天融信科技集团高级副总裁 景鸿理（张哈斯巴根/摄）

景鸿理：大家好！我今天讲的题目是《智慧民航安全运营》。

今天讲的是安全运营，主要是三个议题。

一、为什么要做安全运营？

二、一个企业整个安全运营架构或安全运营能力怎么做？

三、安全运营的一些要素提炼。

为什么要做安全运营？政策性要求是，习近平总书记曾经说过：要建立全天候、全方位感知网络安全态势，增强网络安全防御和威慑能力。所以，一个简单的设备叠加是做不到的，同时“十四五”规划里也说到了我们要加强威胁的发现，提高我们的应急指挥，攻击溯源能力。

行业层面，《“十四五”民航发展规划》中也提出需要搞安全态势感知，也要求我们提高网络安全防护能力，加强关键信息统一集中指挥等。

网安现状对我们安全运营的要求是，我们的现状基本上都是安全产品的堆砌，边界防护，我们搞边界防护；网络加密，我们搞网络加密；入侵监测，我们搞入侵监测；防病毒，我们搞防病毒等等，这些东西没有完全的统一出来，怎样才能输出一个完完全全安全的运营能力呢，怎样提前知道呢？我们现在面临着三个挑战。

1、制度挑战，是企业单位的制度建设。

2、技术挑战，单一的网络安全产品联合起来了没有，统一分析情况了没有，数据采集达到工程化了没有等等。

3、人员挑战，我们单位里关于网络安全方面的人员到位不到位，水平够不够等等。

迎接这三个挑战，首先要依据政策法规，同时要加强安全运营的流程建设、制度建设，以及安全人员的人才支撑，同时把这些技术性的东西通过人工智能技术组合起来，通过智能降噪、机器学习组合起来，再到工程化采集、可视化管理，最后输出我们安全运营能力，使得你的那些设备工作能够发挥到更好。

如何建立？第一，制度、流程要建立起来，要进行合规性的梳理，业务需求的梳理，风险现状的梳理等，来制定出我们的方针、制度、规范、计划报告等模板，建立了模板以后，推进我们具体化的流程梳理、流程评价等。

要做五个方面的事（I、P、D、W、R），分别指：风险识别，保护、防护网络，检测，响应，恢复。

举一个案例，我们已经有很多安全设备了，也有很多安全规则了，但我们要制定的制度使得我们安全运营做一级、二级、三级、四级的文件，总而言之有这么多工作需要去做，才能把安全运营做起来，这是关于如何建立安全运营体系智慧方面的措施。

指标建设，就是为了督促我们要求的东西是不是做到位了，有这么几个指标评价体系，这也是我们在做安全运营时需要考虑的。

态势指标，如项目管理指标、安全合规指标、运营过程指标、安全能力指标等等，同时要看各种指标的覆盖率、准确率、误报率、复发率、实效性等，通过这些组合向上运行出来指标体系，来持续改进安全运营工作。

到底有哪些指标体系可以建立呢，哪些指标要做出来呢？举个案例，是我们天融信公司认认真真做了那么若干个项目，从里面摘出来的东西，如规章、制度、指标体系的建立。

技术上要达到工程化的数据采集，智慧一定是基于你有大量的数据，通过数据分析以后做出智能的判断。

工程化采集及数据降噪，降噪，就是采集到数据以后，这个数据对你有没有用，会不会产生误报，很重要的一个环节。工程化采集及数据降噪里接入场景很多，有各种各样技术网络，还有云的环境，还有工业互联网，还有物联网，有很多接入环境，同时采集到的数据也是多元异构的安全数据，把这些数据通过一种技术手段采集出来，输出给后端，在后端进行数据分析与处理，来提高我们的安全运营能力。

左边是在数据采集的时候，希望是工程化的数据采集，它能采集很多数据，就要求把行为数据、指纹数据、环境数据都采集上来，然后进行威胁识别，去反馈成我们威胁情报，运营规则去改变它，优化引擎以后再去更精准地采集，这是一个反复过程，是靠技术手段支撑的。

那些数据都采集上来以后，安全运营里面技术上的支撑还有可视化，提升信息价值，一个一个孤立的信息不能够一目了然地观察到它的态势是什么，尤其对领导者，海量网络安全数据被采集上来以后，我们要对它进行漏洞、资产、威胁的管理可视化，可视化的东西和我们采集到的数据量，通过我们自己的知识图谱指导我们安全事件的溯源、安全攻击的预测，辅助安全决策。

安全运营还有安全的编排，自动化与响应，数据采集上来以后，目的就是为了快速地去响应，去处置他们，有一个词叫“SOAR（安全的编排和自动化响应）”，核心是在应急处理时的剧本库，事先就有剧本，没有剧本的时候会根据一些实际情况再产生一个剧本，这样你行动起来就快了，还有动作库。

简单来说，就是安全监控人员发现了安全事件，把它存下来以后，通过智能分析、高效研判等自动化响应的处理脚本，最后达到的目的是减少人工的介入，缩短处置时间，提升处置效果。

最后达到一种挂图的作战，高效的决策，能够达到态势我们洞悉到了，意图我们研判出来了，更主要的是指挥要精准，动作要联动起来，想把动作联动起来还不是一个技术人员能够完成的，要精准地指挥，这就需要有人能够看见，比如有经验的复合型人才一看见这些挂图态势就知道现在出现什么事了，应该怎么做，下达的指令就会更加准备。挂图，一方面是应对常态的运营，一方面是战时的对抗。

第三个挑战，安全运营需要阶梯式的技术人才，首先需要技术人才，单位如果技术人才不够，没关系，社会上还有那么多企业。首先，要有阶梯式的技术人才，包括专家团队、三线团队、二线团队、一线团队等，同时还要建立它的组织机构。更需要有复合型的管理人才，比如专业知识、岗位技能、政策水平、政策觉悟还要高。

曾经做过一个给国务院某部安全运营项目，实力就是态势感知、大数据防御，以及各种自动化、半自动化的分析和联动、可视化，我们有这样的实力，用户的感觉很好，以前他只知道可能会有人来攻击我，但不能预判，发现问题以后不能去研判到底是什么问题，不能去预见将来还会有什么东西，有了这个东西以后，至少心里有数了，给领导做汇报的时候至少有素材了。

最后，安全运营建设不单单是买设备的事，把设备买回来当然有用，但安全运营的建设更涵盖了组织的、制度的、流程的、指标的、考核评价的、先进技术方面等内容，技术显然是个基础，没这些技术做不出来，技术是基础，至于用哪些技术不细说了。

流程，它是个指挥棒，驱动团队有效地去利用那些资源，同时也可以让管理者、指挥员有效地进行智慧，这样才能构建一个完善的企业安全能力架构，并不是有了安全设备，你的安全能力就上来了，只有通过安全运营的建设，才能完善咱们的企业安全能力建设，去覆盖IPDRR、SOAR全要素。

再者，人才是重中之重。

最后，就是构建一个全天候、全方位、全面感知的安全态势，增强网络安全防御和威慑能力。

今天我的汇报就到这里，谢谢各位！