(hù)安全工作結(jié)果，包括資產(chǎn)表、漏洞追蹤表、管理制度落實(shí)記錄等，定期做成臺(tái)賬匯報(bào)給甲方。還需要維護(hù)甲方單位各種信息，各運(yùn)維組、開發(fā)團(tuán)隊(duì)對(duì)接人聯(lián)系方式，熟悉甲方組織架構(gòu)，在甲方需要開展安全工作時(shí)，隨時(shí)能夠協(xié)調(diào)其他部門配合。

三、工作推進(jìn)

在甲方想要推進(jìn)安全工作時(shí)，獲取甲方需求后，制定方案，與甲方溝通，確認(rèn)后，協(xié)助甲方開始推進(jìn)。如：甲方想讓所有開發(fā)團(tuán)隊(duì)在SDL流程中加入代碼安全檢測，經(jīng)過代碼審計(jì)后的系統(tǒng)才允許上線。運(yùn)營團(tuán)隊(duì)需要輸出代碼安全工作推進(jìn)方案，首先安排安全團(tuán)隊(duì)與甲方溝通代碼審計(jì)需要的技術(shù)支撐，然后了解開發(fā)團(tuán)隊(duì)SDL流程，確定代碼審計(jì)加在流程哪個(gè)部分合適，接著制定考核方案，針對(duì)開發(fā)團(tuán)隊(duì)配合程度及檢測出來的代碼質(zhì)量進(jìn)行評(píng)分。最后制定推進(jìn)流程，需要甲方接口人向哪些領(lǐng)導(dǎo)匯報(bào)，編寫好匯報(bào)材料，向哪些配合部門發(fā)送通知，編寫好通知內(nèi)容。方案輸出后與甲方溝通，確認(rèn)后開始推進(jìn)。

相比較安全行業(yè)的其他工作，運(yùn)營工作在技術(shù)和經(jīng)驗(yàn)積累上不是很明顯，運(yùn)營人員也給人一種打雜的印象，運(yùn)營團(tuán)隊(duì)經(jīng)常出現(xiàn)人員更換頻繁，一直缺人的狀態(tài)。運(yùn)營人員的發(fā)展和出路，具體可以在以下方面：

1）運(yùn)營工作工具化，運(yùn)營人員每天的文檔整理，人員溝通等，可以使用工具代替，首先需要熟練使用Excel，使用宏、函數(shù)等提升工作效率，然后再開發(fā)一些工具，自動(dòng)處理文檔，如：將掃描器報(bào)告自動(dòng)導(dǎo)出到Excel和word中，漏洞類別、威脅程度按照格式歸類好，調(diào)用SMTP協(xié)議自動(dòng)發(fā)送郵件等。最后可以將各個(gè)工具匯總到平臺(tái)上，通過平臺(tái)來完成運(yùn)營工作。

2）運(yùn)營工作咨詢化，運(yùn)營人員需要了解安全咨詢標(biāo)準(zhǔn)，如：27001、20984、等保等標(biāo)準(zhǔn)，在日常運(yùn)營中，依據(jù)咨詢條款向甲方建議安全工作的開展和推進(jìn)方式，如等保檢查項(xiàng)中，就有惡意代碼防范的檢查要求，讓甲方知道，自己身邊就有個(gè)咨詢專家，安全工作是參考行業(yè)最佳實(shí)踐開展的。

運(yùn)營之殤，安全行業(yè)中的行政，既是安全，又是行政。