安全运营（SecOps）是一个很泛化的概念。在最广泛意义上，可以把安全运营看作是持续不断地保障目标网络安全平稳运行，达成组织业务战略目标的永续过程，以及在这个过程中开展的各项运营工作。

从狭义上来看，安全运营的主要工作是威胁事件的运营以及围绕这个威胁事件运营延伸出来的资产、漏洞、情报等等一系列配套运营工作。Gartner将安全运营定义为一个“通过一套人、流程和技术来识别和管理暴露、监测、检测和响应网络安全威胁与事件，以增加网络弹性”的过程。

安全运营中心（SOC）作为一个组织单元，工作内容更加聚焦，基本围绕狭义的安全运营展开。安全运营中心通常是指一个包含一系列流程、人员、技术等的组织单元，核心目标就是抵御网络安全威胁、保障目标网络安全平稳运行，通常包括威胁事件运营、资产暴露运营、安全漏洞运营、安全情报运营、防御策略运营、态势决策运营6个方面的运营工作。围绕这个目标，通常会对目标网络实施持续的检测、监测、分析、调查、响应、报告、修复。

安全运营平台（SOP），或者称作SOC平台，早期也叫安全管理平台（简称安管平台），是指安全运营中心的核心技术支撑平台，集成安全运营中心所需的各种数据、技术、工具和流程，为各级安全运营人员提供一个便捷易用的工作台，以便开展安全运营工作。

SOC的演进过程存在多条平行的时间线。可以从SOC平台的技术演进角度去梳理时间线，譬如本文；可以从SOC应用领域的扩张角度去梳理时间线，研究SOC从最初应用于传统IT基础设施，逐步延伸到云、OT、物联网，车联网等新领域的过程；可以从SOC部署模式的角度去梳理时间线，研究SOC如何从云下部署发展到后来的云寄生部署、云原生部署，以及由此带来的SOC业务模式从产品交付到SaaS服务交付的转变过程；还可以从SOC服务的角度去梳理时间线，研究托管安全服务（MSS）的历史，看其如何衍生出托管检测与响应（MDR）、协管安全监测服务（CMSMS）。毫无疑问，SOC平台视角是SOC演进过程的最重要时间线，无论SOC应用领域如何扩展，无论SOC是在云下还是云上，也无论MSS提供商的服务模式如何变化，它们所依托的SOC平台发展进程都是一样的。

本文所指的SOC1.0、SOC2.0、SOC3.0和SOC4.0都是针对SOP、SOC平台、安全管理平台而言的。

2.1概述

从2000年SOC进入中国到2025年的25年间，SOC平台经历了3个明显的代际叠加演进过程。从最初面向资产的SOC1.0到面向业务的SOC2.0，再到数据驱动的SOC3.0，每个时代的SOC平台都具有鲜明的时代烙印，体现了SOC建设需求、目标和技术要求的不断演变。

• SOC1.0身处中国网络安全的萌芽期。这时期的SOC1.0主要对标ISO17799以及后来的ISO27000系列标准，以期落实信息安全管理体系（ISMS）的核心要求和使用规则。SOC1.0侧重于构建以资产为中心的ISMS技术支撑平台。

• SOC2.0时代是中国网络安全的合规时代，等级保护成为当时中国网络安全市场的首要推动力。这时期的SOC2.0形成了以合规为导向、以业务信息系统保障为核心的设计思路。SOC2.0成为了一个面向等保合规的、功能较为完备的集中化安全管理平台。

• SOC3.0时代是中国网络安全回归对抗本质的时代，这时期的SOC3.0经历了从合规到对抗、从管理到运营的叠加演进，确立了数据驱动SOC的技术路线。SOC3.0成为了一个基于大数据分析架构的，具备一定智能和主动能力的安全运营平台。

2.2SOC1.0

2000年前后，SOC概念开始进入中国。经过约4年左右的摸索，第一代SOC平台（SOC1.0）的定义在2004年基本成形，并迎来了一波建设的热潮。

SOC1.0定义：以资产为核心，以安全事态（Event）管理为关键流程，采用安全域划分的思想，建立一套实时的资产风险模型，协助管理员进行事态分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

SOC1.0在系统设计上向ISO17799以及后来的ISO27000系列标准靠拢，参照信息安全管理体系（ISMS）的要求和实用规则，以实现集中化的安全管理为目标，设计出了第一代SOC平台，当时也叫安全管理平台。

由于当时国内安全建设尚处于早期，需求不够清晰，加之受限于国内技术水平，多源数据采集和安全分析能力十分薄弱，缺少核心技术，很多SOC的理念未能很好落地。这时候，很多国内SOC平台都集成了国外的SIEM产品作为内核。SOC1.0渐渐遭遇发展瓶颈。

