当前，企业网络运营环境越来越复杂，同时也产生了很多新的安全挑战。其中，来自外部网络安全威胁的不断增加，导致更加复杂、多样化和隐蔽化的APT攻击事件层出不穷。企业内部人员能力水平差异，系统开发、测试和安全技术人员无法形成合力，加之外部供应链的多方参与，攻击面收敛难度大，使企业整体的网络安全运营工作变得难上加难。安全运营能力建设模型如图所示。

1.安全运营基础

企业在构建网络安全运营能力的过程中，明确网络安全战略是基础，制定风险管理策略是方法，满足合规监管要求是底线，落实安全技术和人员配置是保障。企业规划安全战略必须以清晰、明确的政策形式发布，定义企业首要的安全目标和政策规定。通过风险管理策略判断自身的风险偏好和容忍度，制定符合成本效益的风险管理策略。例如，如何识别风险和评估风险的流程，实现风险闭环管理，并同步规划落实网络安全专项预算，实施适当的风险控制措施，以及如何监督和检查风险状态。

2.安全事件管理及响应

网络安全事件管理与响应是网络安全运营工作的一项重要任务，主要包括应急响应管理、安全事件管理和备份与恢复等部分。应急响应管理目标是对网络安全突发事件进行快速有效的处理过程，通过建立并维护应急响应工作组，制定应急响应处置计划，定期开展应急演练活动等。

备份与恢复计划应当根据具体业务的敏感程度来制定对应的备份机制，例如是实时热备还是每天备份，抑或异地备份、本地备份等。同时，还需要定期对备份数据进行恢复性测试，确保备份数据真实有效。

安全事件管理是收集、分析和响应处置安全事件的过程，分为事件识别、分析调查和处置恢复等环节。SIEM（安全信息和事件管理）系统能够收集和分析日志，以发现潜在安全威胁等。

3.风险评估和管理

风险评估管理是安全运营工作的核心环节，做好风险度量的关键在于完善的资产管理机制和风险监控、风险处置流程。对于重要的核心系统，要做好威胁建模工作，落实威胁态势感知系统，全面监控网络安全风险的动态变化。

资产管理是风险评估工作的基础，包括软硬件设备、办公系统、网络链路甚至细化至系统API接口数量等，重点关注数据孤岛和老旧系统。建立资产库，记录所有资产的详细信息，例如类型、位置、所有者以及重要性等，并定期审查发现资产库的更新变化。

风险识别和监控采取主动和被动两种方式，通过态势感知系统和实施定期安全扫描监控等手段，监控企业内部网络安全风险状态，针对可疑的访问行为，及时采取分析处置工作。

4.培训与人员

在网络安全运营能力建设中，安全技术人才是关键资源。一方面，建立完善的人才培训管理体系，有助于帮助企业采用系统化方法开展岗位人员培训工作，包括培训需求分析、岗位角色定位、确定培训范围、制定培训和实施计划等。另一方面，通过培训体系管理，能够减少人员岗位流动带来的技术能力缺失，进一步规范岗位角色技术能力培养。

5.安全运营平台的集成

面对日趋复杂的网络运营环境，安全运营平台能够有效地监控、分析和管理各类网络安全风险。安全运营平台的建设应当具备以下能力。

（1）业务安全。业务安全是安全运营平台的重点保护目标。例如，在业务系统中，利用插桩技术进行监控检测，实施反欺诈、反爬虫措施等，并将监控数据同步至运营平台。

（2）数据与隐私安全。数据是企业的重要信息资产，应对企业数据进行分类分级，采取不同层次的技术保护措施，同时需要关注国家法律法规和行业相关规定。对敏感隐私数据采取加密、脱敏技术，以保护数据隐私安全。

（3）日志分析系统。日志分析系统能够监控审计各类IT系统的运行状态，是运营人员收集、存储和分析日志的重要工具，用来发现异常行为和攻击事件。

（4）威胁情报服务。威胁情报服务能够弥补企业获取互联网最新安全威胁的信息获取能力，帮助企业提前预防和应对威胁。可以利用威胁情报共享平台，将情报信息整合到安全运营平台。

（5）漏洞扫描评估系统。漏洞扫描评估系统能够帮助企业掌握内部信息化系统和业务系统的漏洞信息情况，通过定期进行漏洞扫描和评估，发现和修复潜在的系统安全漏洞。

（6）传统安全防御设备。当前，传统安全防护设备的重要性仍然不可替代，它们是构建企业网络安全的基石。在日常安全运营工作中，应正确配置和管理这些安全设备，例如防火墙、Web应用防护系统、入侵防御系统和堡垒机等。

（7）API安全监控。API是系统的重要接口，也是当前数据信息泄露事件发生的重要路径。采取API安全审计和监控，部署API安全网关，能够有效保护API安全。

（8）态势感知系统。态势感知系统提供了企业网络安全状态的全景视图，能够实时监控网络状态，最大化了解安全风险态势，帮助运营人员快速响应和处置安全事件。