2021年中国安全运营报告

研究背景和概念内涵

在信息安全建设的先期，很多行业企业为满足信息安全基本的合规性要求，通过购买软硬件设备、部署和管控系统等措施来内求安全外应检查。随着云物移大智等新技术的深度发展与融合、业务规模的不断扩大以及信息资产和数据总量成倍增加等因素，行业企业发现靠堆砌产品和服务的方式来保障信息的安全，过去还勉强可用的方法已然显得力不从心、难以为继。

新的环境召唤着新的安全理念和安全举措。在4·19网络安全与信息化座谈会上，习近平总书记提出，网络安全是动态的而不是静态的，要树立正确的网络安全观。加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。按此要求，网络安全保障工作亟需迈上一个新的台阶，突破过去静态的、被动的、孤立的和局部的局限，建立起持续运营的安全运营体系，从业务系统安全的角度出发，保障业务活动安全稳定。

在此背景下，安全运营开始逐渐兴起。

（一） 研究背景

1、安全运营成为新时代数字化转型保驾护航的重要抓手

信息化的深入和数字化转型使得越来越多的资产数字化，这也增大了攻击的暴露面，使得安全风险越来越大。面对越来越复杂多样化的网络攻击，组织单位在寻找新的安全方法来应对愈发严峻的安全形势。在这种情况下，MSS安全托管服务成为各行业用户持续提升风险抵御能力、化解安全压力的有效措施。通过复用MSSP厂商的平台和工具以及流程，能够更有的效率开展安全管理工作，未雨绸缪，主动运营。

2、城市安全运营已经作为智慧城市安全发展的重要途径

随着城市数字化进程不断推进，越来越多的行业上云，涉及的行业种类多、用户量巨大，与此同时出现安全保障能力参差不齐，容易成为攻击者的突破口。在面对外部的这些威胁下，现有安全能力有限的企业级安全运营中心方案显得力不从心，从企业级安全运营中心升级为城市级安全运营中心成为安全发展的必然趋势。

3、场景化安全运营模式引领网络安全新兴产业增长引擎

“十四五”规划纲要明确提出“分级分类推进新型智慧城市建设”后，各地纷纷提出了网络（信息）安全保障要求。提升城市运行系统网络安全，确保新型智慧城市安全可控，可以说网络安全是新型智慧城市的基础保障。城市安全运营中心的安全目标就是保障智慧城市上的系统和业务安全。

（二） 概念内涵

安全运营中心（SecurityOperationCenter）（简称“SOC”）是各单位安全能力落地的“载体机构”。随着业务信息化到数字化的快速推进，安全运营中心这个实体机构作为“安全能力集线器”的作用越来越明显。

当安全回归到“业务保障性”这个本质，那么单一的网络运维可能就无法满足业务层面的需求，因此需要多方多业务群组进行协同“服务”。这个时候我们就需要一个统一的机构来对这些业务群组进行集中管理。这个机构就是“安全运营中心”。

1、安全运营的定义

根据2014年美国NISTF发布的CybersecurityFramework，安全运营可以拆解为5个版块：风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）。而安全运营的核心即解决问题，通过提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化，推动整体安全目标的实现。

 

2、安全运营的建设形态

经过近30年的发展，国内的安全运营从粗放型逐渐转向业务与技术双驱动的精细化运营。

基础架构阶段：以防火墙、IDS、杀毒软件为核心的传统安全运营基础架构。

快速发展阶段：在等级保护及相关标准规范体系促进下补全安全能力的快速建设。

体系化阶段：在合规需求上进一步升级到安全管理中心、态势感知等安全运营理念同步运用。

技术驱动阶段：云物移大智等技术催生了新的业务场景，安全运营从被动式转变为寻求更高效、自动化方式的主动式运营。

3、安全运营的支撑平台

本质上，安全运营是一个安全理念和运营体系，而在国内外落地过程中，安全运营逐渐衍生出多种形态，如常见的SIEM、SOC、态势感知平台等。一般来说，不同国家、不同厂商对于某一安全运营产品/解决方案的名称可能存在差异。

