企业要做好安全建设，自研或者采购一些安全产品，引入一些安全解决方案，是远远不够的。这些只是手段，真正的诉求应该是解决企业的安全风险。

有些人认为“安全运营”是当前安全困境的破局之道。然而，在“安全运营”的时代风口，仍存在一些让人头疼的问题。本期话题围绕“安全运营的实践之道”展开讨论，以下是本期话题讨论参考维度，如果你有不一样的思考，欢迎在评论区分享你的观点~

1、从人员、产品、流程等维度来看，你认为当前的安全运营面临哪些问题？欢迎分享安全运营实战案例
2、安全运营的“器与术”中的“器”也十分重要，你推荐哪些好用的安全运营工具/设备？

精彩观点

@机器小子闯天下

安全运营是最近很火的一个概念，很多公司都这设置了这个岗位，你们觉得安全运营的范围是什么？

很多公司把以前做防火墙，WAF的一些运维工作让安全运营来做，你们觉得安全运营和运维的边界是什么？

@煜阳yuyang：可能边界在于维护的东西不一样

@机器小子闯天下：其实，还是先搞清边界，不然感觉说的什么都是对的，都是有道理的，就把运维的工作给安全运营了，安全运营变成安全运维了。

安全运营说白了就是持续性的安全能力建设，包括安全流程、应急响应，攻击溯源、渗透测试，安全基线检查，持续构建安全自动化体系

安全运营最不应该把配置防火墙的一些策略和WAF的策略让安全运营来做，不是沾了安全的边，就叫安全，比如DevSecOps，本来安全就是联动开发和运维，安全部门没多少人，就几个人，所以要有边界

之前，运维部门配置防火墙，配置WAF不是挺好的嘛，工作并不是走不了，所以专门成立一个安全运维的岗位，他既要对不断上线的系统配置策略，还要安全测试，他精力能有多少，完全可以编写安全制度，系统上线需要满足什么要求，相应人员如何保障

很多公司认为，配置完防火墙IDS，在做个安全测试，就是安全运营了，你们就是被这么毒害的吧

@D0ct0r：边界安全是边界安全，基础安全架构部门就是负责这一块，这是安全运维，安全运营要懂大数据的

@机器小子闯天下：数据治理只能是一方面，安全既然叫运营，说明就是一个集合。配置防火箱和WAF乃至于IDS这些基础工作以前是运维部门做的，还是让他们做，对于安全策略可以制作成流程违规让运维部门人员去执行，该取的数据肯定要取，无论是防火墙还是IDS的数据，最终的目标就是态势感知或者SOC这个系统，但是做完数据分析还是不够的。不得不说，态势感知的误报率还是很高的，性能也是不够的

@D0ct0r：要做运营，大数据安全分析平台得先落地，至于怎么落地、什么技术都得细细考究、衡量

@潇然

安全运营，这两年都在提，好像不做这个就跟不上形势了一样。

人员方面：安全运营工作人员需要转变观念，不被安全运维的理念所束缚，要更加注重安全分析、数据分析、安全处置的能力。

产品方面：安全运营相关产品目前厂商也推出很多，但是是不是真正适合各自的企业或组织，有待证实。对于安全运营中最基础的内容是要将防火墙、WAF、IDS等各产品的数据进行统一汇总分析，才能为后续运营提升如SOC、态势感知甚至安全人工智能等提供帮助。

流程方面：安全运营就是是将安全工作标准化、体系化、日常化。那么要实现这三化，就需要有好的流程，但公司里面非安全工作可能已经有很多流程了，另外再增加安全运营的相关流程、比如上线、变更等可能会有阻力，可以在现有流程之上进行优化更新，这样减少一些阻力，更好的服务安全运营工作。

安全运营这东西看怎么理解，没有统一标准，所以无论岗位设置还是组织架构等方面各公司叫法也不一样

@qingxp9

大家喜欢去建设新的安全系统，向上汇报的时候有亮点，而后续通过运营打磨产品，不容易体现出价值

之前就安全运营写过一个学习笔记：https://zhuanlan.zhihu.com/p/205840473

@pilgrim

安全运营的本质就是数据+平台+人+流程，构建可持续的安全检测的响应能力

@理想汽车安全部

我们现在做的是自动化运营，就是做一些联动，当然目前现阶段还不能实现自动化，只是个理想的状态。

@机器小子闯天下：现在任何一家公司都做不到完全自动化，只能做到能自动化的就自动化

安全运营就是把产品跑起来，大数据分析？那个是属于数据安全范畴，一般对安全运营的期望没这么高。

@煜阳yuyang

很多公司安全部是挂在运维下面的，要兼很多运维，网络的工作，做到后面基本是安全运维网络架构设计一块管。如果是挂靠运维部下的，那就一个安全岗，干所有安全+运维的事

@机器小子闯天下：一个人的安全工程师，大部分都是挂在运维下面，真是要干运维了

@Shell.

