安全運營（SecOps）是一個很泛化的概念。在最廣泛意義上，可以把安全運營看作是持續(xù)不斷地保障目標(biāo)網(wǎng)絡(luò)安全平穩(wěn)運行，達(dá)成組織業(yè)務(wù)戰(zhàn)略目標(biāo)的永續(xù)過程，以及在這個過程中開展的各項運營工作。

從狹義上來看，安全運營的主要工作是威脅事件的運營以及圍繞這個威脅事件運營延伸出來的資產(chǎn)、漏洞、情報等等一系列配套運營工作。Gartner將安全運營定義為一個“通過一套人、流程和技術(shù)來識別和管理暴露、監(jiān)測、檢測和響應(yīng)網(wǎng)絡(luò)安全威脅與事件，以增加網(wǎng)絡(luò)彈性”的過程。

安全運營中心（SOC）作為一個組織單元，工作內(nèi)容更加聚焦，基本圍繞狹義的安全運營展開。安全運營中心通常是指一個包含一系列流程、人員、技術(shù)等的組織單元，核心目標(biāo)就是抵御網(wǎng)絡(luò)安全威脅、保障目標(biāo)網(wǎng)絡(luò)安全平穩(wěn)運行，通常包括威脅事件運營、資產(chǎn)暴露運營、安全漏洞運營、安全情報運營、防御策略運營、態(tài)勢決策運營6個方面的運營工作。圍繞這個目標(biāo)，通常會對目標(biāo)網(wǎng)絡(luò)實施持續(xù)的檢測、監(jiān)測、分析、調(diào)查、響應(yīng)、報告、修復(fù)。

安全運營平臺（SOP），或者稱作SOC平臺，早期也叫安全管理平臺（簡稱安管平臺），是指安全運營中心的核心技術(shù)支撐平臺，集成安全運營中心所需的各種數(shù)據(jù)、技術(shù)、工具和流程，為各級安全運營人員提供一個便捷易用的工作臺，以便開展安全運營工作。

SOC的演進(jìn)過程存在多條平行的時間線?？梢詮?/span>SOC平臺的技術(shù)演進(jìn)角度去梳理時間線，譬如本文；可以從SOC應(yīng)用領(lǐng)域的擴張角度去梳理時間線，研究SOC從最初應(yīng)用于傳統(tǒng)IT基礎(chǔ)設(shè)施，逐步延伸到云、OT、物聯(lián)網(wǎng)，車聯(lián)網(wǎng)等新領(lǐng)域的過程；可以從SOC部署模式的角度去梳理時間線，研究SOC如何從云下部署發(fā)展到后來的云寄生部署、云原生部署，以及由此帶來的SOC業(yè)務(wù)模式從產(chǎn)品交付到SaaS服務(wù)交付的轉(zhuǎn)變過程；還可以從SOC服務(wù)的角度去梳理時間線，研究托管安全服務(wù)（MSS）的歷史，看其如何衍生出托管檢測與響應(yīng)（MDR）、協(xié)管安全監(jiān)測服務(wù)（CMSMS）。毫無疑問，SOC平臺視角是SOC演進(jìn)過程的最重要時間線，無論SOC應(yīng)用領(lǐng)域如何擴展，無論SOC是在云下還是云上，也無論MSS提供商的服務(wù)模式如何變化，它們所依托的SOC平臺發(fā)展進(jìn)程都是一樣的。

本文所指的SOC1.0、SOC2.0、SOC3.0和SOC4.0都是針對SOP、SOC平臺、安全管理平臺而言的。

2.1  概述

從2000年SOC進(jìn)入中國到2025年的25年間，SOC平臺經(jīng)歷了3個明顯的代際疊加演進(jìn)過程。從最初面向資產(chǎn)的SOC1.0到面向業(yè)務(wù)的SOC2.0，再到數(shù)據(jù)驅(qū)動的SOC3.0，每個時代的SOC平臺都具有鮮明的時代烙印，體現(xiàn)了SOC建設(shè)需求、目標(biāo)和技術(shù)要求的不斷演變。

• SOC1.0身處中國網(wǎng)絡(luò)安全的萌芽期。這時期的SOC1.0主要對標(biāo)ISO17799以及后來的ISO27000系列標(biāo)準(zhǔn)，以期落實信息安全管理體系（ISMS）的核心要求和使用規(guī)則。SOC1.0側(cè)重于構(gòu)建以資產(chǎn)為中心的ISMS技術(shù)支撐平臺。

• SOC2.0時代是中國網(wǎng)絡(luò)安全的合規(guī)時代，等級保護(hù)成為當(dāng)時中國網(wǎng)絡(luò)安全市場的首要推動力。這時期的SOC2.0形成了以合規(guī)為導(dǎo)向、以業(yè)務(wù)信息系統(tǒng)保障為核心的設(shè)計思路。SOC2.0成為了一個面向等保合規(guī)的、功能較為完備的集中化安全管理平臺。

• SOC3.0時代是中國網(wǎng)絡(luò)安全回歸對抗本質(zhì)的時代，這時期的SOC3.0經(jīng)歷了從合規(guī)到對抗、從管理到運營的疊加演進(jìn)，確立了數(shù)據(jù)驅(qū)動SOC的技術(shù)路線。SOC3.0成為了一個基于大數(shù)據(jù)分析架構(gòu)的，具備一定智能和主動能力的安全運營平臺。

2.2  SOC1.0

2000年前后，SOC概念開始進(jìn)入中國。經(jīng)過約4年左右的摸索，第一代SOC平臺（SOC1.0）的定義在2004年基本成形，并迎來了一波建設(shè)的熱潮。

SOC1.0定義：以資產(chǎn)為核心，以安全事態(tài)（Event）管理為關(guān)鍵流程，采用安全域劃分的思想，建立一套實時的資產(chǎn)風(fēng)險模型，協(xié)助管理員進(jìn)行事態(tài)分析、風(fēng)險分析、預(yù)警管理和應(yīng)急響應(yīng)處理的集中安全管理系統(tǒng)。

SOC1.0在系統(tǒng)設(shè)計上向ISO17799以及后來的ISO27000系列標(biāo)準(zhǔn)靠攏，參照信息安全管理體系（ISMS）的要求和實用規(guī)則，以實現(xiàn)集中化的安全管理為目標(biāo)，設(shè)計出了第一代SOC平臺，當(dāng)時也叫安全管理平臺。

由于當(dāng)時國內(nèi)安全建設(shè)尚處于早期，需求不夠清晰，加之受限于國內(nèi)技術(shù)水平，多源數(shù)據(jù)采集和安全分析能力十分薄弱，缺少核心技術(shù)，很多SOC的理念未能很好落地。這時候，很多國內(nèi)SOC平臺都集成了國外的SIEM產(chǎn)品作為內(nèi)核。SOC1.0漸漸遭遇發(fā)展瓶頸。

