山石发声 | 做好安全运营，没有你想象的那么难

技术变化快，投入不可控？

攻击侧升级，攻防不对等？

人才缺口大，维护成本高？

山石网科安全运营体系

让安全运营挑战迎刃而解

近年来，全球安全服务市场景气度较高，行业增速远高于安全行业的整体水平。究其原因，首先是IT基础架构的变化驱动安全服务体系的建设。伴随着企业业务逐渐向云上迁移，网络安全形势变得更加严峻，新型IT环境下安全服务体系的建设成为企业安全支持的重点；其次是政策合规促进安全服务发展。《网络安全法》、《数据安全法》、《个人信息保护法》、等级保护2.0等法律法规的相继出台，为提升国内政企用户安全服务需求增加了动力。近期，工信部印发的《“十四五”软件和信息技术服务业发展规划》也指出，要围绕软件产业链，加速“补短板、锻长板、优服务”，增加信息技术服务供给，提升软件产业链现代化水平。

在这样的产业大背景下，安全运营以其平台化的服务交付界面、集约化的服务建设能力、专业化的梯队专家资源等特点，正逐步探索衔接客户和安全供应商之间的更优的服务交付模式。安全运营提出了强化网络安全服务能力、优化网络安全服务水平、降低网络安全服务成本的安全服务创新发展新路径。

要全面理解安全运营，需要首先解答如下几个问题。

01 为什么需要安全运营？

安全运营的需求来源于内、外部多方面因素。

从大环境看，随着国内外网络安全形势的持续变化，促使政府、企业及各类行业组织需要不断推进安全工作的进一步迭代。国家层面通过发布政策法规推动增强合规管控要求，强化网络安全建设基线标准，提升足以应对常态化对抗事件的能力；行业组织通过发布行业建设和测评标准、推广行业资质，提升行业监管和行业自律力度。

从企业自身内驱的角度看，随着数字化转型的深入，更多的战略业务在数字化之后暴露在了更加高风险的连接环境中，战略业务的安全保障成为了企业发展的必要基础，于是各单位普遍开展了安全建设：购置大量安全设备、增设安全岗位、设立安全部门等。但投入成本过高、安全人员缺口大、专业技能不足等因素却一直在困扰着政企各单位。管理层以及安全负责人们逐渐认识到，只有良好的安全运营才能体现安全设备价值、提升安全工具效果、降低安全投入成本，充分保障安全体系的高效运转。

从企业内部诉求看，主要有如下几点困扰：

图注：安全运营核心驱动力和企业面临的挑战

1）技术变化快，投入不可控

网络安全技术高速变化，传统建设方式成本过高。

图注：新一代信息技术飞速发展

随着全球数字化转型的持续推进，以云计算、大数据、物联网、移动互联网等为代表的新一代信息技术蓬勃发展，我国也结合国情推出了一系列数字化转型建设工程，推动全国信息技术的发展和应用。数字经济已成为疫情时期拉动全球经济增长的重要引擎。数字技术的高速发展为企业发展注入了强劲的动力，但同时，也使企业面临着投入成本不可控的困境。

面对日新月异的攻击技术和手段，安全防护技术和手段也需要不断发展和演进，传统的一味依赖采购设备来增强安全防护能力的方式正在变得愈发不切实际。在了解到安全技术演进规律并粗略计算过投入产出比后，许多企业会陷入一边是动态增加的安全建设成本，一边是安全风险不一定会发生的侥幸心理的相互博弈的矛盾局面。

2）攻击侧升级，攻防不对等

网络安全问题愈发严峻，传统安全手段力不从心。

图注：攻击侧升级导致的变化

新的技术环境下，攻击侧技术和手段不断升级，呈现出规模大、危害强、更难发现、更难防控等特点。网络安全的战场、打击目标等都随着信息技术的发展和客户业务重点的转变等发生了变化，而企业的应对手段反而往往相对滞后，传统的依赖单一产品能力和产品堆砌的做法显得力不从心，难以为继。由于攻防双方能力的不对等，导致企业业务经常性的处于风险威胁之下。

3）人才缺口大，维护成本高

人才培养的困境，需要专业的人做专业的事。

图注：全国网安人才缺口大

除了采购设备和购买服务的投入，企业对于专业安全人员的需求也在逐年增加。而当前我国网络安全人才处于严重短缺状态，据统计缺口可能高达50-100万，而我国每年网络安全相关专业毕业生仅2万人，人才储备不足的情况短期内恐怕难以解决。而随着政府和企业对于安全要求的逐步提升，对人才能力的要求也水涨船高，人才是否“好用”也成为企业关注的重点。

如何才能够让企业可以更加专注于其主营业务，减少在安全方面的焦虑，是近年来企业最关心的话题之一。

02 安全运营的“解题思路”？

安全运营体现着体系化安全建设思想：紧密结合客户业务特点、增强融合安全能力、以运营能力为交付、持续化迭代优化提供服务以实现安全目标。为客户降低投入成本、增加服务获取效率、保障业务安全、提升使用体验等诉求提供了体系化解决方案能力。通过自建或托管安全运营体系，可以帮助企业减少在安全建设和运营方面的人力、财力等方面的投入，让企业将更多的精力聚焦于自身核心业务的发展上，为企业发展创造出实实在在的价值。

安全运营的概念可以从狭义、广义两方面来阐述：

图注： “安全运营”的定义

狭义的安全运营以“安全运营中心”为实际载体，依托一套安全运营平台（SOC），实现对风险、事件、问题、漏洞等几大要素的集中安全管理。广义安全运营中，安全运营不再是一种单纯的技术理念，技术及平台只是安全运营的一种外化表现形式，它的核心思想首先是以企业的安全战略为核心，其次通过对安全能力或资源的系统化整合，持续的为企业核心业务保驾护航，降低企业安全运营难度。

抛开狭义和广义，安全运营的运作方式通常可概况为：通过发现、梳理、重构等途径逐步将人、工具、流程整合形成规范化、模块化、可灵活调用的资源，再通过对这些资源的数字化、智能化处理，将安全能力整合在统一平台，通过针对客户不同场景的需求，快速形成更贴合实际的安全运营能力，通过数字化、流程化、标准化的系统平台能力形成可高效获取、低成本投入、持续迭代优化的安全服务能力。

03 安全运营的核心理念

安全运营的核心理念可概况为核心三要素PPP（People人， Product工具，Process流程）以及三要素之间的相互促进、相互影响的关联关系。

图注：安全运营核心三要素

人（People）

• 组织：服务组织、管理组织、运营组织、研发组织等

• 人员：服务人员、管理人员、梯队专家资源等

• 能力：服务能力、研发能力、质量控制能力等

工具（Product）

• 工具：平台工具、情报工具，分析工具，防御工具等

• 技术：预测技术、分析技术、防御技术、处置技术等

流程（Process）

• 管理流程、运营流程、服务流程、操作流程、质量流程等

广义安全运营将安全运营的核心要素定义为人、工具和流程三种：一方面将它们分别作为核心资源进行定义，每一类要素都包含多种具体落地表现形式；另一方面又在讨论核心三要素之间的关联关系，强调以安全运营为核心驱动三者之间的联动。

三要素涵盖的内容多样而复杂。如果不是以安全运营为核心驱动进行资源梳理，这些要素内容很可能会长期处于分散、无序、停滞不前的状态。人员能力将更多的以个体为载体进行储备而难以快速复制、传递；工具、技术将更多停留在事件处理的反复应对中，重复造轮子现象频发，技术创新、工具优化缺少牵引力；流程则强依赖线下管理，质量控制难度大，流程灵活性不足。