有的公司把应用安全和安全运营分成了2个组，其实某种意义上 ， 我个人觉得这都是在大的安全运营的范畴内。

基础建设好了，SIEM这些统一收集并分析了，开始考虑运营的事了 这其中就引出了 SOAR这些的需求

现在很多现状就是安全运营组包含安全运维、开发、测试、分析、响应 一条龙

@LittleT1ger

这个问题我前段时间还刚刚讨论过，我的观点是做产品的安全开发是兵工厂，造出坦克大炮枪子弹，但最终具体的安全效果到底有没有用，枪打不打的死人，要靠运营来保证，运营保证这把枪在有限作用内最大的杀伤力。

整个目标安全目标能不能达到，这个kpi运营背，那么运营就会想办法推研发，推业务。

从这个角度上讲，凡是为了最终效果负责的工作量都隶属于运营工作。只是说因公司大小不同，职位安排不同，有些运营工作短期内只能由其他职位兼职来干的现状。

@Moench

我也一直觉得安全运营就是用研发或者采购出来的安全产品，但是如何不断发掘新需求研以致用，发挥最大功效也很重要

@机器小子闯天下：你也可以自己开发和态势感知类似的产品，目的就是从海亮日志中挖掘攻击风险，只不过很多公司人员不够，所以才会外采，所以外采和自研只是两种手段而已，也并不能证明自研的就一定是安全能力很强，这个没啥关系，手段不同而已。政府部门的都是自己定义需求，然后通过外采实现，好像电子政务内网安全等级并不差。研发就是手段而已，外采也是手段，想用什么样的手段，得看公司的人员情况，外采现在很多也是定制划的需求

@CyAnogeN：在外部看确实，在内部管理技术有很多问题，特别是传统的部门，遗留问题很多，然后他们需求很多都是职能部门要求或第三方指定，这种环境下很多方案都是不太贴合实际需求，沉淀不下来，导致单个系统等级高，整体看起来就比较脆弱

@机器小子闯天下：电子政务内网是做分保的，就算是旧系统不满足要求是不能接入电子政务内网的。些系统是不并入电子政务内网的，所以安全等级不好评估，但是并入内网的，是要做很多测试的，还有各种防御手段的

@CyAnogeN：对，这方面比较依赖开发单位，至少我这边是，最终导致从政府机房横向到电子政务内网

@机器小子闯天下：旧系统很多不满足电子政务内网的分保要求，所以就没并网，有的为了并网，得做新需求开发

@CyAnogeN：对的，然后就有复合资产的情况了

@机器小子闯天下：政府军工长期致力于安全建设，和安全运营，现在炒的很多概念，政府那边很多年前就在做了

@CyAnogeN：但是地方情况太复杂了很多东西要不乱要不就干脆乱干，我也在想那东西不是很多年前推怎么还有这样那样的问题，不过对外是没什么情况的，也算控制风险得当

@机器小子闯天下：有些事情，他们很早就提出了概念，但是政府的环境是很复杂的，所以落地需要不断的探索，其实每家公司也是如此，不可能就是拿来复制，也需要自我探索走符合自己的路

@free

我觉得安全运营如果最核心的价值在于通过流程和体系做到这么几点：

1、扁平化安全工作结果，无论是乙方对用户的交付内容还是甲方自己安全口对运维和开发部门提出来的安全要求，如果做到扁平化如何做到让研发和运维人员在专注本职工作的同时过程中能够改善安全措施

2、如何弱化人为因素对安全风险或事件的主观影响

3、如何弱化商业安全设备或安全产品的依赖

4、如何选择工具配合安全措施的落地

@pony686

1、我认为安全运营，对人员必须有一定的技术考核，定期让技术人员更新一些专业技能。对与产品而言，要留有可扩展和升级的地方，不断进行更新换代。对于整体流程，可以多借鉴一些国外的先进案例来进行操作
2、攻防是会成为一种常态，攻防会解决很多系统存在的问题，不断会完善系统的应急能力。攻防中的实战技术可以形成一些思路，然后交付给开发，然后让开发不断完善系统。

@D0ct0r

工具来说，splunk挺好用的，ELK不适合

甲方安全运营部门成立每次都要征求大数据业务部门的意见，从画像技术、感知技术到分析技术处处要跟大数据部门取经，所以安全运营的本质是什么？

如何保证攻击事件是实时的有效的，如何保证威胁建模是可靠的，如何保证大数据安全分析平台是可靠的，如何保证大数据安全分析平台是可靠的，用ELK会出现什么问题，建设时要用什么技术，是需要OLTP还是OLAP，联动又要怎么联动，在软件架构设计方面，是否要做偶合，是以插件形式存在还是以硬编码进行接口对接，splunk可以，splunk社区为中国安全设备厂商提供了插件编写方式进行自动化

@煜阳yuyang：聊着聊着聊出了一套devsecops平台

@D0ct0r：在对攻击事件eventime实时性要求强的场景下，ELK不符合业务需求，按照信息安全三要素中的完整性，Logstash会发送重复数据，并且无法保证数据连续性，安全运营最后还是依托开发，开发的平台成熟了才有分析

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码添加FB小编加入群聊吧~回顾往期精彩话题讨论还可关注专辑：Let's Talk