2.3 SOC2.0

又經(jīng)過5年的發(fā)展，在2009年，第二代SOC平臺（SOC2.0）出現(xiàn)。

SOC2.0定義：以業(yè)務(wù)信息系統(tǒng)為核心，通過面向業(yè)務(wù)的安全建模與業(yè)務(wù)風(fēng)險管理流程，采用主動被動相結(jié)合的方法采集業(yè)務(wù)系統(tǒng)的各種安全信息，從業(yè)務(wù)視角進(jìn)行數(shù)據(jù)的標(biāo)準(zhǔn)化、監(jiān)測、分析、審計、報警、響應(yīng)、存儲和報告的一體化安全管理系統(tǒng)，力求安全與業(yè)務(wù)戰(zhàn)略對齊。

SOC2.0迅速在國內(nèi)得到廣泛認(rèn)同，獲得了巨大成功，確立了安全管理平臺這個細(xì)分市場的定位和價值。

首先，SOC2.0在理念上進(jìn)行了拔高，實現(xiàn)了安全運營從資產(chǎn)視角到業(yè)務(wù)視角的提升，指出安全運營的目標(biāo)就是保障業(yè)務(wù)信息系統(tǒng)的持續(xù)運行，而安全運營的過程就是業(yè)務(wù)安全風(fēng)險管理的過程。

其次，SOC2.0在概念上將SOC和安全管理平臺的關(guān)系、SOC和NOC的關(guān)系、安全運營與安全合規(guī)的關(guān)系進(jìn)行了厘清。

第三，SOC2.0在平臺功能設(shè)計上，緊扣《等級保護(hù)基本要求》中三級及以上信息系統(tǒng)要求建立安全管理中心的合規(guī)要求，建立起了一個面向等保合規(guī)（也包含ISMS等其它合規(guī)）的、功能較為完備的集中化安全管理平臺。

最后，在技術(shù)上，SOC2.0推動作為SOC核心的多源數(shù)據(jù)融合與關(guān)聯(lián)分析引擎技術(shù)走向成熟，大幅提升了安全數(shù)據(jù)的采集能力和威脅事件的分析能力，并開啟了態(tài)勢感知技術(shù)的工程化實踐之路。技術(shù)的成熟，推動國產(chǎn)化SOC平臺逐步成為主流。

以等保合規(guī)為重要契機，SOC2.0憑借理念的提升、概念的厘清、功能的匹配、技術(shù)的成熟，推動SOC經(jīng)歷了一波發(fā)展高潮。

也是在這個時期，國內(nèi)的賽迪顧問（CCID）開始將支撐SOC的安全管理平臺作為一個重要安全細(xì)分市場納入《中國信息安全產(chǎn)品市場分析年度報告》的分析之中。

2012年，Gartner發(fā)布了一份名為《信息安全正在成為大數(shù)據(jù)分析問題》的報告，揭開了數(shù)據(jù)驅(qū)動安全時代的序幕。同年，Splunk成為全球第一家大數(shù)據(jù)上市公司。

而伴隨著國內(nèi)網(wǎng)絡(luò)安全建設(shè)的鋪開，國內(nèi)的企業(yè)和組織也逐漸面臨大數(shù)據(jù)帶來的挑戰(zhàn)，一方面是每天產(chǎn)生的安全數(shù)據(jù)不斷擴張，另一方面則是以APT為代表的新型威脅的興起。SOC2.0的諸多技術(shù)局限性逐步凸顯：

• 數(shù)據(jù)處理能力有限，缺乏有效的架構(gòu)支撐：當(dāng)前分析工具在小數(shù)據(jù)量時有效，在大數(shù)據(jù)量時難以為繼，海量異構(gòu)高維數(shù)據(jù)的融合、存儲和管理遇到困難；

• 威脅識別能力有限，缺乏安全智能：安全分析以基于規(guī)則的關(guān)聯(lián)分析為主，只能識別已知并且已描述的攻擊，難以識別復(fù)雜的攻擊，無法識別未知的攻擊；

• 安全預(yù)判能力有限，缺乏對抗能力：安全運營以被動應(yīng)急響應(yīng)為主，難以對風(fēng)險進(jìn)行提前的評估與研判，總是疲于救火。

在這種情況下，SOC2.0必須順勢而變。

2.4  SOC3.0

2015年，基于大數(shù)據(jù)技術(shù)的SOC3.0（有的也叫NGSOC）【注：這里的NGSOC是指代一類SOC平臺，而非具體品牌型號，后同】出現(xiàn)，SOC平臺進(jìn)入第三代。

SOC3.0定義：以大數(shù)據(jù)分析架構(gòu)為支撐，以保障業(yè)務(wù)系統(tǒng)安全為導(dǎo)向，構(gòu)建起以數(shù)據(jù)為核心的安全運營平臺，強調(diào)更加主動、智能地對企業(yè)和組織的網(wǎng)絡(luò)安全進(jìn)行管理和運營。

SOC3.0標(biāo)志著安全運營進(jìn)入了數(shù)據(jù)驅(qū)動的時代。

首先，SOC3.0全面采用大數(shù)據(jù)分析技術(shù)架構(gòu)，海量、高速、多樣的數(shù)據(jù)采集、存儲、分析與展現(xiàn)成為了現(xiàn)實，極大拓展了SOC的數(shù)據(jù)規(guī)模和處理性能。

其次，SOC3.0引入了威脅情報數(shù)據(jù)，通過將網(wǎng)絡(luò)中遭受的攻擊告警和資產(chǎn)信息與威脅情報的比對，實現(xiàn)了更加主動、更加精準(zhǔn)的威脅檢測與預(yù)警。

第三，SOC3.0推動了以UEBA（用戶與實體行為分析）和NBA（網(wǎng)絡(luò)行為分析）為代表的基于人工智能（AI）和機器學(xué)習(xí)（ML）的異常檢測技術(shù)的落地，與關(guān)聯(lián)分析技術(shù)形成SOC的雙核動力，大幅提升了SOC的智能化水平。

隨著2014年網(wǎng)絡(luò)安全上升為國家戰(zhàn)略，以及2016年的419講話，中國網(wǎng)絡(luò)安全事業(yè)進(jìn)入一個新的歷史階段。面對這個歷史機遇，以大數(shù)據(jù)分析技術(shù)為契機，中國市場開啟了SOC升級換代和大規(guī)模部署的進(jìn)程，數(shù)據(jù)驅(qū)動的SOC3.0取得了巨大成就。而2016年的419講話更是給作為網(wǎng)絡(luò)安全態(tài)勢感知基石的SOC3.0帶來了新的巨大市場增量。