2.3 SOC2.0

又经过5年的发展，在2009年，第二代SOC平台（SOC2.0）出现。

SOC2.0定义：以业务信息系统为核心，通过面向业务的安全建模与业务风险管理流程，采用主动被动相结合的方法采集业务系统的各种安全信息，从业务视角进行数据的标准化、监测、分析、审计、报警、响应、存储和报告的一体化安全管理系统，力求安全与业务战略对齐。

SOC2.0迅速在国内得到广泛认同，获得了巨大成功，确立了安全管理平台这个细分市场的定位和价值。

首先，SOC2.0在理念上进行了拔高，实现了安全运营从资产视角到业务视角的提升，指出安全运营的目标就是保障业务信息系统的持续运行，而安全运营的过程就是业务安全风险管理的过程。

其次，SOC2.0在概念上将SOC和安全管理平台的关系、SOC和NOC的关系、安全运营与安全合规的关系进行了厘清。

第三，SOC2.0在平台功能设计上，紧扣《等级保护基本要求》中三级及以上信息系统要求建立安全管理中心的合规要求，建立起了一个面向等保合规（也包含ISMS等其它合规）的、功能较为完备的集中化安全管理平台。

最后，在技术上，SOC2.0推动作为SOC核心的多源数据融合与关联分析引擎技术走向成熟，大幅提升了安全数据的采集能力和威胁事件的分析能力，并开启了态势感知技术的工程化实践之路。技术的成熟，推动国产化SOC平台逐步成为主流。

以等保合规为重要契机，SOC2.0凭借理念的提升、概念的厘清、功能的匹配、技术的成熟，推动SOC经历了一波发展高潮。

也是在这个时期，国内的赛迪顾问（CCID）开始将支撑SOC的安全管理平台作为一个重要安全细分市场纳入《中国信息安全产品市场分析年度报告》的分析之中。

2012年，Gartner发布了一份名为《信息安全正在成为大数据分析问题》的报告，揭开了数据驱动安全时代的序幕。同年，Splunk成为全球第一家大数据上市公司。

而伴随着国内网络安全建设的铺开，国内的企业和组织也逐渐面临大数据带来的挑战，一方面是每天产生的安全数据不断扩张，另一方面则是以APT为代表的新型威胁的兴起。SOC2.0的诸多技术局限性逐步凸显：

• 数据处理能力有限，缺乏有效的架构支撑：当前分析工具在小数据量时有效，在大数据量时难以为继，海量异构高维数据的融合、存储和管理遇到困难；

• 威胁识别能力有限，缺乏安全智能：安全分析以基于规则的关联分析为主，只能识别已知并且已描述的攻击，难以识别复杂的攻击，无法识别未知的攻击；

• 安全预判能力有限，缺乏对抗能力：安全运营以被动应急响应为主，难以对风险进行提前的评估与研判，总是疲于救火。

在这种情况下，SOC2.0必须顺势而变。

2.4SOC3.0

2015年，基于大数据技术的SOC3.0（有的也叫NGSOC）【注：这里的NGSOC是指代一类SOC平台，而非具体品牌型号，后同】出现，SOC平台进入第三代。

SOC3.0定义：以大数据分析架构为支撑，以保障业务系统安全为导向，构建起以数据为核心的安全运营平台，强调更加主动、智能地对企业和组织的网络安全进行管理和运营。

SOC3.0标志着安全运营进入了数据驱动的时代。

首先，SOC3.0全面采用大数据分析技术架构，海量、高速、多样的数据采集、存储、分析与展现成为了现实，极大拓展了SOC的数据规模和处理性能。

其次，SOC3.0引入了威胁情报数据，通过将网络中遭受的攻击告警和资产信息与威胁情报的比对，实现了更加主动、更加精准的威胁检测与预警。

第三，SOC3.0推动了以UEBA（用户与实体行为分析）和NBA（网络行为分析）为代表的基于人工智能（AI）和机器学习（ML）的异常检测技术的落地，与关联分析技术形成SOC的双核动力，大幅提升了SOC的智能化水平。

随着2014年网络安全上升为国家战略，以及2016年的419讲话，中国网络安全事业进入一个新的历史阶段。面对这个历史机遇，以大数据分析技术为契机，中国市场开启了SOC升级换代和大规模部署的进程，数据驱动的SOC3.0取得了巨大成就。而2016年的419讲话更是给作为网络安全态势感知基石的SOC3.0带来了新的巨大市场增量。

