安全运营是做什么的？企业如何改进安全运营和安全分析水平

article/2025/9/16 12:17:40

2017年安全预算持续走高，通常情况下，这些花销被用于提高安全运营水平。根据最近发布的ESG环境、社会和治理研究，81%的网络安全专家认为企业应优先改善安全分析和运营水平。

什么是安全运营？

在企业信息安全建设初期，安全工作的主要内容是购买安全设备和部署安全管控系统并进行日常维护。从网络层、虚拟层、系统层到应用层、数据层、用户层部署了一系列安全设备或软件并确保其稳定运行，但发现安全状况并没有得到有效改善，安全问题频发，其根本原因是没有进行有效安全运营。

那么如何建设企业有效的安全运营体系呢？

首先要确定下企业的安全需求

（1）明白企业的安全内容是什么

说白了就是看看企业的安全管理员每天都干些什么，包括：每天查看各类安全设备和软件是不是正常运行，硬件告警、应用程序和进程，性能容量，表空间，存储空间，系统和应用日志；

安全设备和系统的安全告警查看和响应处理，包括防病毒日志和告警等；处理各类安全检测需求和工单；各类安全漏洞修补和复核检查，填报各类安全报表和报告，汇报各类可疑情况并进一步追查；推进各类安全项目，有管理的，有技术。

（2）安全服务的效果要保持在怎样的稳定区间内

在安全防护框架建设中，部署了大量的安全防护设备和措施，处理各类安全日志和告警时如何有效响应处置各种问题，并对服务的效果有个有效的预估保证区间。确保对外提供的服务质量能够始终稳定，不会出现大起大落的情况。安全运营的目标或者说需要解决的问题就是在企业变大、业务和系统日趋变复杂的情况下，在资源投入保持没有大的变化情况下，尽量确保安全服务质量保持在稳定区间。

（3）企业安全服务工程化能力提升

企业安全运营还需要解决的一个问题是安全工程化能力提升的问题。举个例子，企业内很多有经验的安全工程师能够对怀疑一台服务器被黑进行排查溯源，查看服务器进程和各种日志记录，这是工程师的个人能力。如果能将安全工程师的这种能力转变成自动化的安全监测能力，并通过安全平台进行应急响应和处理，让不具备这种能力的安全人员也能成为对抗攻击者的力量，这是安全工程化能力提升的收益，也是安全运营需要解决的问题。

那么如何提升安全运营水平呢？

接下来就是企业提高安全运营要关注的6个方面

专业安全人员稀缺

企业的安全分析和运营由少数几个关键人员全权负责的。当然了，这些人本身是稀缺资源，他们如果跳槽去别处，完全可以涨薪20%左右。首席网络安全执行官必须竭尽所能地通过财务、教育、事业规划和生活方式等手段留住他们。

企业的安全运营水平难以做到随项目而走

由于大量的新IT项目在酝酿，企业的安全分析和运营水平很难到位。每当新项目蓄势待发时，安全团队都被要求“专心”安全而不能“越俎代庖”。要改善这个问题，真的取决于安全团队能否更多地参与业务本身。

没有科学规范的分析运营流程

安全分析和运营流程远不够规范。在这种情况下，关键员工独揽安全运营，其他人则靠边站。不幸的是，这样的非正式流程不能推广或帮助新员工。首席信息安全官必须学习正规的网络安全框架（如ISO和NIST）、从事最适合的方面、建立自己的文档框架并虔诚地遵循这些。

安全分析和运营的效果并不是显而易见的

安全分析和运营的效果很有限，原因之一是它建立在太多的人工环节之上。在这种情况下，首席信息安全官必须评估和记录这些环节，创建规范的操作手册，然后使用自动化/编制技术来提高运营效率。对人工环节的改革引发了技术市场的一连串事件：IBM的Resilient并购案、FireEye的Invotas并购案、Rapid7的Komand并购案、微软的Hexadite并购案都在此列。

安全团队和IT运营团队

安全分析和运营的效果很有限，这得怨安全团队和IT运营团队的协作关系中存在的问题。如果你想知道为什么ServiceNow和其Saas（软件即服务）模式在事件反应方面始终如此成功，看看这个数据。安全团队和IT运营团队往往有不同的目标、指标和薪酬方案，这导致协作中的冲突不断。首席信息安全官和首席安全官需要领导这两个部门的合作。两个团队如果“查同一本字典”，这并不是什么坏事，所以相同的工具或集成体系结构（比如ESG的SOAPA）也会有所帮助。

员工的安全技能短缺

安全分析和运营的效果很有限，原因之一是因为员工的技能差距。全球正再次面临着网络安全技能短缺的困境。除了招聘和培训，首席信息安全官必须寻找新类型的智能安全分析技术、自动化/编排的安全运营流程，或者寻找能填补空白的第三方服务供应商来保证现有的网络安全人员有足够的工作能力。