在SOC3.0時代，SOC的使用場景和設(shè)計理念也開啟了從合規(guī)優(yōu)先到對抗優(yōu)先、以管理為主到以運營為主的轉(zhuǎn)變過程，并推動SOC3.0的持續(xù)升級。

近些年來，以大數(shù)據(jù)技術(shù)架構(gòu)為基礎(chǔ)，SOC3.0引入了更多AI和ML算法，以期提升暴露評估、威脅檢測、態(tài)勢評估與預(yù)測等關(guān)鍵能力。到2019年，國內(nèi)又進(jìn)一步將安全編排自動化與響應(yīng)（SOAR）技術(shù)落地，將編排自動化技術(shù)帶入了SOC3.0，以期提升安全響應(yīng)的自動化水平和響應(yīng)速度。

與大數(shù)據(jù)同時發(fā)展起來的云計算也被引入到了SOC3.0。一方面是用SOC3.0保障云計算的安全，另一方面則是SOC3.0自身的云化。

在這個時期，以端點檢測與響應(yīng)（EDR）、網(wǎng)絡(luò)檢測與響應(yīng)（NDR）、可擴展檢測與響應(yīng)（XDR）為代表的邊緣檢測與響應(yīng)技術(shù)的興起，以及以攻擊面管理（ASM）、暴露評估平臺（EAP）、對抗暴露驗證（AEV）為代表的暴露管理技術(shù)的重裝上陣，改變了SOC的部署架構(gòu)，促使SOC3.0的技術(shù)架構(gòu)逐步開始向分布式和多體模式轉(zhuǎn)變。

與此同時，SOC的運營者越來越重視SOC的組織和流程建設(shè)。從SOC3.0時代開始，越來越多使用SOC的單位都建立起了專門的SOC部門、組織、崗位職責(zé)、運營流程、工作場所和運營隊伍。而SOC平臺也開始提供面向運營的功能。尤其是SOAR的引入，讓安全事件響應(yīng)平臺（SIRP）成為SOC3.0中重要的運營工具。

但這些改進(jìn)，依然將SOC定格在了SOC3.0時代，因為這并未給SOC帶來根本的革新，而用戶在SOC3.0時代所遇到的困境沒有得到根本性的解決。

盡管SOC3.0取得了很大的成功，但此時的安全運營平臺也逐漸變得不堪重負(fù)，用戶的不滿日益突出。

• 缺乏實戰(zhàn)：名為安全運營，實際上更多是在做安全分析，偏重面向?qū)＜矣脩舻墓δ茉O(shè)計，缺乏面向真正運營人員的分角色運營流程梳理和運營功能設(shè)計，導(dǎo)致安全運營平臺的用戶體驗差、易用性差。有的平臺雖然進(jìn)行了這方面的設(shè)計，但卻沒有跟實際負(fù)責(zé)運營的團(tuán)隊拉通，在理念和工作方式上嚴(yán)重脫節(jié)，設(shè)計和使用兩張皮，同樣導(dǎo)致運營效果不佳。

• 數(shù)據(jù)過載：大數(shù)據(jù)技術(shù)的加持，提升數(shù)據(jù)處理量，但也帶來了數(shù)據(jù)沼澤，大量的告警和事件積壓，真假難辨、誤報頻頻，負(fù)責(zé)研判和響應(yīng)處置的運營人員不堪重負(fù)，極易產(chǎn)生工作疲勞，運營效果大打折扣。長此以往，導(dǎo)致工作倦怠、人才流失。

• 自動化水平偏低：當(dāng)前以SOAR為基礎(chǔ)的響應(yīng)自動化對于緩解運營疲勞作用有限，囿于用戶運營流程和規(guī)程不健全，劇本開發(fā)成本高、劇本適應(yīng)性低，運營自動化難以普及。

•  智能化程度有限：現(xiàn)有的智能化更多應(yīng)用于分散的安全運營功能點，對于整體的安全運營過程還是以人的智力為主，對人的要求依然很高，距離安全運營者的期望還有較大差距。

• 定制化能力非常薄弱：安全運營平臺的可定制性和可擴展性不夠，要么無法定制，要么定制周期過長、成本過高，導(dǎo)致安全運營的實際使用落后于不斷增長的安全需求和持續(xù)變化的對抗形勢。

• 運營價值難以體現(xiàn)：SOC建設(shè)的價值如何？平臺雖有大量數(shù)據(jù)，但都是安全數(shù)據(jù)，缺少運營過程數(shù)據(jù)和驗證數(shù)據(jù)，缺乏對運營價值的度量，安全運營自身的數(shù)字化水平不足。

4.1生成式AI為SOC的變革帶來重大機遇

AI從一開始就應(yīng)用于SOC平臺，基于規(guī)則推理的關(guān)聯(lián)分析就是符號主義AI在SOC中的典型應(yīng)用。2015年，Gartner發(fā)表了一份智能SOC的報告，指出要利用高級安全分析來落地智能化SOC，采用機器學(xué)習(xí)（ML）算法識別未知威脅的異常檢測技術(shù)開始盛行。此后，還出現(xiàn)了其它用于提升暴露評估、告警研判、態(tài)勢評估與預(yù)測等關(guān)鍵能力的AI和ML算法。

但是，上述傳統(tǒng)AI通常聚焦SOC中某些專門的問題，采用專門的算法進(jìn)行復(fù)雜的設(shè)計與開發(fā)，并且不同的問題往往需要使用不同的算法和模型，具有很強的專業(yè)性，對開發(fā)人員的技術(shù)要求很高。安全運營是一個過程，是一系列流程、規(guī)程和操作的集合。傳統(tǒng)AI雖然解決了安全運營過程中的一些關(guān)鍵難題，但卻不能將整個運營過程串起來，對整體運營幫助有限，還需要安全運營人員的大量工作。

2022年底以大語言模型（LLM）為代表的生成式AI（GenAI）技術(shù)的爆火讓一切開始變得不同。

作為一種公認(rèn)的顛覆性技術(shù)，GenAI近兩年迅速席卷各行各業(yè)，并在安全運營領(lǐng)域取得了令人驚嘆的效果，因為它恰好完美地?fù)糁辛水?dāng)下安全運營的三大痛點：人才短缺、工作倦怠、技能不足。

Gartner分析指出，如果說2023年是GenAI開局之年，2024年則應(yīng)是最小可?產(chǎn)品（MVP）??其道之年，?2025年可能會是GenAI集成到安全?作流程中并提供真正價值的元年。

不到兩年，GenAI在安全運營中的應(yīng)用模式迅速從早期的智能聊天，發(fā)展到后來的AI助理/副駕，再到現(xiàn)在基于GenAI的智能體，將安全運營帶入了自主式AI（Agentic AI）時代。