在SOC3.0时代，SOC的使用场景和设计理念也开启了从合规优先到对抗优先、以管理为主到以运营为主的转变过程，并推动SOC3.0的持续升级。

近些年来，以大数据技术架构为基础，SOC3.0引入了更多AI和ML算法，以期提升暴露评估、威胁检测、态势评估与预测等关键能力。到2019年，国内又进一步将安全编排自动化与响应（SOAR）技术落地，将编排自动化技术带入了SOC3.0，以期提升安全响应的自动化水平和响应速度。

与大数据同时发展起来的云计算也被引入到了SOC3.0。一方面是用SOC3.0保障云计算的安全，另一方面则是SOC3.0自身的云化。

在这个时期，以端点检测与响应（EDR）、网络检测与响应（NDR）、可扩展检测与响应（XDR）为代表的边缘检测与响应技术的兴起，以及以攻击面管理（ASM）、暴露评估平台（EAP）、对抗暴露验证（AEV）为代表的暴露管理技术的重装上阵，改变了SOC的部署架构，促使SOC3.0的技术架构逐步开始向分布式和多体模式转变。

与此同时，SOC的运营者越来越重视SOC的组织和流程建设。从SOC3.0时代开始，越来越多使用SOC的单位都建立起了专门的SOC部门、组织、岗位职责、运营流程、工作场所和运营队伍。而SOC平台也开始提供面向运营的功能。尤其是SOAR的引入，让安全事件响应平台（SIRP）成为SOC3.0中重要的运营工具。

但这些改进，依然将SOC定格在了SOC3.0时代，因为这并未给SOC带来根本的革新，而用户在SOC3.0时代所遇到的困境没有得到根本性的解决。

尽管SOC3.0取得了很大的成功，但此时的安全运营平台也逐渐变得不堪重负，用户的不满日益突出。

• 缺乏实战：名为安全运营，实际上更多是在做安全分析，偏重面向专家用户的功能设计，缺乏面向真正运营人员的分角色运营流程梳理和运营功能设计，导致安全运营平台的用户体验差、易用性差。有的平台虽然进行了这方面的设计，但却没有跟实际负责运营的团队拉通，在理念和工作方式上严重脱节，设计和使用两张皮，同样导致运营效果不佳。

• 数据过载：大数据技术的加持，提升数据处理量，但也带来了数据沼泽，大量的告警和事件积压，真假难辨、误报频频，负责研判和响应处置的运营人员不堪重负，极易产生工作疲劳，运营效果大打折扣。长此以往，导致工作倦怠、人才流失。

• 自动化水平偏低：当前以SOAR为基础的响应自动化对于缓解运营疲劳作用有限，囿于用户运营流程和规程不健全，剧本开发成本高、剧本适应性低，运营自动化难以普及。

• 智能化程度有限：现有的智能化更多应用于分散的安全运营功能点，对于整体的安全运营过程还是以人的智力为主，对人的要求依然很高，距离安全运营者的期望还有较大差距。

• 定制化能力非常薄弱：安全运营平台的可定制性和可扩展性不够，要么无法定制，要么定制周期过长、成本过高，导致安全运营的实际使用落后于不断增长的安全需求和持续变化的对抗形势。

• 运营价值难以体现：SOC建设的价值如何？平台虽有大量数据，但都是安全数据，缺少运营过程数据和验证数据，缺乏对运营价值的度量，安全运营自身的数字化水平不足。

4.1生成式AI为SOC的变革带来重大机遇

AI从一开始就应用于SOC平台，基于规则推理的关联分析就是符号主义AI在SOC中的典型应用。2015年，Gartner发表了一份智能SOC的报告，指出要利用高级安全分析来落地智能化SOC，采用机器学习（ML）算法识别未知威胁的异常检测技术开始盛行。此后，还出现了其它用于提升暴露评估、告警研判、态势评估与预测等关键能力的AI和ML算法。

但是，上述传统AI通常聚焦SOC中某些专门的问题，采用专门的算法进行复杂的设计与开发，并且不同的问题往往需要使用不同的算法和模型，具有很强的专业性，对开发人员的技术要求很高。安全运营是一个过程，是一系列流程、规程和操作的集合。传统AI虽然解决了安全运营过程中的一些关键难题，但却不能将整个运营过程串起来，对整体运营帮助有限，还需要安全运营人员的大量工作。

2022年底以大语言模型（LLM）为代表的生成式AI（GenAI）技术的爆火让一切开始变得不同。

作为一种公认的颠覆性技术，GenAI近两年迅速席卷各行各业，并在安全运营领域取得了令人惊叹的效果，因为它恰好完美地击中了当下安全运营的三大痛点：人才短缺、工作倦怠、技能不足。

