2021年，在新冠肺炎疫情、安全事件、0day漏洞等威脅的挑戰下，網絡安全產業呈現變革創新的發展態勢，促使著組織和企業不斷探索新的技術和方法，來防止潛在的網絡入侵。

在現有安全形勢、政策導向、發展需求之下，安全運營作為網絡安全發展的時代產物，被認為是解決現有挑戰的有利方法。本文將帶您一起探索在當今網絡安全形勢下安全運營的演進趨勢。

安全運營發展趨勢

等保2.0、數據安全法、網絡安全法等法規制度不斷出臺，促使我國的安全頂層設計逐步完善，也推動組織和企業的安全需求從被動、靜態、產品堆砌的安全運維向主動監測、快速預警、有效聯動、準確處置的閉環式安全運營體系轉變。

· 等保2.0從等保1.0被動防御向事前防御、事中響應、事后審計的“一個中心，三重防護”的動態防御體系轉變；

· 《數據安全法》搭建了我國數據安全治理領域的基本法律框架，有效敦促企業認真履行數據安全保護義務；

· 《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》著重強化了數字經濟安全體系，包括增強網絡安全防護能力、提升數據安全保障水平、切實有效防范各類風險。

這表明，組織和企業需要的安全已不再只是合規，而是能夠不斷自我迭代優化、演進、提供持續性能力輸出的安全運營保障體系。

因此，要求安全運營應圍繞業務系統，隨著威脅與響應、攻與防的變化而演進，從第三方獨立視角，讓產品、技術、平臺、人員各司其職、協同發揮最大作用，從管理、制度、流程等多方面進行優化及改進安全建設，滿足“解決安全風險”的訴求，實現業務動態安全的建設目標。

安全運營自我演進

安全運營本身不是一個產品建設、單一的技術使用以及某類平臺建設，而是一種貼身安全服務新模式。它以“保障安全”為目標，以業務場景為驅動，在人員、產品、技術、流程等方面進行演進，持續提升運營成效，幫助用戶實現業務與安全建設同步發展，實現安全與發展雙翼驅動，促進信息化建設。

以下就安全運營中心需重點加快自我演進的幾方面進行介紹。

安全運營框架演進

安全的關注點從原來傳統系統安全拓展到新技術領域，更加注重全方位主動防御、動態防御、整體防控和精準防護。在此情況下，被“委以重任”的安全運營的演進基礎便是運營框架的演進，來指導著各項工作的開展。

運營理念轉變：從合規管理到實戰對抗

運營模式轉變：從靜態防護到積極動態防御

運營手段轉變：從單一化運營到一體化運營的安全運營機制

無論是以MSS為目標的安全運營中心，還是為行業用戶建立的定制化安全運營中心，都需要遵循上述原則。

專業化運營人員

安全運營是由技術、流程、人等有機結合的復雜化、工程化體系，對產品、工具及服務產出的數據進行有效分析，持續輸出安全能力。在此過程，人作為其中最關鍵的一環，串聯起發現問題、驗證問題、分析問題、響應處置問題、持續迭代優化的過程。此外，由于運營的網絡環境較為復雜，需要按照運營環境的專業進行劃分，以專業人員處置專業問題的思路，為安全運營提供專業化、精細化的安全能力。

培養實戰型人員

安全運營體系對人員的關鍵需求就是基于對抗的能力。通過實戰化演練鍛煉、提升安全人員技能和戰術水平。同時堅持多角度、多層次、全方位人才培養理念，多措并舉，不斷強化網絡安全人才隊伍整體素質與綜合實力。

建立激勵機制

設定貫穿日常運營的競賽機制，通過競技化過程提升人員能力；設定評價機制，關注到運營人員的能力提升過程；建立人員上升通道，實現從一線到三線的升級，從監測分析到研究專家的升級。