Agentic AI是一個以GenAI（如LLM）為思考中樞的，能夠自主或部分自主的進(jìn)行決策并采取行動，以完成既定目標(biāo)的系統(tǒng)，具有自主性、適應(yīng)性和持續(xù)學(xué)習(xí)的特點。

GenAI以及由此衍生出來的Agentic AI相較于傳統(tǒng)AI，使SOC的效能獲得了極大的提升。

GenAI具有較高的普適應(yīng)。不同于傳統(tǒng)AI的專用性，GenAI向通用AI（AGI）邁出了一步，一個模型能夠解決多個問題。安全運營的每個領(lǐng)域、運營過程的每個環(huán)節(jié)都可以利用GenAI，簡化工作過程、提升工作效率。在GenAI的賦能下，SOC的整體運營效率可以獲得巨大提升。

GenAI具有較強的普惠性。GenAI通過自然語言交互的體驗方式，降低了對應(yīng)用型技能（如編碼、特定規(guī)則的語法、工具調(diào)用等）的要求，讓廣大運營人員可以更快上手，更便捷的進(jìn)行操作，更聚焦安全運營領(lǐng)域的業(yè)務(wù)型技能（如特定威脅響應(yīng)的戰(zhàn)法、獨特的安全知識等）。此外，隨著Agentic AI技術(shù)的快速發(fā)展，開發(fā)各種安全運營智能體所需的應(yīng)用型技能要求正在變得越來越低。

基于GenAI的Agentic AI具有很強的自主性。Agentic AI特別適合用于安全運營領(lǐng)域，很多流程性的安全運營任務(wù)都可以借助基于Agentic AI的智能體實現(xiàn)，提升安全運營的自主性和智能自動化水平，減輕工作壓力。

基于GenAI的Agentic AI具有很強的協(xié)作性，將AI從工具變成了“伙伴”。傳統(tǒng)AI更多像是一個個工具，由人來調(diào)用。而Agentic AI則讓AI成為了工具的使用者，能夠主動地使用各種工具，包括傳統(tǒng)AI。Agentic AI的這個特性特別契合安全運營，因為安全運營的過程主要就是調(diào)用各種工具進(jìn)行協(xié)作的過程。

GenAI讓知識價值快速釋放。以往安全運營專家的各種知識（譬如各種安全通用知識和安全報告，各類安全情報，基于資產(chǎn)和漏洞的安全姿態(tài)，告警研判、事件調(diào)查與響應(yīng)的技戰(zhàn)術(shù)方法，包括日志解析規(guī)則、關(guān)聯(lián)分析規(guī)則、劇本在內(nèi)的各種安全內(nèi)容，以往的事件響應(yīng)報告，甚至用戶操作手冊）需要事先經(jīng)過特定的轉(zhuǎn)換（甚至代碼開發(fā)）才能加載到安全運營平臺中，進(jìn)而發(fā)揮作用。同時，這些知識的驗證、更新過程也同樣繁瑣，甚至無法閉環(huán)。GenAI和智能體則能夠以近乎自然語言的形式接收、驗證和更新這些知識，并將它們充分的連接起來，催動安全運營平臺的運轉(zhuǎn)，讓知識價值快速釋放。而隨著GenAI和智能體在安全運營中的應(yīng)用門檻不斷降低，安全運營領(lǐng)域的專業(yè)知識將顯得尤為重要。

基于上述特征，以LLM為核心的GenAI和Agentic AI的興起為SOC的變革帶來重大機遇，新一代SOC平臺呼之欲出。

必須指出，GenAI不是對傳統(tǒng)AI的替代，盡管GenAI具有很多優(yōu)秀特性，但在針對很多專門的運營問題時，傳統(tǒng)AI依然有效，而且表現(xiàn)得更加高效。當(dāng)前GenAI自身存在的諸多不確定也限制了其發(fā)揮，需要利用傳統(tǒng)AI予以約束。在工程實踐中，不應(yīng)追求單一類型的AI包打天下，而是要從從性價比的角度，按需使用最合適的AI。這種將多種不同AI技術(shù)整合到一起的AI技術(shù)稱作復(fù)合式AI（Composite AI）。根據(jù)Gartner的定義，復(fù)合式AI是指組合利用不同AI技術(shù)（包括GenAI、數(shù)據(jù)科學(xué)、機器學(xué)習(xí)、知識圖譜等技術(shù)）來提高學(xué)習(xí)效率，以生成層次更豐富的知識表示的AI。

此外，DeepSeek橫空出世，使得本地化部署LLM的性價比大幅提升，進(jìn)一步加速了LLM在企業(yè)側(cè)的落地過程，進(jìn)而帶動了AI賦能的新一代SOC平臺的落地進(jìn)程。

4.2  AI賦能的SOC4.0

在以LLM為核心的GenAI和Agentic AI的加持下，AI賦能的SOC4.0誕生，SOC平臺進(jìn)入第四代。SOC4.0也可以稱作Agentic SecOps Platform。

SOC4.0定義：SOC4.0是一個AI賦能的、數(shù)據(jù)與流程雙輪驅(qū)動的、自動化優(yōu)先的實戰(zhàn)化安全運營平臺。這里，AI是安全運營能效的加速器，數(shù)據(jù)與流程是驅(qū)動安全運營平臺的原動力，自動化和實戰(zhàn)化是安全運營平臺的核心設(shè)計理念。同時，無論如何演變，SOC始終遵循風(fēng)險管理思想，以實現(xiàn)網(wǎng)絡(luò)彈性、保障業(yè)務(wù)平穩(wěn)運行為目標(biāo)。

SOC4.0是AI賦能的，但又不僅僅是AI賦能的。

首先，AI賦能是SOC4.0的核心特征，Agentic AI則是SOC4.0的標(biāo)志。AI將滲透到SOC4.0的方方面面和運營過程的各個環(huán)節(jié)，包括讓數(shù)據(jù)驅(qū)動和流程驅(qū)動更加高效，讓自動化更加智能，讓平臺更加實戰(zhàn)化，全方位提升運營效能。