Gartner分析指出，如果说2023年是GenAI开局之年，2024年则应是最小可⾏产品（MVP）⼤⾏其道之年，⽽2025年可能会是GenAI集成到安全⼯作流程中并提供真正价值的元年。

不到两年，GenAI在安全运营中的应用模式迅速从早期的智能聊天，发展到后来的AI助理/副驾，再到现在基于GenAI的智能体，将安全运营带入了自主式AI（Agentic AI）时代。

Agentic AI是一个以GenAI（如LLM）为思考中枢的，能够自主或部分自主的进行决策并采取行动，以完成既定目标的系统，具有自主性、适应性和持续学习的特点。

GenAI以及由此衍生出来的Agentic AI相较于传统AI，使SOC的效能获得了极大的提升。

GenAI具有较高的普适应。不同于传统AI的专用性，GenAI向通用AI（AGI）迈出了一步，一个模型能够解决多个问题。安全运营的每个领域、运营过程的每个环节都可以利用GenAI，简化工作过程、提升工作效率。在GenAI的赋能下，SOC的整体运营效率可以获得巨大提升。

GenAI具有较强的普惠性。GenAI通过自然语言交互的体验方式，降低了对应用型技能（如编码、特定规则的语法、工具调用等）的要求，让广大运营人员可以更快上手，更便捷的进行操作，更聚焦安全运营领域的业务型技能（如特定威胁响应的战法、独特的安全知识等）。此外，随着Agentic AI技术的快速发展，开发各种安全运营智能体所需的应用型技能要求正在变得越来越低。

基于GenAI的Agentic AI具有很强的自主性。Agentic AI特别适合用于安全运营领域，很多流程性的安全运营任务都可以借助基于Agentic AI的智能体实现，提升安全运营的自主性和智能自动化水平，减轻工作压力。

基于GenAI的Agentic AI具有很强的协作性，将AI从工具变成了“伙伴”。传统AI更多像是一个个工具，由人来调用。而Agentic AI则让AI成为了工具的使用者，能够主动地使用各种工具，包括传统AI。Agentic AI的这个特性特别契合安全运营，因为安全运营的过程主要就是调用各种工具进行协作的过程。

GenAI让知识价值快速释放。以往安全运营专家的各种知识（譬如各种安全通用知识和安全报告，各类安全情报，基于资产和漏洞的安全姿态，告警研判、事件调查与响应的技战术方法，包括日志解析规则、关联分析规则、剧本在内的各种安全内容，以往的事件响应报告，甚至用户操作手册）需要事先经过特定的转换（甚至代码开发）才能加载到安全运营平台中，进而发挥作用。同时，这些知识的验证、更新过程也同样繁琐，甚至无法闭环。GenAI和智能体则能够以近乎自然语言的形式接收、验证和更新这些知识，并将它们充分的连接起来，催动安全运营平台的运转，让知识价值快速释放。而随着GenAI和智能体在安全运营中的应用门槛不断降低，安全运营领域的专业知识将显得尤为重要。

基于上述特征，以LLM为核心的GenAI和Agentic AI的兴起为SOC的变革带来重大机遇，新一代SOC平台呼之欲出。

必须指出，GenAI不是对传统AI的替代，尽管GenAI具有很多优秀特性，但在针对很多专门的运营问题时，传统AI依然有效，而且表现得更加高效。当前GenAI自身存在的诸多不确定也限制了其发挥，需要利用传统AI予以约束。在工程实践中，不应追求单一类型的AI包打天下，而是要从从性价比的角度，按需使用最合适的AI。这种将多种不同AI技术整合到一起的AI技术称作复合式AI（Composite AI）。根据Gartner的定义，复合式AI是指组合利用不同AI技术（包括GenAI、数据科学、机器学习、知识图谱等技术）来提高学习效率，以生成层次更丰富的知识表示的AI。

此外，DeepSeek横空出世，使得本地化部署LLM的性价比大幅提升，进一步加速了LLM在企业侧的落地过程，进而带动了AI赋能的新一代SOC平台的落地进程。

4.2AI赋能的SOC4.0

在以LLM为核心的GenAI和Agentic AI的加持下，AI赋能的SOC4.0诞生，SOC平台进入第四代。SOC4.0也可以称作Agentic SecOps Platform。

SOC4.0定义：SOC4.0是一个AI赋能的、数据与流程双轮驱动的、自动化优先的实战化安全运营平台。这里，AI是安全运营能效的加速器，数据与流程是驱动安全运营平台的原动力，自动化和实战化是安全运营平台的核心设计理念。同时，无论如何演变，SOC始终遵循风险管理思想，以实现网络弹性、保障业务平稳运行为目标。

