深度研究 | 智能化安全运营建设的常见挑战与应对建议

目前各组织正积极升级SOC到智能化安全运营（ISOC），深度设但是研究营建应对在建设ISOC过程中常遇到各种挑战。针对这些挑战，化安安全牛在 2025 年通过针对企业用户和厂商的全运访谈调研，汇总了以下常见问题，挑战并提供了相应的建议应对建议：

问题1 ：企业现在是否应该建设大而全的智能化安全运营平台

在智能化安全运营（ISOC）建设过程中，我们经常会遇到一个误区 ，深度设认为一定要建设一个庞大的研究营建应对 、无所不能的化安AI平台，才能实现安全运营的模板下载全运自动化 。然而 ，挑战由于AI技术应用的建议不成熟，这种“大而全”的深度设思路 ，往往会导致项目周期长 、研究营建应对投入大、化安效果不明显  ，甚至可能导致项目失败 。根据安全牛访谈，在实际项目中
，更精细的场景可以解决AI的误报等问题，快速体现AI的服务器租用价值 ，建议ISOC建设不应追求“大而全”，应该“小步快跑”，“精而准”地快速实现急需解决的特定精细场景。

安全牛分析

AI在安全运营中的价值，智能化安全运营（ISOC）建设应该“小步快跑” ，不应追求“大而全” ，而是应体现“精而准”。简单来说 ，就是从最容易上手 
、能够快速产生价值的场景入手，云计算逐步推进ISOC建设。这种方法的核心思想是
：择那些能够快速解决实际问题、提升安全运营效率的场景，逐个着手，逐步扩大应用范围，避免“一口吃个胖子”。然后通过不断的反馈和优化，不断提升AI在安全运营中的应用效果。比如知识问答
、某类安全事件的溯源和自动化响应。免费模板

由此带来的好处是：

快速见效 ：小场景落地快，能够快速展现ISOC的价值  ，增强团队信心。通过实际的应用案例，让领导和同事看到AI在安全运营中的潜力；降低风险：小步快跑，降低项目风险
，避免“大而全”带来的不确定性
。可以在小范围内进行测试和验证，及时发现和解决问题；持续优化：通过不断地迭代和优化小场景，我们可以逐步积累经验，源码下载为后续的ISOC建设打下坚实的基础。可以将成功的经验复制到其他场景 ，逐步扩大AI的应用范围；更精准的回报投资：可以在小场景中更轻松地确定投资回报率，可以更有效地申请到更多的预算
。

问题2：在ISOC建设过程中会面临哪些数据治理的挑战

在ISOC建设的道路上，首先会遇到一个巨大的挑战——数据治理。数据是源码库ISOC的基础，没有高质量的数据 ，自动化
、智能化的安全运营就类似于空中楼阁。不仅如此，数据治理问题在现实中 ，往往比我们想象得要复杂
。

我们经常会遇到以下数据挑战：

数据孤岛问题：组织内部通常配置来自不同厂商、不同型号的安全设备，这些设备产生的数据格式各不相同，彼此之间缺乏互通性
，形成一个“数据孤岛”；数据质量问题 ：安全设备产生的数据可能存在错误、缺失
、重复等问题，这些质量低的数据会严重影响人工智能的分析和判断，导致误报 、漏报等情况；数据量爆炸问题 ：随着安全设备的普及和网络流量的增长 ，安全数据量呈爆炸式增长。如何高效存储 、处理和分析海量数据，成为亟待解决的问题；数据合规性问题：数据通常包含敏感信息 ，如用户信息 、业务数据等。在数据采集、存储、处理和分析过程中，应注意利用匿名 、混淆等技术进行处理。安全牛分析

因为组织往往忽视在规划阶段明确数据需求的重要性 。没有明确的目标，无法预知为什么需要哪些数据 ，也无法选择合适的设备
 ，到建设后期才发现数据中断 
，往往为时已晚，成本高昂。数据是ISOC的基石，只有打好数据基础 ，我们才能充分发挥AI的潜力，让安全运营真正智能起来。

对此，安全牛建议
：

规划先行 ，目标明确 ：在ISOC建设之初 ，需充分了解自身的风险状况和业务需求，明确需要哪些数据来支撑安全运营。例如
：若需进行用户行为分析  ，则需要设备能够提供详细的用户日志 ，若需进行流量分析，则需要设备能够提供全面的网络流量数据；设备选型 、数据匹配
：在选择安全设备时 ，不仅要关注其功能，更要关注其数据输出能力，确保能够提供所需的数据 。可以要求设备厂商提供详细的数据字典
，了解其数据格式和内容；数据治理，贯穿始终：数据治理不是一蹴而就的，而是一个持续的过程
。要建立完善的数据治理体系
，包括数据采集、存储、清理、转换、分析等阶段
。采用数据湖、数据仓库等技术
 ，实现数据的集中存储和管理；数据智能化：制定并采用通用的数据标准，实现不同设备和系统之间的数据交换和共享；数据安全合规：建立完善的数据安全管理制度，确保数据在整个生命周期内的安全性 
。

