企业的安全建设总是跟随其信息化建设逐步建立并完善，随着企业的部门分支、系统规模的不停扩展，其安全设备也逐渐臃肿扎堆。这让IT团队不堪重负，误报率居高不下，不同的安全策略相互掐架，响应效率低下，同时还要面临业务团队的嫌弃和抗拒。

　　安全运营成为当前企业做好网络安全工作的重要抓手，安全419推出《安全运营解决方案》系列选题，通过分析人、数据、工具、流程等安全运营中的基本元素，探讨现代安全运营所需要的能力。

　　南京聚铭网络科技有限公司（以下简称 聚铭网络）创始人唐开达接受专访，为大家分析企业如何恰到好处地落实安全运营，顺畅地开展常态化的安全工作。

　　聚铭网络成立于2016年，专注于安全智能分析及检测产品的研发和安全智能化运维的SaaS服务的探索，将SaaS化安全运营服务作为发展主航道。规划了“云+端”产品服务一体化解决方案，目前已服务电信、教育、能源、金融、政府、医疗等行业超10000家政企客户，云端托管客户超6000家，在北京、南京建立了双总部中心，同时在河北、山东、湖南等地设有分支机构，业务遍布全国32个省市地区，并先后获得腾讯和毅达资本等机构的投资。

　　安全运营是制度+平台+人的有机结合

　　“安全运营是信息化发展的产物”，唐开达告诉我们，现代化企业的日常办公与生产经营依靠着很多不同的系统、应用来提升管理、协作以及效能，随之配套的安全设备自然也越来越多。这些种类、形态各异的产品以单点防护为主，缺乏综合分析与统一联动，难以发现深层次的网络威胁。通过安全运营可以有机整合产品、服务、人员组织及流程，帮助企业提升安全管理的水平，保障企业生产经营的正常化和持续化。

　　因此，安全运营常被称为“解决安全问题的最后一公里”，根据安全419的观察，安全运营已经成为企业安全建设中的必经之路，但是，在数字时代愈加凶险的网络威胁面前，搭建了安全运营平台或是配备了安全运营团队的企业，依然在屡屡遭受重创。唐开达对此表示，安全运营并不等同于一个单独的工具，而是制度+平台+人的有机结合，每个环节都会影响安全运营的成效。

　　制度是指导企业的安全运营工作能持续运转起来的机制和流程。早期的安全运营更偏向于安全运维，旨在保障信息系统的稳定运转，随着外部监管趋严和业务转型升级，都对安全提出了更高的需求，安全运营需要输出更高的价值，比如发现未知威胁、厘清资产弱点、规范安全事件处置、提升效率和质量等等。因此，在企业安全成熟度的不同阶段，需要建设相适应的安全运营制度，并匹配合适的形式与内容。

　　平台作为安全运营不断发展进阶而形成的产品形态，需要承载一系列监控、采集、分析、管理的功能。数字时代背景下，数据是海量多元异构的，考验的是平台的数据处理能力；攻击是复杂且未知的，平台需要更加智能化的分析能力；威胁是无孔不入的，平台的检测及响应能力能否抗衡黑客也非常关键。此外，平台需要与企业已有的网关设备、终端安全设备以及外部威胁情报高效协同，才能达到更好的安全处置与管理效果。

　　人是安全的的尺度，员工的安全认知、以及安全人员的数量与技能，也是左右安全建设工作与开展成果的重要因素之一。如果缺乏专业的人员来运营，将难以与IT、业务、管理层和监管等部门进行有机联动，安全管理的难度很大、效率低下，安全工具应有的价值可能无法发挥。

　　以上三重因素为企业落地开展安全运营工作带来了现实挑战，据唐开达分析，各行业的头部企业、以及实力雄厚的大型集团，尚且有能力招募专家级别的安全技术人才，自建功能完善的安全运营平台，并匹配适应的流程制度，以保证日常安全管理工作有效开展。更多的中小企业受制于成本与资源，仅具备较为基础的安全技能与管理流程，但他们面临的安全威胁并不比前述企业少。为了获得与头部企业一样的安全保障，将安全工作委托给专业的第三方安全托管服务运营商正成为趋势。对于企业用户而言，这是一种降本增效的有利选择，对于安全行业而言，也逐渐开辟出安全运营服务的蓝海赛道。