其次，數(shù)據(jù)與流程雙輪驅(qū)動不僅是SOC4.0的基本特征，更是所有SOC的基本特征，刻畫了安全運營的技術(shù)本質(zhì)。數(shù)據(jù)是安全運營的源泉和動力，在數(shù)據(jù)的驅(qū)動下，源源不斷地發(fā)現(xiàn)問題、分析問題、解決問題、總結(jié)問題。流程是安全運營的依據(jù)和手段，是安全運營持續(xù)運轉(zhuǎn)的紐帶，通過平臺連接人、運營工具、網(wǎng)絡(luò)安全防御設(shè)施，實現(xiàn)協(xié)同防御、聯(lián)防聯(lián)控。同時，數(shù)據(jù)驅(qū)動與流程驅(qū)動二者在安全運營中各有側(cè)重，且緊密相連，相互轉(zhuǎn)化。以往，我們片面強調(diào)數(shù)據(jù)驅(qū)動安全運營，忽略了流程驅(qū)動運營的重要性，使得安全運營平臺更像一個安全分析平臺，而缺乏實戰(zhàn)化的日常安全運營支撐能力。因此，在SOC4.0時代，必須將數(shù)據(jù)驅(qū)動和流程驅(qū)動放到同等的地位，統(tǒng)一進(jìn)行設(shè)計。一方面，要用基于安全數(shù)據(jù)編織的新一代安全數(shù)據(jù)架構(gòu)來實現(xiàn)數(shù)據(jù)驅(qū)動，另一方面，要用基于安全編排的新一代安全運營流程架構(gòu)來實現(xiàn)流程驅(qū)動。同時，AI（尤指GenAI和Agentic AI）也是數(shù)據(jù)與流程驅(qū)動的。要想真正實現(xiàn)AI賦能，就必須先建立好數(shù)據(jù)與流程驅(qū)動的安全運營平臺技術(shù)底座。如果說AI是SOC的倍增器，相當(dāng)于SOC的“0”（十倍）、“00”（百倍）、“000”（千倍），那么數(shù)據(jù)和流程驅(qū)動就是SOC的那個“1”。沒有好的數(shù)據(jù)和流程驅(qū)動的SOC是無法被AI賦能的。

第三，自動化優(yōu)先作為SOC4.0的關(guān)鍵特征和設(shè)計理念之一，體現(xiàn)了對安全運營過程中人與機器之間協(xié)作關(guān)系的重新適配。在SOC4.0時代，安全運營的組織、流程將進(jìn)行全面改造，建立起以自動化為優(yōu)先的組織結(jié)構(gòu)和運營流程，依托自動化安全運營平臺，重新調(diào)配人員配置、崗位職責(zé)、工作流程和規(guī)程，讓人的價值在合適的地方得到真正發(fā)揮。

第四，實戰(zhàn)化作為SOC4.0的另一個關(guān)鍵特征和設(shè)計理念，體現(xiàn)了以人為本、面向協(xié)作、價值交付的平臺使用模式。在SOC4.0時代，要為安全運營組織的每個角色提供相適應(yīng)的無摩擦用戶體驗，提升團(tuán)隊內(nèi)部和跨團(tuán)隊之間的協(xié)作性，提升安全運營平臺自身的數(shù)字化水平，并建立SOC有效性驗證和價值評估體系。

5.1 AI賦能：以Agentic AI為基礎(chǔ)，用復(fù)合式AI賦能SOC4.0

AI是SOC4.0的核心特征。盡管SOC早就應(yīng)用了AI，但直到以LLM為代表的GenAI的出現(xiàn)，以及GenAI演進(jìn)而來的Agentic AI在SOC領(lǐng)域的應(yīng)用，才使得SOC真正進(jìn)入了全面AI時代。如前所述，這是由GenAI和Agentic AI超越以往AI所具備的普適性、普惠性、自主性、協(xié)作性，以及知識快速激活等特性所決定的。

進(jìn)一步地，Agentic AI是AI賦能SOC4.0的標(biāo)志性特征，基于GenAI的Agentic AI技術(shù)特別適用于安全運營的工作過程。Agentic AI將LLM的思考力和智能體（AI Agent）的行動力結(jié)合起來，借助知識檢索和工具調(diào)用，一方面可以主動獲取安全分析所需的情境（上下文）數(shù)據(jù)，基于更多的相關(guān)性數(shù)據(jù)進(jìn)行思考、理解和內(nèi)容生成，做出更全面的研判和調(diào)查；另一方面可以編排各種安全控制指令，調(diào)整安全防御體系的工作姿態(tài)，做出更恰當(dāng)?shù)捻憫?yīng)。而借助多智能體（也叫集群智能體）技術(shù)，能夠?qū)⒄麄€思考和行動的過程分解到不同的智能體上，讓每個細(xì)化的目標(biāo)執(zhí)行過程更加專業(yè)精準(zhǔn)，最終更好的實現(xiàn)整體目標(biāo)。Gartner預(yù)測，到2028年，用于威脅檢測和事件響應(yīng)的多智能體占AI部署的?例將從5%升?70%。

同時，GenAI和Agentic AI不是對傳統(tǒng)AI的替代，在針對很多專門的運營問題時，傳統(tǒng)AI依然有效，而且表現(xiàn)得更加高效。SOC4.0從實戰(zhàn)出發(fā)，使用更廣泛意義的復(fù)合式AI技術(shù)去賦能SOC，根據(jù)不同的應(yīng)用場景，采用最合適的AI去解決問題。

在SOC4.0時代，AI將滲透到安全運營的方方面面和運營過程的各個環(huán)節(jié)，包括讓數(shù)據(jù)驅(qū)動和流程驅(qū)動更加高效，讓自動化更加智能，讓平臺更加實戰(zhàn)化，全方位提升運營效能。

必須謹(jǐn)記，GenAI自身還有很多問題亟待解決，譬如安全性、準(zhǔn)確性、可解釋性、可信度、數(shù)據(jù)安全與隱私問題，等等。在利用AI賦能SOC的時候，必須通過多種手段對AI加以約束，盡可能降低風(fēng)險。必要的時候，應(yīng)采購額外的專業(yè)AI安全防護(hù)系統(tǒng)。

最后，AI賦能不等于AI萬能。正如Gartner所言，AI取代SOC中的人類職責(zé)是虛幻的。

5.2  數(shù)據(jù)驅(qū)動：用基于安全數(shù)據(jù)編織的數(shù)據(jù)架構(gòu)驅(qū)動SOC4.0

數(shù)據(jù)驅(qū)動是SOC的技術(shù)本質(zhì)之一，體現(xiàn)了“數(shù)據(jù)驅(qū)動安全”的思想。從技術(shù)層面看，安全運營的本質(zhì)就是將海量的、分散的多元異構(gòu)安全數(shù)據(jù)變成安全洞察、形成決策，并付諸行動的過程。

