文｜张松凯 伍星亮

从全球来看，围绕网络空间的全球攻防战日益激烈，黑客对关键信息基础设施的攻击也不断升级。对中国来说，党和政府越来越重视网络安全，强有力的网络空间战略思想为新时代的网络安全工作提供了根本指导。对企业来说，高质量的发展离不开高质量的网络安全保障和支持。伴随着5G技术的不断进步，各种新技术、新业务对企业发展提出了新的要求，客户的合法权益保护也面临着各种新的安全问题。

一、安全运维到安全运营的跨越

保障网络设备及系统稳定运行是传统安全运维的主要目标，其主要工作包括设备日常巡检，例行安全漏洞扫描，安全警告提示与处置，为设备配置必要的策略等，因此传统安全运维更注重安全设备正常运行和处理。

二、企业在安全运营工作中存在的问题剖析

造成当前错综复杂的网络安全局势的因素很多，但就国内企业来讲主要有以下几点。

（一）运营目标不清晰

目前企业在日常安全保障中未完成标准化工作的全面覆盖，也并未形成安全运营的度量指标及安全运营流程机制。

（二）安全流程不完善

安全管理权责边界不清晰，尚无规划安全管理流程，亦未制定信息安全突发事件应急响应预案，没有与企业实际相匹配的应急响应、安全演练等能力及与其配套的流程制度，企业往往在面对突发安全事件时会因准备不足。

（三）技术工作任务重

一般企业的安全运营团队多为3到4人团队甚至更少，日常面临的工作类型多样且繁重，尤其在重保期间，肩负安全保障任务的运营团队人员工作量将更趋繁重，如何将运营团队从大批量，重复，场景单一而却价值不高的运营工作中解放出来，成为运营团队需解决的问题。

三、网络安全运营顶层设计的指导意义

一个持续可发展的安全运营工作需要有一个顶层设计作为指导，因为安全运营工作不同于产品部署或安全服务这种短期阶段式工作，是一个长期性工作，很多企业安全运营工作没有体现出效果往往是过程走偏向或变质了。所以顶层设计是引导安全运营工作健康性发展的必备条件之一，内容方向主要是在运营的目标、能力的要求、资源的投入、运营的收益等。

四、网络安全运营体系实践

在安全运营体系建设与实践中，企业实际上需要一份能从宏观视角出发，能指引对企业安全运营的现状进行评估，对安全运营所需涵盖能力进行罗列，对安全运营能力的成熟度进行衡量，且不依赖于特定厂商的特定产品，以安全能力为核心，清单式，阶段式，符合SMART原则的安全运营设计与指引方案。

（一）网络安全人员运营

对企业而言，专业的安全人员在安全运营过程中占据重要地位。对专业人员的合理配置及调配能保证安全策略有效执行、平台可高效使用、产品合理管理、流程正常运转。为使人员能有效支撑安全运营业务、技术、流程和服务等因素，需对人员自身，角色，组织结构及知识培训等内容进行统一管理及正确评价，促进安全运营整体效果的提升并体现安全运营的价值。

（二）业务与安全运营结合

在企业安全运营的设计过程中，企业业务是首要需要考虑的因素，安全运营的其他因素应该也必须和企业业务因素进行对齐。安全运营中心是业务安全目标的技术呈现，是连接业务与人员、技术、流程、服务的桥梁。为了使安全运营中心与业务关联和沟通，必须先理解业务是如何开展和描述的，以及业务的上下文和运营概念等。如能深刻理解安全运营目标对象企业的业务问题，完整识别业务运营应包含的内容，如业务驱动因素、用户、章程、治理、隐私等，并将安全运营所有因素与业务关联，则安全运营将更容易获得成功。

（三）安全运营技术配套

决定什么技术是安全运营团队所需要的取决于建立安全运营团队的时候所设置的分析师的角色和职责，以及他们的时间花在什么地方。由于人员和技术（要素）决定了你建立安全运营团队的成本，以及将使用什么样的技术。因此，查看安全运营团队分析人员如何使用这些技术以及确定现有的技术是帮助还是阻碍了安全运营的全过程，以及确定是否需要新的技术取代旧的技术是非常重要的。

五、网络安全运营评价过程

企业安全运营的评价体系应遵循以“识别-现状评估-访谈分析-成熟度提升-能力提升-比较”作为一次循环，并周期性循环提升的思路，对安全运营涵盖的业务、人员、流程、技术及服务五大领域进行安全能力细项的拆解，并对各细项内容进行分层说明，以确保安全运营的各项安全能力都经过识别及考虑，进而周期性完成其成熟度的评估。

各步骤概要说明如下：

识别安全运营对象，填写信息以创建安全运营团队的简介及基本评估。

项目 记录说明评估详情 背景说明评估日期 评估时间公司名称(s) 评估目标单位部门(s) 评估目标部门评估预期目的 目标说明范围 安全运营范围定义

运营年数 计划运营周期FTE数量 正式编制及临时编制员工规划SOC 模型 多时区、混合（部分外包）、集中式、多个单独的 SOC、多层 SOC 模型地理操作 区域性、全国性、大陆性、全球性

对运营对象现状进行成熟度评估。目标成熟度级别包括业务、人员、流程、技术、服务等各领域，使用从 1到 5 的分数表示，可使用小数。

对运营对象进行调研访谈，确认其安全运营目标。由于安全能力的增加会导致企业成本的增高，因此安全运营并非务必以尽善尽美为目标，而是企业安全管理者的一个平衡取舍的过程，企业所设定的安全运营目标也各有差异，企业需基于现状的安全评估结果，对三年及五年的安全运营目标进行设定，以明确建设内容及建设路线。

对各领域成熟度进行提升。现状评估及运营目标确定后，接下来的步骤是确定需要改进的领域。这需要对结果进行一些分析，应自上而下地分析结果。首先，确定哪些域的得分低于目标成熟度级别。然后，使用图表深入了解这些领域，应优先选择与其他域相比表现不佳的领域，下一步是确定这些领域的哪些方面得分最低。

六、结束语

通过建设业务指标化，人员标准化，技术自动化，流程定制化及服务场景化的五大工作内容及其细项，解决当前企业中普遍存在的安全管理权责边界不清晰、安全防护有技术无体系、安全运营重技术轻管理等一系列问题，并通过前期对设备的运维、保证平台与设备的正常工作，减少故障率；进而将相关数据导入安全运营中心平台，通过资产管理、风险管理、脆弱性管理与事件管理等常态化运营工作，使资产定位准确率，漏洞修复率等安全指标得到提升，同时促使企业安全运营人员能力得到同步提升，最后结合数据统合进行分析、监测预警，安全分析建模等复杂系统，达到运营工作闭环的效果。