9. 持续服务

方案[1]实施包含了部署，技术支持，客户咨询等方面。这意味着在方案落地之后项目只是达到了阶段性交付，并未结束，依旧需要持续运营。本章通过介绍实施过程中的相关问题以及持续运营来认识持续交付。

以客户为中心

理解每个客户[2]的差异性，统一基础上提供定制化服务，并通过PDCA持续改进。

部署

结合基础设施完成解决方案的部署并满足架构质量[3]。例如采用负载均衡、完成域名申请并增加相应DNS解析、开通防火墙规则、接入日志平台、增加监控告警、设置权限分组等。整体大致可分为初始化配置[4]、上线测试、对外服务、系统维护等。

运营

持续服务的主要体现就是运营，主要包含了日常操作[5]、客户咨询、技术支持、专项治理等；

交付[6]

基于已有方案，根据不同的需求交付新的功能。

系统集成

集成其他服务，以及被其他服务集成。例如：Vault和Nessus、Aqua集成；HSM和KMS、AD、PKI集成；NTP、Zabbix同许多基础设施集成等；

定制开发

集成、部署、运营的过程均可将日常工作自动化。例如自助服务（代码扫描、证书申请等），定制服务（扩展功能、支持新的平台等）；

[1] 交付的方案只是当前（中期）最适合的，并不一定是最优的（受限于资源），仍需持探索更新。

[2] 首先要明确所在安全部门的客户有哪些？产研、兄弟团队、法务等。

[3] 参考第五章中架构质量相关内容。

[4] 需符合基础设施基线原则，即结合基础设施，可以超过基础设施安全标准，但不可低于。

[5] 应当尽量做到自动化，或者采用工具辅助重复性的运营工作。

[6] 在合理情况（同类产品同类功能）下扩大支持的功能范围。