從SOC3.0開始，安全運營平臺的數(shù)據(jù)技術(shù)架構(gòu)已經(jīng)完全基于大數(shù)據(jù)技術(shù)，但隨著安全建設(shè)的不斷深入，尤其是數(shù)據(jù)驅(qū)動的GenAI的引入，現(xiàn)有的安全數(shù)據(jù)技術(shù)架構(gòu)再次遇到瓶頸，數(shù)據(jù)驅(qū)動正在變成垃圾驅(qū)動。典型的問題譬如：（1）大數(shù)據(jù)越來越分散，數(shù)據(jù)集中的代價越來越高，這不僅體現(xiàn)在邊緣檢測的興起導(dǎo)致的數(shù)據(jù)引力問題，也體現(xiàn)在安全運營所需的大數(shù)據(jù)集合日益分散（譬如很多企業(yè)的日志數(shù)據(jù)中心、資產(chǎn)數(shù)據(jù)中心、暴露面數(shù)據(jù)中心、情報數(shù)據(jù)中心都是分散建設(shè)的），還有的單位存在多套不同的安全管理平臺、安全運營平臺、態(tài)勢感知平臺的問題。傳統(tǒng)的大數(shù)據(jù)技術(shù)，以及所謂的“安全數(shù)據(jù)中臺”設(shè)計思路遭遇挑戰(zhàn)。（2）新的數(shù)據(jù)不斷涌現(xiàn)，不同數(shù)據(jù)間的關(guān)系日趨復(fù)雜，現(xiàn)有數(shù)據(jù)架構(gòu)存在缺陷，導(dǎo)致情境數(shù)據(jù)難以有效利用，阻礙了安全數(shù)據(jù)的價值釋放。（3）日益復(fù)雜的安全數(shù)據(jù)自身安全與隱私問題對現(xiàn)有數(shù)據(jù)架構(gòu)提出了各種挑戰(zhàn)。（4）更重要的在于，AI賦能是建立在數(shù)據(jù)基礎(chǔ)之上的，如果沒有標(biāo)準(zhǔn)化、邏輯統(tǒng)一和高質(zhì)量的安全數(shù)據(jù)，AI應(yīng)用的結(jié)果也只能還是“垃圾進(jìn)，垃圾出”，而現(xiàn)有的數(shù)據(jù)架構(gòu)已經(jīng)很難再有所作為。因此，必須用新的數(shù)據(jù)架構(gòu)去驅(qū)動SOC4.0！

幸運的是，在數(shù)據(jù)管理與分析領(lǐng)域，已經(jīng)提出了新的可以應(yīng)對上述挑戰(zhàn)的新型數(shù)據(jù)架構(gòu)設(shè)計理念和框架，即數(shù)據(jù)編織（Data Fabric）。

數(shù)據(jù)編織作為新型跨不同來源和位置的數(shù)據(jù)集成與管理的設(shè)計范式，旨在建立一套按需編排的數(shù)據(jù)管道和可擴展的自動化數(shù)據(jù)服務(wù)框架，連接各種數(shù)據(jù)管理技術(shù)和流程，簡化數(shù)據(jù)集成過程，實現(xiàn)無縫的數(shù)據(jù)治理、訪問與分發(fā)。

對于SOC4.0而言，安全數(shù)據(jù)編織就是對安全運營中的所有安全要素信息采用數(shù)據(jù)編織的思想，以元數(shù)據(jù)為基礎(chǔ)，統(tǒng)一數(shù)據(jù)模型和數(shù)據(jù)治理，編排數(shù)據(jù)管道，構(gòu)建邏輯上統(tǒng)一的數(shù)據(jù)層，并持續(xù)監(jiān)控數(shù)據(jù)質(zhì)量。如果傳統(tǒng)的安全運營平臺數(shù)據(jù)架構(gòu)是構(gòu)建一個傳統(tǒng)重量級數(shù)據(jù)中臺的話，那么基于安全數(shù)據(jù)編織的安全運營平臺數(shù)據(jù)架構(gòu)則旨在建立一個輕量級的數(shù)據(jù)中臺。

與此同時，在數(shù)據(jù)管理與分析領(lǐng)域，數(shù)據(jù)架構(gòu)的工程化實踐越來越成熟，現(xiàn)代數(shù)據(jù)棧（MDS）的興起，為安全運營平臺的數(shù)據(jù)架構(gòu)設(shè)計提供了一套可供參考的最佳實踐。

SOC4.0必須基于安全數(shù)據(jù)編織的思想，采用現(xiàn)代數(shù)據(jù)棧的最佳實踐，摒棄舊的大數(shù)據(jù)架構(gòu)，構(gòu)建新一代安全數(shù)據(jù)架構(gòu)。新一代安全數(shù)據(jù)架構(gòu)應(yīng)包括數(shù)據(jù)治理、數(shù)據(jù)編排、數(shù)據(jù)集成、數(shù)據(jù)存算、數(shù)據(jù)分析、數(shù)據(jù)呈現(xiàn)、數(shù)據(jù)分發(fā)7個構(gòu)件?；谛乱淮踩珨?shù)據(jù)架構(gòu)，實現(xiàn)按需集成數(shù)據(jù)，簡化數(shù)據(jù)管理，釋放數(shù)據(jù)價值，為安全運營平臺的AI化和自動化提供堅實的數(shù)據(jù)底座，以實現(xiàn)高效的數(shù)據(jù)驅(qū)動的安全運營。

5.3  流程驅(qū)動：用基于安全編排的流程架構(gòu)驅(qū)動SOC4.0

流程驅(qū)動是SOC的技術(shù)本質(zhì)之一，真正閉環(huán)的安全運營過程是數(shù)據(jù)驅(qū)動和流程驅(qū)動疊加的結(jié)果。譬如，通過數(shù)據(jù)驅(qū)動的分析識別的安全事件需要觸發(fā)響應(yīng)流程，進(jìn)而通過響應(yīng)流程實現(xiàn)事件的處置閉環(huán)。又譬如，數(shù)據(jù)驅(qū)動的資產(chǎn)和漏洞分析必定要觸發(fā)資產(chǎn)和漏洞處置流程。還有時候，也存在流程驅(qū)動觸發(fā)數(shù)據(jù)驅(qū)動的過程，譬如通過預(yù)警通報接收流程接收到來自外部的預(yù)警通報信息后，導(dǎo)入平臺進(jìn)行數(shù)據(jù)驅(qū)動的分析的過程。

長期以來，人們都忽略了流程驅(qū)動的重要性，將流程獨立于平臺之外，僅存在于安全運營人員的心中，或者僅僅進(jìn)行簡單的設(shè)計，導(dǎo)致大部分安全運營平臺更傾向于一個分析平臺，而不是響應(yīng)處置平臺，安全運營的大量流程沒有著落。