SOC4.0是AI赋能的，但又不仅仅是AI赋能的。

首先，AI赋能是SOC4.0的核心特征，Agentic AI则是SOC4.0的标志。AI将渗透到SOC4.0的方方面面和运营过程的各个环节，包括让数据驱动和流程驱动更加高效，让自动化更加智能，让平台更加实战化，全方位提升运营效能。

其次，数据与流程双轮驱动不仅是SOC4.0的基本特征，更是所有SOC的基本特征，刻画了安全运营的技术本质。数据是安全运营的源泉和动力，在数据的驱动下，源源不断地发现问题、分析问题、解决问题、总结问题。流程是安全运营的依据和手段，是安全运营持续运转的纽带，通过平台连接人、运营工具、网络安全防御设施，实现协同防御、联防联控。同时，数据驱动与流程驱动二者在安全运营中各有侧重，且紧密相连，相互转化。以往，我们片面强调数据驱动安全运营，忽略了流程驱动运营的重要性，使得安全运营平台更像一个安全分析平台，而缺乏实战化的日常安全运营支撑能力。因此，在SOC4.0时代，必须将数据驱动和流程驱动放到同等的地位，统一进行设计。一方面，要用基于安全数据编织的新一代安全数据架构来实现数据驱动，另一方面，要用基于安全编排的新一代安全运营流程架构来实现流程驱动。同时，AI（尤指GenAI和Agentic AI）也是数据与流程驱动的。要想真正实现AI赋能，就必须先建立好数据与流程驱动的安全运营平台技术底座。如果说AI是SOC的倍增器，相当于SOC的“0”（十倍）、“00”（百倍）、“000”（千倍），那么数据和流程驱动就是SOC的那个“1”。没有好的数据和流程驱动的SOC是无法被AI赋能的。

第三，自动化优先作为SOC4.0的关键特征和设计理念之一，体现了对安全运营过程中人与机器之间协作关系的重新适配。在SOC4.0时代，安全运营的组织、流程将进行全面改造，建立起以自动化为优先的组织结构和运营流程，依托自动化安全运营平台，重新调配人员配置、岗位职责、工作流程和规程，让人的价值在合适的地方得到真正发挥。

第四，实战化作为SOC4.0的另一个关键特征和设计理念，体现了以人为本、面向协作、价值交付的平台使用模式。在SOC4.0时代，要为安全运营组织的每个角色提供相适应的无摩擦用户体验，提升团队内部和跨团队之间的协作性，提升安全运营平台自身的数字化水平，并建立SOC有效性验证和价值评估体系。

5.1 AI赋能：以Agentic AI为基础，用复合式AI赋能SOC4.0

AI是SOC4.0的核心特征。尽管SOC早就应用了AI，但直到以LLM为代表的GenAI的出现，以及GenAI演进而来的Agentic AI在SOC领域的应用，才使得SOC真正进入了全面AI时代。如前所述，这是由GenAI和Agentic AI超越以往AI所具备的普适性、普惠性、自主性、协作性，以及知识快速激活等特性所决定的。

进一步地，Agentic AI是AI赋能SOC4.0的标志性特征，基于GenAI的Agentic AI技术特别适用于安全运营的工作过程。Agentic AI将LLM的思考力和智能体（AI Agent）的行动力结合起来，借助知识检索和工具调用，一方面可以主动获取安全分析所需的情境（上下文）数据，基于更多的相关性数据进行思考、理解和内容生成，做出更全面的研判和调查；另一方面可以编排各种安全控制指令，调整安全防御体系的工作姿态，做出更恰当的响应。而借助多智能体（也叫集群智能体）技术，能够将整个思考和行动的过程分解到不同的智能体上，让每个细化的目标执行过程更加专业精准，最终更好的实现整体目标。Gartner预测，到2028年，用于威胁检测和事件响应的多智能体占AI部署的⽐例将从5%升⾄70%。

同时，GenAI和Agentic AI不是对传统AI的替代，在针对很多专门的运营问题时，传统AI依然有效，而且表现得更加高效。SOC4.0从实战出发，使用更广泛意义的复合式AI技术去赋能SOC，根据不同的应用场景，采用最合适的AI去解决问题。

在SOC4.0时代，AI将渗透到安全运营的方方面面和运营过程的各个环节，包括让数据驱动和流程驱动更加高效，让自动化更加智能，让平台更加实战化，全方位提升运营效能。

必须谨记，GenAI自身还有很多问题亟待解决，譬如安全性、准确性、可解释性、可信度、数据安全与隐私问题，等等。在利用AI赋能SOC的时候，必须通过多种手段对AI加以约束，尽可能降低风险。必要的时候，应采购额外的专业AI安全防护系统。

