深度研究 | 智能化安全运营建设的常见挑战与应对建议

目前各组织正积极升级SOC到智能化安全运营（ISOC），深度设但是研究营建应对在建设ISOC过程中常遇到各种挑战 
。针对这些挑战 ，化安安全牛在 2025 年通过针对企业用户和厂商的全运访谈调研，汇总了以下常见问题，挑战并提供了相应的建议应对建议 ：

问题1
：企业现在是否应该建设大而全的智能化安全运营平台

在智能化安全运营（ISOC）建设过程中，我们经常会遇到一个误区 ，深度设认为一定要建设一个庞大的研究营建应对、无所不能的化安AI平台 ，才能实现安全运营的免费模板全运自动化 。然而，挑战由于AI技术应用的建议不成熟，这种“大而全”的深度设思路，往往会导致项目周期长、研究营建应对投入大
、化安效果不明显 ，甚至可能导致项目失败 。根据安全牛访谈，在实际项目中，更精细的场景可以解决AI的误报等问题，快速体现AI的源码库价值 ，建议ISOC建设不应追求“大而全”，应该“小步快跑”，“精而准”地快速实现急需解决的特定精细场景 。

安全牛分析

AI在安全运营中的价值，智能化安全运营（ISOC）建设应该“小步快跑” ，不应追求“大而全” ，而是应体现“精而准” 。简单来说 
，就是从最容易上手、能够快速产生价值的场景入手，亿华云逐步推进ISOC建设。这种方法的核心思想是：择那些能够快速解决实际问题、提升安全运营效率的场景 ，逐个着手 ，逐步扩大应用范围
，避免“一口吃个胖子” 。然后通过不断的反馈和优化，不断提升AI在安全运营中的应用效果 。比如知识问答、某类安全事件的溯源和自动化响应
。服务器租用

由此带来的好处是 ：

快速见效：小场景落地快 ，能够快速展现ISOC的价值
，增强团队信心。通过实际的应用案例，让领导和同事看到AI在安全运营中的潜力；降低风险 ：小步快跑，降低项目风险，避免“大而全”带来的不确定性 。可以在小范围内进行测试和验证
，及时发现和解决问题；持续优化：通过不断地迭代和优化小场景 ，我们可以逐步积累经验，香港云服务器为后续的ISOC建设打下坚实的基础。可以将成功的经验复制到其他场景 ，逐步扩大AI的应用范围；更精准的回报投资：可以在小场景中更轻松地确定投资回报率，可以更有效地申请到更多的预算。

问题2：在ISOC建设过程中会面临哪些数据治理的挑战

在ISOC建设的道路上，首先会遇到一个巨大的挑战——数据治理。数据是建站模板ISOC的基础，没有高质量的数据，自动化  、智能化的安全运营就类似于空中楼阁 
。不仅如此，数据治理问题在现实中，往往比我们想象得要复杂。

我们经常会遇到以下数据挑战 ：

数据孤岛问题 ：组织内部通常配置来自不同厂商、不同型号的安全设备，这些设备产生的数据格式各不相同
，彼此之间缺乏互通性 ，形成一个“数据孤岛”；数据质量问题：安全设备产生的数据可能存在错误、缺失、重复等问题，这些质量低的数据会严重影响人工智能的分析和判断，导致误报 、漏报等情况；数据量爆炸问题
 ：随着安全设备的普及和网络流量的增长，安全数据量呈爆炸式增长 。如何高效存储 、处理和分析海量数据，成为亟待解决的问题；数据合规性问题：数据通常包含敏感信息 ，如用户信息、业务数据等。在数据采集、存储
、处理和分析过程中，应注意利用匿名、混淆等技术进行处理 。安全牛分析

因为组织往往忽视在规划阶段明确数据需求的重要性。没有明确的目标 ，无法预知为什么需要哪些数据，也无法选择合适的设备，到建设后期才发现数据中断 ，往往为时已晚 ，成本高昂 。数据是ISOC的基石，只有打好数据基础  ，我们才能充分发挥AI的潜力，让安全运营真正智能起来。

对此，安全牛建议
：

规划先行，目标明确：在ISOC建设之初，需充分了解自身的风险状况和业务需求，明确需要哪些数据来支撑安全运营。例如：若需进行用户行为分析，则需要设备能够提供详细的用户日志，若需进行流量分析
，则需要设备能够提供全面的网络流量数据；设备选型、数据匹配：在选择安全设备时 ，不仅要关注其功能，更要关注其数据输出能力，确保能够提供所需的数据。可以要求设备厂商提供详细的数据字典，了解其数据格式和内容；数据治理 ，贯穿始终：数据治理不是一蹴而就的，而是一个持续的过程
。要建立完善的数据治理体系
，包括数据采集、存储 、清理 、转换
、分析等阶段。采用数据湖、数据仓库等技术，实现数据的集中存储和管理；数据智能化 ：制定并采用通用的数据标准，实现不同设备和系统之间的数据交换和共享；数据安全合规 ：建立完善的数据安全管理制度，确保数据在整个生命周期内的安全性。