一個完整的安全運營平臺必須是數(shù)據(jù)與流程雙輪驅(qū)動的。數(shù)據(jù)是安全運營的源泉和動力，在數(shù)據(jù)的驅(qū)動下，源源不斷地發(fā)現(xiàn)問題、分析問題、解決問題、總結(jié)問題。流程是安全運營的依據(jù)和手段，是安全運營持續(xù)運轉(zhuǎn)的紐帶，通過平臺連接人、運營工具、網(wǎng)絡(luò)安全防御設(shè)施，實現(xiàn)協(xié)同防御、聯(lián)防聯(lián)控。數(shù)據(jù)和流程分別驅(qū)著動安全運營的兩種狀態(tài)：數(shù)據(jù)驅(qū)動的分析態(tài)和流程驅(qū)動的運行態(tài)。只有數(shù)據(jù)驅(qū)動沒有流程驅(qū)動的安全運營平臺只能叫做安全分析平臺，而只有流程驅(qū)動沒有數(shù)據(jù)驅(qū)動的安全運營平臺只能叫做安全運營工作辦理平臺（安全OA）。

SOC4.0強調(diào)要將數(shù)據(jù)驅(qū)動和流程驅(qū)動放到同等的地位，統(tǒng)一進(jìn)行設(shè)計。從流程驅(qū)動的角度而言，SOC4.0必須以工作流引擎為底座，構(gòu)建基于安全編排的新一代運營流程架構(gòu)。

安全編排（Security Orchestration）概念并不新鮮，SOC3.0中就存在，它是安全編排響應(yīng)與自動化（SOAR）系統(tǒng)的一項關(guān)鍵技術(shù)。安全編排是將企業(yè)和組織在安全運營過程中涉及的不同系統(tǒng)或者一個系統(tǒng)內(nèi)部不同組件的安全功能封裝后形成的安全能力和人工檢查點按照一定的邏輯關(guān)系組合到一起，以完成某個特定的安全運營過程和規(guī)程。安全編排是將安全運營相關(guān)的工具/技術(shù)、流程和人員等各種能力整合到一起的一種協(xié)同工作方式。

在實現(xiàn)安全編排方面，傳統(tǒng)的SOAR存在明顯的缺陷。一方面，SOAR對于機器到機器的協(xié)作流程編排有效，但對人到人的協(xié)作流程編排卻難以支撐。另一方面，SOAR的安全編排都是靜態(tài)的、固定式編排，一旦流程發(fā)生變化，就必須由安全運營人員手工更新，維護(hù)成本很高。

因此，SOC4.0的新一代流程架構(gòu)必須采用Agentic AI賦能的智能化雙流程編排引擎架構(gòu)模式。其中一個引擎面向機器到機器的協(xié)作流程編排，表現(xiàn)形式為劇本。該引擎以劇本高速運行為設(shè)計目標(biāo)，滿足需要機器速度進(jìn)行響應(yīng)處置的應(yīng)用場景需求。另一個引擎面向人到人的協(xié)作流程編排，表現(xiàn)形式為服務(wù)流程。該引擎支持復(fù)雜的流程流轉(zhuǎn)，滿足各類安全運營類辦公場景的需求。同時，劇本和服務(wù)流程可以互相引用，實現(xiàn)跨人機處理的復(fù)雜應(yīng)用場景。進(jìn)一步地，在雙引擎基礎(chǔ)之上，引入Agentic AI技術(shù)，用基于GenAI的智能體進(jìn)一步提升流程運行的智能化水平，將靜態(tài)、固定式的流程變成動態(tài)、自適應(yīng)的流程，將與機器（各種設(shè)備和系統(tǒng)）的API接口MCP化，實現(xiàn)智能自適應(yīng)協(xié)作。

必須謹(jǐn)記的是，機械式安全編排和智能化安全編排各有優(yōu)劣勢，不應(yīng)片面追求智能化流程，應(yīng)該分場合使用，發(fā)揮出各自的優(yōu)勢。譬如，劇本具有很強的一致性，且執(zhí)行速度快，可用于確定的流程場景。而智能體適合沒有流程或者現(xiàn)有流程有缺陷的場景，可以智能地進(jìn)行規(guī)劃，耗費相對較長的反復(fù)思考時間，自適應(yīng)地完成預(yù)定任務(wù)。當(dāng)某個智能體順利完成任務(wù)后，經(jīng)用戶確認(rèn)，應(yīng)將工作流程進(jìn)行恰當(dāng)?shù)墓袒?，變成某種“劇本”，以便后續(xù)可以更加一致高速地運行。此外，當(dāng)前的工程實踐中，Agentic AI也不是純靠GenAI思考的，也需要某種“靜態(tài)工作流”的輔助。

5.4  自動化優(yōu)先的SOC4.0

自動化優(yōu)先是SOC4.0的關(guān)鍵特征之一。Gartner預(yù)測，到2027年，由于自動化程度的提高和超大規(guī)模擴展策略，25%的常見SOC任務(wù)的成本效率將提高50%。

如果把自動化看作一項技術(shù)，那么自動化優(yōu)先就代表一種SOC的設(shè)計理念。

從技術(shù)角度看，自動化必須深度嵌入安全運營平臺的數(shù)據(jù)架構(gòu)和流程架構(gòu)之中。數(shù)據(jù)編織架構(gòu)是原生自動化的，從數(shù)據(jù)自動化采集，到基于規(guī)則或者基于模型的自動化數(shù)據(jù)分析，再到各類安全報表報告的自動定期生成和分發(fā)。面向流程的編排引擎也是原生自動化的，不論是劇本編排還是服務(wù)流程的編排，流程節(jié)點都是基于規(guī)則自動跳轉(zhuǎn)。

從設(shè)計理念角度看，自動化優(yōu)先體現(xiàn)了對安全運營過程中人與機器之間協(xié)作關(guān)系的重新適配，從而使得SOC4.0與其它SOC顯著不同。

在SOC4.0之前，安全運營組織和流程基本都是建立人工處理的基礎(chǔ)之上的。譬如很多企業(yè)和組織建立了監(jiān)測、研判、處置團(tuán)隊，或者L1、L2、L3三線團(tuán)隊，通過有組織的分工協(xié)作，實現(xiàn)對安全告警和事件的閉環(huán)響應(yīng)。這些組織基本上采用金字塔機構(gòu)，負(fù)責(zé)監(jiān)測或者L1團(tuán)隊人員最多，往上逐漸減少，表明監(jiān)測告警的工作量最大。隨著安全運營平臺的不斷升級迭代，自動化水平不斷提升，各級團(tuán)隊越來越多依賴自動化來提升自身的工作效率，但整個團(tuán)隊設(shè)置和流程設(shè)計基本上沒有變化。隨著自動化運營的成熟和智能化運營的引入，現(xiàn)有的組織和流程阻礙了運營效能的提升。