優化評價考核

沒有成熟的考核機制，運營持續性改進便是紙上談兵。在安全運營中心的等級評價上，目前定義為5個等級，當等級達到3級及以上，運營中心才具備對外服務輸出的能力。

威脅情報聯動運營

威脅情報的使用和生產與運營動作緊密結合。在運營過程中，應當重視情報的相關活動，包括外部情報的采集和選擇、結合智慧中臺完成初步情報碰撞、情報的生成和交互等內容。

智慧城市的網絡空間安全需要強大的威脅情報去精準預測感知，以提升運營成效。情報的產生應用需要整合多方威脅信息，以建立龐大的情報庫。其中要注重于情報的交互和流動，包括與內部各運營中心的交互流動，與外部各單位之間的交互流動。

內部：在全國各地運營中心間，實現情報的內部產生、流動、共享、應用，打造情報網，聯防聯控，“集團軍”作戰。

外部：與企業、研究機構等探討新型威脅應對方法，交換、共享情報，打造情報運營生態圈。

此外，伴隨著業務場景的不同,運營中心建設對象、規模也不同，城市級運營中心、行業級運營中心、企業級運營中心等不同運營中心面對的攻擊手段、漏洞類型等存在差異。在面對公有情報多、雜、亂的特點下，個性化、定制化運營中心就需建立自己的情報庫，以更快速定位攻擊過程，鎖定攻擊范圍，快速制動，提高運營成效。

運營中心聯動

運營流程演進優化

安全運營是一個持續處理、循環的過程，需要細粒度、多角度、持續化地對安全威脅進行實時動態分析，自適應不斷變化的網絡和威脅環境，并不斷優化自身的安全防御機制。被動防御向主動治理的轉變離不開體系化的運營流程，而完善的運營流程，要求每項流程都能根據運營環境的變化進行優化。其中，重點需演進優化的流程包含以下三大方面：

運營任務動態分配

在運營過程中，平均檢出時長（MTTD）、事件平均定性時長（MTTA）、風險遏制與響應平均時長（MTTR）是三個衡量運營服務質量的重要參數，同時也是發現安全威脅并進行追蹤處置的最佳實踐指標。而如何保證MTTD、MTTA以及MTTR的指標時效，是運營工作必須要解決的問題。

由于安全運營工作過程中，需要對接并分析處理大量安全數據，增加了安全數據疏漏的風險，導致安全威脅無法檢出或分析不深入，使安全威脅在客戶網絡中持續存在。因此，需要高效的任務分派與分析成果交叉確認機制。

高效的任務分派機制

為解決可能出現的遺漏問題，需制定任務派發流程，將關注的安全數據任務化，并自動派發，同時需要有一套負載均衡邏輯進行最優處理下發，保證任務處置及時性。

任務超時升級機制

需要設置任務處置超時升級機制，超時參數不同，升級的對象不同，從一線到交付經理逐級升級。

分析過程腳本化

為了達成最大化的人員有效利用率，運營中心以三級分析師的形態構建整體運營分析流程，為了更好地完成上級分析師向下級分析師傳遞分析思路、處置思路、知識經驗的目標，同時建立安全運營不同層次、不同角色間的工作內容及協同機制，安全運營就需要流程“運營腳本”化。

運營成果卷宗化

在常規的安全運營過程中，針對安全威脅的分析成果往往以文檔編纂形式出現，并多以發生時間為維度建立文件夾進行積累留存。而在周期性工作復盤過程中，此類分析成果很難幫助安全決策人員有效梳理周期內的安全問題，提出針對性的安全能力提升策略。因此，將安全運營流程中的每階段成果進行卷宗化存儲，可便于安全決策人員對運營成果進行復盤及參考。

如在安全運營流程中，分析師可模擬公安辦案人員的案情檔案盒模式，對威脅事件的報案線索（告警等日志信息）、案發現場（受影響資產）、辦案過程（事件分析流程）等分析內容進行卷宗化構建，以數據結構化的方式完成數據的存儲，方便后期對事件關鍵要素的檢索，并提供與其它相關事件的自動化關聯能力。同時，安全管理員、分析師、相關業務責任人也可通過卷宗模式直觀、實時查看安全事件的分析進度。