最后，AI赋能不等于AI万能。正如Gartner所言，AI取代SOC中的人类职责是虚幻的。

5.2数据驱动：用基于安全数据编织的数据架构驱动SOC4.0

数据驱动是SOC的技术本质之一，体现了“数据驱动安全”的思想。从技术层面看，安全运营的本质就是将海量的、分散的多元异构安全数据变成安全洞察、形成决策，并付诸行动的过程。

从SOC3.0开始，安全运营平台的数据技术架构已经完全基于大数据技术，但随着安全建设的不断深入，尤其是数据驱动的GenAI的引入，现有的安全数据技术架构再次遇到瓶颈，数据驱动正在变成垃圾驱动。典型的问题譬如：（1）大数据越来越分散，数据集中的代价越来越高，这不仅体现在边缘检测的兴起导致的数据引力问题，也体现在安全运营所需的大数据集合日益分散（譬如很多企业的日志数据中心、资产数据中心、暴露面数据中心、情报数据中心都是分散建设的），还有的单位存在多套不同的安全管理平台、安全运营平台、态势感知平台的问题。传统的大数据技术，以及所谓的“安全数据中台”设计思路遭遇挑战。（2）新的数据不断涌现，不同数据间的关系日趋复杂，现有数据架构存在缺陷，导致情境数据难以有效利用，阻碍了安全数据的价值释放。（3）日益复杂的安全数据自身安全与隐私问题对现有数据架构提出了各种挑战。（4）更重要的在于，AI赋能是建立在数据基础之上的，如果没有标准化、逻辑统一和高质量的安全数据，AI应用的结果也只能还是“垃圾进，垃圾出”，而现有的数据架构已经很难再有所作为。因此，必须用新的数据架构去驱动SOC4.0！

幸运的是，在数据管理与分析领域，已经提出了新的可以应对上述挑战的新型数据架构设计理念和框架，即数据编织（Data Fabric）。

数据编织作为新型跨不同来源和位置的数据集成与管理的设计范式，旨在建立一套按需编排的数据管道和可扩展的自动化数据服务框架，连接各种数据管理技术和流程，简化数据集成过程，实现无缝的数据治理、访问与分发。

对于SOC4.0而言，安全数据编织就是对安全运营中的所有安全要素信息采用数据编织的思想，以元数据为基础，统一数据模型和数据治理，编排数据管道，构建逻辑上统一的数据层，并持续监控数据质量。如果传统的安全运营平台数据架构是构建一个传统重量级数据中台的话，那么基于安全数据编织的安全运营平台数据架构则旨在建立一个轻量级的数据中台。

与此同时，在数据管理与分析领域，数据架构的工程化实践越来越成熟，现代数据栈（MDS）的兴起，为安全运营平台的数据架构设计提供了一套可供参考的最佳实践。

SOC4.0必须基于安全数据编织的思想，采用现代数据栈的最佳实践，摒弃旧的大数据架构，构建新一代安全数据架构。新一代安全数据架构应包括数据治理、数据编排、数据集成、数据存算、数据分析、数据呈现、数据分发7个构件。基于新一代安全数据架构，实现按需集成数据，简化数据管理，释放数据价值，为安全运营平台的AI化和自动化提供坚实的数据底座，以实现高效的数据驱动的安全运营。

5.3流程驱动：用基于安全编排的流程架构驱动SOC4.0

流程驱动是SOC的技术本质之一，真正闭环的安全运营过程是数据驱动和流程驱动叠加的结果。譬如，通过数据驱动的分析识别的安全事件需要触发响应流程，进而通过响应流程实现事件的处置闭环。又譬如，数据驱动的资产和漏洞分析必定要触发资产和漏洞处置流程。还有时候，也存在流程驱动触发数据驱动的过程，譬如通过预警通报接收流程接收到来自外部的预警通报信息后，导入平台进行数据驱动的分析的过程。

长期以来，人们都忽略了流程驱动的重要性，将流程独立于平台之外，仅存在于安全运营人员的心中，或者仅仅进行简单的设计，导致大部分安全运营平台更倾向于一个分析平台，而不是响应处置平台，安全运营的大量流程没有着落。

一个完整的安全运营平台必须是数据与流程双轮驱动的。数据是安全运营的源泉和动力，在数据的驱动下，源源不断地发现问题、分析问题、解决问题、总结问题。流程是安全运营的依据和手段，是安全运营持续运转的纽带，通过平台连接人、运营工具、网络安全防御设施，实现协同防御、联防联控。数据和流程分别驱着动安全运营的两种状态：数据驱动的分析态和流程驱动的运行态。只有数据驱动没有流程驱动的安全运营平台只能叫做安全分析平台，而只有流程驱动没有数据驱动的安全运营平台只能叫做安全运营工作办理平台（安全OA）。