问题3：企业应选择本地还是云端的部署模式
？

企业在建设智能化安全运营中心（ISOC）时，面临的一个关键决策是选择哪种部署模式 ：本地部署 、云端或混合模式。不同的部署模式各有优劣
。

本地部署模式

本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求，并能够更灵活地进行定制化开发和集成。大型组织通常拥有庞大而复杂的自主IT基础设施、完善的安全运营体系和专业的安全团队，面临复杂的安全威胁和严格的合规要求，安全预算相对充裕，对数据安全和可控性有更高的要求。建议对于具备以上特点的大型组织，本地部署可以更好地满足其对数据安全、隐私保护和自主可控的要求，并能够更灵活地进行定制化开发和集成。但是注意，本地部署ISOC的前期投入，需要专业的团队进行建设和运维
。

云端模式；

云端模式可以降低ISOC的建设和运维成本，并提供专业级的安全运营服务，中小型组织的特点是IT基础设施相对简单，安全团队规模有限或缺乏，安全预算有限 ，对安全运营的专业性要求较高，但自身难以满足
。建议中小型组织选择云端的ISOC通常是更经济、更高效的选择 ，可以使中小型组织也能够享受到先进的安全防护能力。

混合模式（本地+云）

混合模式结合本地部署和SaaS模式的优点  ，可以根据不同的业务需求和安全需求，将不同的安全功能部署在本地或云端 。建议对于一些大型组织，可以考虑采用混合模式。可以将核心的安全数据和安全功能部署在本地 ，将一些非核心的安全功能部署在云端，或者将云端作为本地ISOC的补充和扩展 。

需要考虑的其他因素 ：

专业的安全运营团队。自建ISOC需要专业的安全团队进行建设、运维和管理 。如果企业缺乏专业的安全团队，云端的ISOC或托管安全服务（MSSP）可能是更合适的选择。IT基础设施和安全体系。企业要考虑IT基础设施的规模和复杂程度，ISOC需要与现有的IT基础设施进行集成
。如果IT基础设施庞大而复杂，本地自建ISOC的负载和成本会更高。并且ISOC需要与现有的安全设备和系统进行联动 。如果企业缺乏基本的安全设备和能力 ，ISOC可能无法有效地工作。数据安全性和合规性。对于数据安全和隐私保护有要求的企业（例如金融、医疗等行业），可能更倾向于本地自建ISOC
，以保证数据的安全和可控 。预算和成本 。本地自建ISOC的前期投入较多 ，包括硬件、软件、人力等方面的投入。SaaS化的ISOC通常采用订阅模式，前期投入较低 ，但长期成本需要综合考虑 。定制化和灵活需求。不同的企业面临不同的安全需求和合规需求 ，本地自建ISOC可以提供更高的定制化和灵活性，但需要更强的技术实力 。云端的ISOC提供的功能通常是标准化的 ，定制化能力有限  。并且本地自建通常更容易实现与其他内部系统进行深度集成。

企业在选择ISOC部署模式时，需要综合考虑并根据自身的实际情况做出最佳选择。

问题4 ：如何转变思路，从而获得高层领导的支持 ？

在ISOC建设过程中，我们经常会遇到这样的挑战：如何让领导充分了解ISOC的价值，并持续投入经费？ISOC建设需要资金的支持
，如果无法证明ISOC的价值，就很难获得领导的支持。要解决这个问题，我们需要转变思路 ，从“技术驱动”转变为“价值驱动” ，用数据说话，用事实证明ISOC能够为组织带来真正的价值。

安全牛分析

领导关注的不是技术本身
 ，而是技术能够带来的价值。让我们用数据和事实 ，赢得领导的信任和支持，建议 ：

明确指标量化：在ISOC建设之初，需要设定明确的量化指标
，如事件响应时间 、威胁监测率 、运营成本降低等 。这些指标应该与组织的业务目标相关联，能够清晰地反映ISOC的价值；持续测量效果 ：通过持续测量和分析，我们可以了解ISOC的实际效果，并及时调整优化。可以定期发布ISOC的运营报告，向领导展示其成果和价值；可视化展示：将量化指标和分析结果以可视化的方式呈现
，一目了然地了解ISOC的价值 。可以采用图表 、仪表盘等方式，直观地展示ISOC的运营情况；从点着手 ，逐步扩大
：通过一个小而成功的案例 ，展示ISOC的潜力 ，并以此为基础，逐步扩大应用范围，争取更多预算。可以选择一些容易量化和展示的场景，如知识问答、事件溯源等；强调商业价值 ：不仅要强调ISOC的技术优势 ，更要强调其商业价值 。例如 ：ISOC可以提高安全运营效率 ，降低运营成本；可以提升威胁检测能力，降低安全风险；可以增强客户信任，提升品牌形象；构建安全运营成熟度模型 ：使用该模型来简化组织在流程、技术和人员方面的成熟度。通过评估模型显示持续性的改进，这对于获得更多的预算和保持持续性改进至关重要 。