在SOC4.0時代，安全運營的組織、流程將進(jìn)行全面改造，建立起以自動化為優(yōu)先的組織結(jié)構(gòu)和運營流程，依托自動化安全運營平臺，重新調(diào)配人員配置、崗位職責(zé)、工作流程和規(guī)程，讓人的價值在合適的地方得到真正發(fā)揮。譬如，L1團(tuán)隊人員將大幅減少甚至取消，分流到其它團(tuán)隊，告警的分類分級和安全事件的生成工作已經(jīng)盡可能地交給安全運營平臺智能自動的執(zhí)行。L2團(tuán)隊的工作起點不是對事件進(jìn)行規(guī)程化的調(diào)查，而是基于安全運營平臺自動化事件調(diào)查的結(jié)果進(jìn)行研判。處置團(tuán)隊則更多的是與相關(guān)安全事件的責(zé)任部門、IT部門進(jìn)行溝通協(xié)商，確定處置方案，真正的處置指令執(zhí)行交由安全運營平臺自動執(zhí)行。然后，各個環(huán)節(jié)節(jié)約下來的編制投入到安全運營有效性驗證、價值評估、常態(tài)化攻防對抗演練、滲透測試等其它更重要且缺乏人手的工作中去。

自動化優(yōu)先的流程設(shè)計要求盡可能地將機器與機器之間多步交互變成完全自動化的，同時盡可能地減少人與機器、人與人之間的交互步驟，充分發(fā)揮自動化的能力，簡化流程。

自動化優(yōu)先的安全運營組織和流程設(shè)計的目標(biāo)是完善組織結(jié)構(gòu)、簡化運營流程、提升運營效率，但并不意味著減少人員。SOC4.0體系之下，還有很多安全運營工作尚待開展，亟需大量人員投入，譬如安全內(nèi)容開發(fā)運營、威脅獵捕、有效性驗證、對抗演練，等等。

對于安全運營平臺而言，自動化優(yōu)先意味著需要平臺提供有力的支撐，重點是要提供一個可靈活定制的、基于編排的流程架構(gòu)驅(qū)動的安全協(xié)作中心。

最后，自動化優(yōu)先不等于自動化一切，自動化只是手段不是目標(biāo)，安全運營最終還是面向人的。正如Gartner所言，永遠(yuǎn)不會有完全自動化的SOC，與追求端到端自動化相比，聚焦于關(guān)鍵任務(wù)和工作流程的自動化更加有效。

5.5  實戰(zhàn)化的SOC4.0

實戰(zhàn)化作為SOC4.0的另一個關(guān)鍵特征，體現(xiàn)了以人為本、面向協(xié)作、價值交付的平臺使用模式，本質(zhì)上就是要讓安全運營平臺簡單、好用。SOC4.0要從多個方面入手，不斷提升平臺的實戰(zhàn)化水平，增強安全運營人員和各級管理者的獲得感。

SOC4.0要為安全運營組織的每個角色提供相適應(yīng)的UI和簡潔的用戶體驗，讓他們無摩擦地使用平臺。

SOC4.0要加強流程架構(gòu)驅(qū)動的安全協(xié)作中心的功能設(shè)計，讓安全運營流程能夠真正落到平臺上，同時要支持多樣化的協(xié)同工作模式，便于運營人員之間、跨安全和業(yè)務(wù)團(tuán)隊之間交流分享，便于各類安全工具、設(shè)備和系統(tǒng)之間協(xié)同工作。

SOC4.0要加強平臺自身數(shù)字化的功能設(shè)計，實現(xiàn)安全運營的數(shù)字化，對數(shù)據(jù)處理、流程運行和人員工作等過程進(jìn)行全程記錄，對安全運營平臺中的數(shù)據(jù)、安全內(nèi)容、流程進(jìn)行有效性驗證和價值評估，對安全運營人員實施績效考核。

SOC4.0還需要考慮如何讓平臺的使用者便捷地、與時俱進(jìn)地擴展SOC平臺的業(yè)務(wù)能力。

回首過去，安全運營平臺從面向資產(chǎn)的SOC1.0到面向業(yè)務(wù)的SOC2.0，再到數(shù)據(jù)驅(qū)動的SOC3.0的疊加演進(jìn)過程，也是中國網(wǎng)絡(luò)安全產(chǎn)業(yè)從合規(guī)導(dǎo)向回歸到對抗本質(zhì)的疊加演進(jìn)過程。數(shù)據(jù)驅(qū)動SOC已經(jīng)成為共識，安全運營平臺在技術(shù)上實現(xiàn)了巨大進(jìn)步。大數(shù)據(jù)技術(shù)、威脅情報、AI、SOAR等技術(shù)的應(yīng)用，讓安全運營平臺處理和分析數(shù)據(jù)的規(guī)模越來越大，安全運營過程也越來越主動、智能和自動。

審視當(dāng)下，安全運營平臺依然面對諸多挑戰(zhàn)，包括：實戰(zhàn)化程度不夠、大數(shù)據(jù)導(dǎo)致數(shù)據(jù)過載和工作疲勞、平臺的智能化和自動化水平亟待提升、安全運營價值難以體現(xiàn)、定制擴展能力薄弱，等等。SOC3.0的數(shù)據(jù)架構(gòu)、流程架構(gòu)、智能化程度和自動化水平已經(jīng)無法驅(qū)動安全運營進(jìn)一步提升。

近兩年，生成式AI為SOC的變革帶來重大機遇。以LLM為核心的GenAI和Agentic AI在傳統(tǒng)AI的基礎(chǔ)之上，憑借普適化、普惠化、協(xié)作化、自主化和知識價值快速釋放等特性，使安全運營效能獲得了極大提升，AI賦能的SOC4.0應(yīng)運而生。

SOC4.0是一個AI賦能的、數(shù)據(jù)與流程雙輪驅(qū)動的、自動化優(yōu)先的實戰(zhàn)化安全運營平臺。同時，無論如何演變，SOC始終遵循風(fēng)險管理思想，以實現(xiàn)網(wǎng)絡(luò)彈性、保障業(yè)務(wù)平穩(wěn)運行為目標(biāo)。

SOC4.0采用以Agentic AI為核心的復(fù)合式AI賦能安全運營，采用基于安全數(shù)據(jù)編織的新一代數(shù)據(jù)架構(gòu)和基于安全編排的新一代流程架構(gòu)的雙輪模式驅(qū)動安全運營，采用自動化優(yōu)先和面向?qū)崙?zhàn)的設(shè)計理念。

展望未來，隨著AI的能力越來越強大，AI應(yīng)用門檻將不斷降低，AI應(yīng)用方式將越來越便捷，SOC4.0的智能化水平將不斷提升。安全運營將始終以人為本，以數(shù)據(jù)和流程為底座，AI永遠(yuǎn)不能取代人，而是增強人、賦能數(shù)據(jù)和流程。

未來已來！現(xiàn)在開始，邁入AI賦能的SOC4.0（Agentic SecOps Platform）時代！