SOC4.0强调要将数据驱动和流程驱动放到同等的地位，统一进行设计。从流程驱动的角度而言，SOC4.0必须以工作流引擎为底座，构建基于安全编排的新一代运营流程架构。

安全编排（Security Orchestration）概念并不新鲜，SOC3.0中就存在，它是安全编排响应与自动化（SOAR）系统的一项关键技术。安全编排是将企业和组织在安全运营过程中涉及的不同系统或者一个系统内部不同组件的安全功能封装后形成的安全能力和人工检查点按照一定的逻辑关系组合到一起，以完成某个特定的安全运营过程和规程。安全编排是将安全运营相关的工具/技术、流程和人员等各种能力整合到一起的一种协同工作方式。

在实现安全编排方面，传统的SOAR存在明显的缺陷。一方面，SOAR对于机器到机器的协作流程编排有效，但对人到人的协作流程编排却难以支撑。另一方面，SOAR的安全编排都是静态的、固定式编排，一旦流程发生变化，就必须由安全运营人员手工更新，维护成本很高。

因此，SOC4.0的新一代流程架构必须采用Agentic AI赋能的智能化双流程编排引擎架构模式。其中一个引擎面向机器到机器的协作流程编排，表现形式为剧本。该引擎以剧本高速运行为设计目标，满足需要机器速度进行响应处置的应用场景需求。另一个引擎面向人到人的协作流程编排，表现形式为服务流程。该引擎支持复杂的流程流转，满足各类安全运营类办公场景的需求。同时，剧本和服务流程可以互相引用，实现跨人机处理的复杂应用场景。进一步地，在双引擎基础之上，引入Agentic AI技术，用基于GenAI的智能体进一步提升流程运行的智能化水平，将静态、固定式的流程变成动态、自适应的流程，将与机器（各种设备和系统）的API接口MCP化，实现智能自适应协作。

必须谨记的是，机械式安全编排和智能化安全编排各有优劣势，不应片面追求智能化流程，应该分场合使用，发挥出各自的优势。譬如，剧本具有很强的一致性，且执行速度快，可用于确定的流程场景。而智能体适合没有流程或者现有流程有缺陷的场景，可以智能地进行规划，耗费相对较长的反复思考时间，自适应地完成预定任务。当某个智能体顺利完成任务后，经用户确认，应将工作流程进行恰当的固化，变成某种“剧本”，以便后续可以更加一致高速地运行。此外，当前的工程实践中，Agentic AI也不是纯靠GenAI思考的，也需要某种“静态工作流”的辅助。

5.4自动化优先的SOC4.0

自动化优先是SOC4.0的关键特征之一。Gartner预测，到2027年，由于自动化程度的提高和超大规模扩展策略，25%的常见SOC任务的成本效率将提高50%。

如果把自动化看作一项技术，那么自动化优先就代表一种SOC的设计理念。

从技术角度看，自动化必须深度嵌入安全运营平台的数据架构和流程架构之中。数据编织架构是原生自动化的，从数据自动化采集，到基于规则或者基于模型的自动化数据分析，再到各类安全报表报告的自动定期生成和分发。面向流程的编排引擎也是原生自动化的，不论是剧本编排还是服务流程的编排，流程节点都是基于规则自动跳转。

从设计理念角度看，自动化优先体现了对安全运营过程中人与机器之间协作关系的重新适配，从而使得SOC4.0与其它SOC显著不同。

在SOC4.0之前，安全运营组织和流程基本都是建立人工处理的基础之上的。譬如很多企业和组织建立了监测、研判、处置团队，或者L1、L2、L3三线团队，通过有组织的分工协作，实现对安全告警和事件的闭环响应。这些组织基本上采用金字塔机构，负责监测或者L1团队人员最多，往上逐渐减少，表明监测告警的工作量最大。随着安全运营平台的不断升级迭代，自动化水平不断提升，各级团队越来越多依赖自动化来提升自身的工作效率，但整个团队设置和流程设计基本上没有变化。随着自动化运营的成熟和智能化运营的引入，现有的组织和流程阻碍了运营效能的提升。