4、安全运营的建设要素

让安全运营业务正常的转起来，所需要的三个构建模块：人员、流程和技术。我将这三个构建模块进行了转化整理，变成了：资源、技术、管理及执行效率。如何考虑一个安全运营中心的业务有效性，执行效率（简单点说可以理解是完工时间、恢复时间等）一定是重要的考核指标，所以这里的流程不仅仅是执行的方式、方法，还增加了“效率”。“效率数据（绩效数据）”是人员技能考核最直接的标准。

现状问题和发展趋势

（一）中国网络安全

目前我国的网络安全现状可概括为以下5点：

1.随着《等级保护条例》、《网络安全法》及《数据安全法》等一系列法规制度的相继出台颁布，我国网络安全法律法规日趋完善。

2.APT组织利用社会热点、供应链攻击等方式持续对我国重要行业实施攻击严峻。

3.漏洞信息共享与应急工作稳步深化，但历史重大漏洞利用风险仍然较大。

4.网页仿冒治理工作力度持续加大，但因社会热点容易被黑产利用导致网页仿冒诈骗增加。

5.工业领域网络安全工作不断强化，但工业控制系统互联网侧安全风险仍较为严峻。

（二） 当前存在的主要问题

目前，虽然我国网络安全工作已取得了显著成绩，但也存在着需进一步改进的问题，可概括为以下4点：

1.重信息化，轻安全，亟待补齐短板，夯实基础，整体提升国家网络安全的“水位”。

2.重系统、轻数据，数据安全治理有待进一步加强。

3.重合规，轻运营，安全建设不是静态建设，需要动态化、实战化运营。

4.重共性，轻业务，安全运营需要建立在业务场景下开展。

（三） 安全运营成为发展趋势

1、专业团队成为安全运营效果提升的基本保障

网络安全保障与安全运营管理密不可分。好比医生才能开好药方，最大化发挥药品的价值，一个组织的安全运营水平也在一定程度上决定着该组织安全防御体系的实际安全防护效果，其中专业团队是核心。

2、运营脚本成为网络安全产业的下一个制高点

随着企业规模变大、面临的威胁环境更为复杂，如何通过有限的人员对数量庞大的安全事件进行快速响应与精确定位，如何将安全工作与业务有效结合更好地赋能业务，这是安全运营不断发展、优化的意义所在，此时便需要智能化、自动化的运营脚本提高运营效率。

3、数据安全运营成为智慧城市保驾护航的焦点

伴随着信息通信技术的快速发展，数字产业化和产业数字化的发展日新月异，数字技术与实体经济深度融合，传统产业的数字化和智能化水平不断提高，带来数字经济的快速发展和相关产业的转型升级。为打破数据孤岛、保护数据隐私与安全就需要场景化、行业化、体系化的数据安全方案与手段来保障业务的数据安全。

安全运营模式分析‍

智慧城市安全运营中心建设一般分为政府主导、政企合作、企业主导三种建设模式，三种建设模式各有利弊，可衡量使用。

（一） 政府主导模式

政府部门具有其他运营主体无法替代的优势，即政府可充分发挥其宏观调控和协调沟通作用，以克服各自为政、重复建设、资源浪费和“信息孤岛”现象，最大程度上发挥城市大数据价值，政务、行业、社会等各方数据资源也将更为安全可控。但也存在一定缺陷，智慧城市安全运营中心建设是一个不断升级迭代的过程，而政府相对专业运营公司而言，在技术水平、场景应用拓展能力等方面都有所欠缺，这将不利于现代智慧城市安全运营中心功能的拓展和能力的升级。此外，现代智慧城市安全运营中心的巨大投资在短期内难以获得收益和回报，会造成沉重的财政负担。

（二） 政企合作模式

由政府或其控股公司与其他企业合作或合资组建公司，作为现代智慧城市安全运营中心建设运营主体，负责平台建设运营的各项工作。政企合作型模式的优势在于，一方面能充分利用政府地区资源，最大限度的吸引社会资金进驻，缓解政府建设平台的财政压力，推动政府部门服务转型；另一方面又能充分发挥企业在公众服务、海量数据应用等方面的技术优势，支撑政府在城市服务、社会治理能力等方面的提升，推动形成城市大数据产业的健康生态环境。而其劣势在于政府和企业在投资、经营决策、利益分配等方面不完全一致，容易产生管理分歧，导致平台开发建设进程受阻。

