近年来，企业网络安全基础设施建设已逐步健全，数字经济催生新的业务场景，也为企业安全建设带来新的挑战。传统的基于漏洞修补、防火墙部署、入侵检测等手段进行安全维护的被动防御体系已难以应对日趋繁杂的网络攻击环境。

紧随等保2.0的脚步，企业的安全运营或类似理念也开始从被动防御转向主动治理。构建一套能够有效管理威胁预警、发现、响应、处置各个安全环节并确保人、工具、流程发挥最大协同效应的安全管理体系逐渐成为企业的主要安全目标。

安全运营涉及面广、体系庞杂的特点使国内大部分企业的安全运营体系仍处在萌芽的阶段。为了进一步了解我国企业安全运营建设现状并帮助企业完善安全运营体系，Freebuf咨询与头部大厂安全负责人展开深入研究，结合智库专家指导，特别发布《2021企业安全运营实践研究报告》，内容亮点如下：

一、国内安全运营发展现状

1. 安全运营前提及价值

毫无疑问，网络安全行业属于政策强驱动行业，调研结果显示，65%企业把合规影响作为发展安全建设的首要驱动因素。等保2.0系列政策围绕“一个中心、三重防护”为核心思想，旨在倡导企业通过对安全计算环境、安全区域边界、安全通信网络的三重防护来构建主动式的安全管理中心，等保1.0的被动防御安全体系逐步被事前防御、事中响应、事后审计的动态保障体系取代。针对政策要求的变化作及时调整，是企业发展安全运营的首要前提。

除合规因素以外，应对业务变化、应对安全防护规则更新是发展安全运营的另外两大主要价值。在近年来企业数字化转型的大环境下，业务模式革新的同时，企业面临的攻击源、攻击面也在不断增大。根据FreeBuf咨询发布的《中国网络安全信息与事件管理类产品研究与测试报告（2021年）》，38.5%的受访企业在过去一年间的安全事件警报数量显著增加（增加1倍-2倍），19.2%的企业在过去一年间的安全警报数量呈现大幅增加。过往被动防御式的安全管理已不足以对抗无处不在的攻击。在此背景下，企业需针对业务场景，将人、工具、流程有机结合，同时更新优化相应规则，迭代安全技术管理手段，具备持续迭代优化的网络安全运营能力。

2.国内企业安全运营实践现状

（1）企业安全运营平台部署现状

根据本次调查，大部分企业（79%）已部署安全运营平台，然而在这些部署了安全运营平台的企业中，多数调研对象反馈其实际应用效果一般。

【网络管理能力】、【事件采集能力】、【资产管理能力】、【事件处理和分析能力】、【漏洞管理能力】及【工单管理能力】是大部分部署安全平台的企业已具备的6项核心能力。

（2）安全信息和事件管理产品应用现状

安全信息和事件管理（SIEM）是目前多数企业安全运营的核心产品，主要包括数据采集、解析处理、集中存储、关联分析几项核心能力。随着“Smart SIEM”理念的发展，新一代安全信息和事件管理（SIEM）解决方案趋向于打通各项安全需求，融合多项安全能力。根据本次调查，企业用户对现阶段SIEM产品不满意的问题主要集中在【与第三方安全工具的集成性较差】、【内置关联分析规则或场景较少】、【占据大量安全资源，需要较高的安全运营成本】、【无法有效检测未知/新型威胁】四个方面。

（3）企业安全运营人员现状

总体来看，大部分企业在安全运营人员配置方面投入较大，仅有14%的企业由其他安全人员兼任运营专职。企业主要期望安全运营人员需要补充【安全事件处置能力】、【威胁检测与分析】、【漏洞验证和恢复能力】及【丰富的安全合规知识】四项核心能力。

（4）企业安全运营&威胁发现能力现状

仅有14%的受访用户具备自信并表示自己【建立了全面和纵深防御体系，可快速发现入侵者】，多数企业虽有完善防御体系或在部分路径部署了入侵检测设备，但仍存在改进空间。同时，国内企业安全运营能力两极分化情况明显，【攻击源及暴露面不断增加】、【没有足够的人力和时间进行安全运营流程梳理】是大多数企业面临的运营问题。

很显然，多数企业已有意识将安全防护体系由被动转向主动，然而受制于安全产品对未知/新型威胁水平的检测力及安全人员对安全事件的处置能力不足、安全流程管理成本高等因素，安全运营平台的实际运营效果仍需进一步完善优化。

二、企业安全运营实践心得：CSO说安全

为进一步了解安全运营现状及在企业中的实践情况，我们特别邀请了智库专家：京东集团信息安全部 高级总监聂君、腾讯安全平台部总监胡珀、持安科技CEO何艺分享他们对于安全运营的心得。

三、企业安全运营建设能力提升前瞻

1. 安全运营产品能力待优化

现阶段，不少安全产品已经能够在单一的安全能力上达到较高的水准，而多数企业普遍面临的产品问题在于产品之间集成度低，具备整合化安全能力的安全产品少。市面上那些少数已具备了整合化能力的安全产品，也存在实际落地案例少，使用效果与预期存在差距的问题。此外，安全产品在进行安全事件关联分析的过程中，存在由高误报率导致的告警过量的问题，从而降低了安全运营的效率。

企业在未来需尽可能部署相同供应商的安全产品，使得庞大的内部网络安全产品相互作用。而在技术层面，优化安全事件关联分析效率、整合多项安全能力于同一产品，将会是未来安全产品发展的主要方向。

2. 安全运营流程待完善

Gartner 在 2014 年提出了自适应安全架构（Adaptive Security Architecture，ASA），强调安全防护是一个自适应式的、持续、循环的过程。然而目前大部分企业的安全运营流程无论是从各要素自适应调整的能力，还是各个环节的协同效应，都与这一安全目标尚存差距。

大多数企业仍需持续优化其安全运营流程，培养安全人员的全局视角，针对业务场景的变化作持续调整，在有限的资源及预算内，最大化发挥企业已有安全产品的安全能力。

四、总结

合规、业务模式革新、防护规则更新是企业由被动防御转向主动治理，发展安全运营的三重驱动因素。根据我们的调查，现阶段多数平台已部署或部署了部分安全防护路径，并配备安全运营专职人员。

由此可见，大多数企业已形成主动治理的安全理念，然而安全产品集成性差、安全运营专职人员自身的安全威胁识别能力、事件处置能力尚待改善，使得其安全防御体系尚存较大优化的空间。

企业需要与复杂的操作流程以及匮乏的资源、技能和预算做持久斗争。提升安全产品之间的集成性、优化内置关联场景分析、培养安全管理人员的安全意识及综合能力，将会是未来企业发展安全运营的主要方向和目标。