在SOC4.0时代，安全运营的组织、流程将进行全面改造，建立起以自动化为优先的组织结构和运营流程，依托自动化安全运营平台，重新调配人员配置、岗位职责、工作流程和规程，让人的价值在合适的地方得到真正发挥。譬如，L1团队人员将大幅减少甚至取消，分流到其它团队，告警的分类分级和安全事件的生成工作已经尽可能地交给安全运营平台智能自动的执行。L2团队的工作起点不是对事件进行规程化的调查，而是基于安全运营平台自动化事件调查的结果进行研判。处置团队则更多的是与相关安全事件的责任部门、IT部门进行沟通协商，确定处置方案，真正的处置指令执行交由安全运营平台自动执行。然后，各个环节节约下来的编制投入到安全运营有效性验证、价值评估、常态化攻防对抗演练、渗透测试等其它更重要且缺乏人手的工作中去。

自动化优先的流程设计要求尽可能地将机器与机器之间多步交互变成完全自动化的，同时尽可能地减少人与机器、人与人之间的交互步骤，充分发挥自动化的能力，简化流程。

自动化优先的安全运营组织和流程设计的目标是完善组织结构、简化运营流程、提升运营效率，但并不意味着减少人员。SOC4.0体系之下，还有很多安全运营工作尚待开展，亟需大量人员投入，譬如安全内容开发运营、威胁猎捕、有效性验证、对抗演练，等等。

对于安全运营平台而言，自动化优先意味着需要平台提供有力的支撑，重点是要提供一个可灵活定制的、基于编排的流程架构驱动的安全协作中心。

最后，自动化优先不等于自动化一切，自动化只是手段不是目标，安全运营最终还是面向人的。正如Gartner所言，永远不会有完全自动化的SOC，与追求端到端自动化相比，聚焦于关键任务和工作流程的自动化更加有效。

5.5实战化的SOC4.0

实战化作为SOC4.0的另一个关键特征，体现了以人为本、面向协作、价值交付的平台使用模式，本质上就是要让安全运营平台简单、好用。SOC4.0要从多个方面入手，不断提升平台的实战化水平，增强安全运营人员和各级管理者的获得感。

SOC4.0要为安全运营组织的每个角色提供相适应的UI和简洁的用户体验，让他们无摩擦地使用平台。

SOC4.0要加强流程架构驱动的安全协作中心的功能设计，让安全运营流程能够真正落到平台上，同时要支持多样化的协同工作模式，便于运营人员之间、跨安全和业务团队之间交流分享，便于各类安全工具、设备和系统之间协同工作。

SOC4.0要加强平台自身数字化的功能设计，实现安全运营的数字化，对数据处理、流程运行和人员工作等过程进行全程记录，对安全运营平台中的数据、安全内容、流程进行有效性验证和价值评估，对安全运营人员实施绩效考核。

SOC4.0还需要考虑如何让平台的使用者便捷地、与时俱进地扩展SOC平台的业务能力。

回首过去，安全运营平台从面向资产的SOC1.0到面向业务的SOC2.0，再到数据驱动的SOC3.0的叠加演进过程，也是中国网络安全产业从合规导向回归到对抗本质的叠加演进过程。数据驱动SOC已经成为共识，安全运营平台在技术上实现了巨大进步。大数据技术、威胁情报、AI、SOAR等技术的应用，让安全运营平台处理和分析数据的规模越来越大，安全运营过程也越来越主动、智能和自动。

审视当下，安全运营平台依然面对诸多挑战，包括：实战化程度不够、大数据导致数据过载和工作疲劳、平台的智能化和自动化水平亟待提升、安全运营价值难以体现、定制扩展能力薄弱，等等。SOC3.0的数据架构、流程架构、智能化程度和自动化水平已经无法驱动安全运营进一步提升。

近两年，生成式AI为SOC的变革带来重大机遇。以LLM为核心的GenAI和Agentic AI在传统AI的基础之上，凭借普适化、普惠化、协作化、自主化和知识价值快速释放等特性，使安全运营效能获得了极大提升，AI赋能的SOC4.0应运而生。

SOC4.0是一个AI赋能的、数据与流程双轮驱动的、自动化优先的实战化安全运营平台。同时，无论如何演变，SOC始终遵循风险管理思想，以实现网络弹性、保障业务平稳运行为目标。

SOC4.0采用以Agentic AI为核心的复合式AI赋能安全运营，采用基于安全数据编织的新一代数据架构和基于安全编排的新一代流程架构的双轮模式驱动安全运营，采用自动化优先和面向实战的设计理念。

展望未来，随着AI的能力越来越强大，AI应用门槛将不断降低，AI应用方式将越来越便捷，SOC4.0的智能化水平将不断提升。安全运营将始终以人为本，以数据和流程为底座，AI永远不能取代人，而是增强人、赋能数据和流程。

未来已来！现在开始，迈入AI赋能的SOC4.0（Agentic SecOps Platform）时代！

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！