（三） 企业主导模式

主要指由政府通过公共服务采购方式，委托企业开展现代智慧城市安全运营中心的建设与运营，政府主要发挥规划引导、业务协调、监督管理作用。企业主导模式的优势在于最大限度地发挥信息技术企业在资金、技术、人才方面的优势，提高工程咨询设计、项目建设、新技术利用、运维服务等工作的专业化水平，促进政务信息系统快速迭代和集约发展，向社会释放改革红利。而其劣势在于政府整体采购成本较高，适用于财政资金较为充裕的经济发达地区。

长效安全运营发展建议

（一） 加强顶层设计，建议城市管理者将安全运营加入智慧城市建设的顶层设计中并制定标准

以云计算、大数据等信息化技术为支撑的智慧城市建设，已成为现代化城市的主流发展方向。信息化技术的创新应用是智慧城市建设的重要依托，离开信息化技术智慧城市建设无从谈起，而信息化技术带来的安全问题，往往滞后于智慧城市建设。

安全运行是智慧城市发展的前提，安全运营就是要严格落实国家网络安全相关法律法规和制度标准要求，提升应对网络安全风险管理和运营保障能力。“安全是发展的前提，发展是安全的保障”。在此建议，在进行智慧城市顶层设计的时候，应该将智慧城市安全运营加入顶层设计，实现智慧城市发展和安全互为条件、彼此支撑。同步，制定安全运营的建设标准。

（二） 面向中小企业，建议政府扶持打造城市级安全运营中心

安全建设方面政府机构、金融、能源、运营商、医疗等大型机构走的比较靠前，而中小企业在网络安全、数据安全建设方面基础能力较差，部署的多为传统安全防护产品。一方面网络安全资金投入有限，一方面信息安全专业人才储备不足。

但中小企业作为数量最大、最具活力的企业群体，是我国实体经济的重要基础。根据第四次全国经济普查数据显示，中小企业具有“五六七八九”的典型特征，贡献了50%以上的税收，60%以上的GDP，70%以上的技术创新，80%以上的城镇劳动就业，90%以上的企业数量。中小企业是制造业数字化转型的主战场，是实体经济发展的主力军。他们行动更敏捷，也更具拼搏精神，但也面临着一样严峻的网络安全威胁。

在此建议政府扶持建设城市安全运营中心，以“专业安全能力”为基础，通过专业平台及工具、结合专业的安全团队，构建整体安全运营管控体系，提供覆盖中小型企业的全生命周期性安全解决方案，为中小型企业网络安全保驾护航。

（三） 保障数据安全，建议重点加强数据安全治理运营模式的探索

数据作为核心生产要素，仍面临碎片化、安全性等问题。我国数字经济维持高速增长，在ICT技术演变、新应用场景的带动下，为传统行业注入新活力数据安全将成为数字经济的基础设施，安全漏洞数量逐年增加，根据国家信息安全漏洞共享平台数据，近三年信息安全漏洞年复合增速达20%，数据安全是企业业务开展的基石。

目前全球网络安全需求重点客户包括政府、金融、电信运营商及电力能源等信息敏感行业，数据安全技术虽然已经取得了一定进步，但是面对层出不穷的新式大数据攻击，防护措施仍然显得不够充分，其原因是传统的安全防护观念以及技术无法满足大数据安全防护的需求。

建议在政府牵头下，落实数据安全治理运营体系试点工作，以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标，围绕国家法律法规指导下，系统化构建数据安全管理体系、数据安全防护体系，数据安全治理平台、数据安全运营体系，在数据、人、工具、运营安全管理等方面进行积极防御，全面建成城市大数据中心安全运营样板案例。

本文作者为：

中国计算机学会计算机安全专业委员会安全运营工作组               

北京启明星辰信息安全技术有限公司