　　用“云安全服务”形式

　　解决企业安全运营问题

　　安全419了解到，聚铭网络的创始团队在早期参与过中国电信、中国移动、国家电网、南方电网等头部企业的网络和信息安全管理规划与平台建设、运维工作，团队研发了我国最早期的安全运营中心（SOC）、日志审计、4A（身份管理）等产品。正是看到了大量企业对于可靠稳定、高性价比的安全运营服务需求的激增，聚铭网络自2016年成立起就选择SaaS化安全运营服务作为发力方向，依托于前期积累的咨询规划、研发建设、运维服务经验，率先推出了安全托管服务平台——聚铭云端安全管家，采用“云安全服务”形式来解决企业日益繁重的安全运营问题，集中管理企业所部署的大量的、不同种类的、形态各异的信息安全产品，自动地发现和汇聚各类信息风险并提供安全运营服务，以较低的成本协助企业实现安全事件管理、脆弱性管理、安全运维管理和安全风险管理。

　　值得注意的是，目前市场上普遍推出的安全托管类产品，更多是针对自家各类安全产品的远程运营服务，唐开达强调，聚铭云端安全管家具有全面兼容的特性，一方面覆盖了企业所部署的其它安全厂商的设备，打破信息安全孤岛；另一方面覆盖数据库、应用系统、网络设备、主机服务器、配置信息等各类环境，数据的采集分析与事件响应不局限于某一层面，而是提供没有死角的安全防护。

　　与此同时，既然是托管，切中的正是企业用户安全基础薄弱、缺乏专业技术人员的痛点。保证安全的效率与效果，并且降低人员使用操作的门槛，一直是安全运营需要攻克的难题。唐开达表示，聚铭网络作为国内最早建立安全运营平台的团队，长期积累的对数据处理、运维管理、不同机构厂商异构化设备的理解与处置方法的经验，都已经以专家知识沉淀的形式应用到平台中。截止 2021 年底，其云端托管服务客户量已经突破 6000 家，庞大的数据量又将形成新的数据处置、运维管控、应急响应经验持续反哺到平台中，同时唐开达表示这也是聚铭能够一直保持领先优势的原因之一。

　　除了专家经验，平台利用自动化、人工智能、机器学习等技术，不断支撑其安全托管服务能力的优化升级。据介绍，目前平台的监测分析与响应处置高达 97% 依靠人工智能处理，仅 3% 需要人工干预，以人机共智的方式让更多企业享受到管家式的安全运营服务。

　　此外，根据不同企业用户的规模与组织架构，聚铭网络能够提供与之相适宜的部署模式。针对具有多个分支机构或下属公司的大型集团，提供基于私有云的安全托管运营服务；面对广大的中小型企业，提供基于公有云的安全服务能力；针对具有特殊需求的企业，如要求数据不出网、希望自建安全运营平台等，聚铭能够提供单独的安全管理中心，作为企业信息安全体系的支撑平台，以资产为核心，安全事件分析处理为主线，通过内置综合分析、集中监控、集中运维、统一管理的功能，配合企业安全业务流程，将技术、流程、人员进行有机结合，确保企业安全管理闭环。

　　安全运营让安全更简单、更有效、更普惠

　　步入2022年，安全运营市场发展势头愈发强劲，根据安全419观察，一方面，威胁监测与响应TDR、攻击面管理ASM、入侵和攻击模拟BAS等等技术大力发展应用，为安全运营提供底层技术支撑；另一方面，众多厂商积极布局安全托管运营服务MSS，成为未来企业乃至各行业安全运营服务的重要趋势。

　　对于安全运营的未来发展走向，唐开达认为，现阶段，不少安全产品在单一能力上已经达到较高水准，安全运营需要具备优秀的集成、整合能力，从点状防护覆盖到企业整体，全面提升企业的综合安全管理水平。

　　其次，安全运营需要从被动防范转向主动、快速、精准地检测与响应，更多新兴技术的实践，旨在要求加深对未知威胁的感知识别、对不同业务场景的理解、对海量多源数据的处理、对差异化产品的处置、以及对大量运营知识的沉淀，在实际落地中才能达到既定的安全目标。

　　此外，安全运营应该是普惠的，让更多的企业在有限的资源预算内享受到高质量的安全保障，采用人工智能、机器学习等技术以及自动化流程加持安全运营平台的能力，代替人工值守，解放生产力的同时追求更高的效率和更好的安全效果。