问题3：企业应选择本地还是云端的部署模式  ？

企业在建设智能化安全运营中心（ISOC）时  ，面临的一个关键决策是选择哪种部署模式
：本地部署 、云端或混合模式。不同的部署模式各有优劣
。

本地部署模式

本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求 ，并能够更灵活地进行定制化开发和集成。大型组织通常拥有庞大而复杂的自主IT基础设施
、完善的安全运营体系和专业的安全团队，面临复杂的安全威胁和严格的合规要求，安全预算相对充裕
，对数据安全和可控性有更高的要求。建议对于具备以上特点的大型组织，本地部署可以更好地满足其对数据安全
、隐私保护和自主可控的要求 ，并能够更灵活地进行定制化开发和集成 。但是注意，本地部署ISOC的前期投入，需要专业的团队进行建设和运维
。

云端模式；

云端模式可以降低ISOC的建设和运维成本
，并提供专业级的安全运营服务，中小型组织的特点是IT基础设施相对简单，安全团队规模有限或缺乏 
，安全预算有限
，对安全运营的专业性要求较高
，但自身难以满足 。建议中小型组织选择云端的ISOC通常是更经济 、更高效的选择 ，可以使中小型组织也能够享受到先进的安全防护能力 。

混合模式（本地+云）

混合模式结合本地部署和SaaS模式的优点 ，可以根据不同的业务需求和安全需求 ，将不同的安全功能部署在本地或云端。建议对于一些大型组织 ，可以考虑采用混合模式
。可以将核心的安全数据和安全功能部署在本地，将一些非核心的安全功能部署在云端，或者将云端作为本地ISOC的补充和扩展 。

需要考虑的其他因素 ：

专业的安全运营团队。自建ISOC需要专业的安全团队进行建设、运维和管理 。如果企业缺乏专业的安全团队，云端的ISOC或托管安全服务（MSSP）可能是更合适的选择。IT基础设施和安全体系。企业要考虑IT基础设施的规模和复杂程度
，ISOC需要与现有的IT基础设施进行集成。如果IT基础设施庞大而复杂
 ，本地自建ISOC的负载和成本会更高
。并且ISOC需要与现有的安全设备和系统进行联动 。如果企业缺乏基本的安全设备和能力，ISOC可能无法有效地工作。数据安全性和合规性  。对于数据安全和隐私保护有要求的企业（例如金融 、医疗等行业） ，可能更倾向于本地自建ISOC ，以保证数据的安全和可控  。预算和成本  。本地自建ISOC的前期投入较多 
，包括硬件
、软件、人力等方面的投入
。SaaS化的ISOC通常采用订阅模式，前期投入较低，但长期成本需要综合考虑
。定制化和灵活需求。不同的企业面临不同的安全需求和合规需求，本地自建ISOC可以提供更高的定制化和灵活性，但需要更强的技术实力。云端的ISOC提供的功能通常是标准化的，定制化能力有限 。并且本地自建通常更容易实现与其他内部系统进行深度集成 。

企业在选择ISOC部署模式时，需要综合考虑并根据自身的实际情况做出最佳选择。

问题4：如何转变思路，从而获得高层领导的支持 ？

在ISOC建设过程中
，我们经常会遇到这样的挑战 ：如何让领导充分了解ISOC的价值 ，并持续投入经费？ISOC建设需要资金的支持 ，如果无法证明ISOC的价值，就很难获得领导的支持。要解决这个问题，我们需要转变思路，从“技术驱动”转变为“价值驱动” ，用数据说话 ，用事实证明ISOC能够为组织带来真正的价值。

安全牛分析

领导关注的不是技术本身 ，而是技术能够带来的价值。让我们用数据和事实 ，赢得领导的信任和支持，建议：

明确指标量化 ：在ISOC建设之初 ，需要设定明确的量化指标，如事件响应时间、威胁监测率、运营成本降低等。这些指标应该与组织的业务目标相关联，能够清晰地反映ISOC的价值；持续测量效果：通过持续测量和分析，我们可以了解ISOC的实际效果 ，并及时调整优化。可以定期发布ISOC的运营报告 
，向领导展示其成果和价值；可视化展示 ：将量化指标和分析结果以可视化的方式呈现，一目了然地了解ISOC的价值。可以采用图表 、仪表盘等方式  ，直观地展示ISOC的运营情况；从点着手，逐步扩大：通过一个小而成功的案例，展示ISOC的潜力
，并以此为基础，逐步扩大应用范围，争取更多预算
。可以选择一些容易量化和展示的场景 ，如知识问答 、事件溯源等；强调商业价值 ：不仅要强调ISOC的技术优势，更要强调其商业价值。例如 ：ISOC可以提高安全运营效率
，降低运营成本；可以提升威胁检测能力
，降低安全风险；可以增强客户信任 ，提升品牌形象；构建安全运营成熟度模型 ：使用该模型来简化组织在流程 、技术和人员方面的成熟度
 。通过评估模型显示持续性的改进
 ，这对于获得更多的预算和保持持续性改进至关重要 。

很赞哦!（57963）