ISC：2023安全運營市場洞察報告（95頁）.pdf

《ISC：2023安全運營市場洞察報告（95頁）.pdf》由會員分享，可在線閱讀，更多相關《ISC：2023安全運營市場洞察報告（95頁）.pdf（95頁珍藏版）》請在三個皮匠報告上搜索。

1、關于ISCISC成立于2013年，是國內唯一專注為數字安全行業賦能的平臺。打造集會展服務、咨詢服務、媒體服務、生態創投、生態聯盟、產業導入“六維一體”的生態模式，全面賦能國家、政府、行業、企業、個人。過去10年，ISC秉承創新引領、智慧洞察、專業高效的宗旨，創辦了亞太地區乃至當今世界規格高、輻射廣、影響力深遠的全球性安全峰會互聯網安全大會，樹立了中國網絡安全產業名片。版權聲明本報告版權屬于ISC，任何組織、個人未經授權，不得轉載、更改或者以任何方式傳送、復印、派發該報告內容，違者將依法追究法律責任。轉載或引用本報告內容需要注明來源，同時不得進行如下活動：不得擅自同意他人轉載、引用本報告內容。不

2、得引用本報告進行商業活動或商業炒作。本報告中的信息及觀點僅供參考，ISC對本報告擁有最終解釋權。專 I 家 I 寄 I 語網絡安全不是靠安全產品堆砌就可以搞好的，網絡安全是運營出來的！兜兜轉轉多年以后，現在終于成為網絡安全從業者的共識。網絡安全運營又是復雜的，過去曾是資源豐富、技術能力強的頭部客戶的專利，今天隨著知識的共享，運營工具的進步，以及托管運營模式的出現，有更多的機構可以嘗試通過網絡安全運營提升自身的網絡安全防御能力。ISC編寫的這份ISC 2023 安全運營市場洞察如同一本故事書，將網絡安全運營的前世今生及未來向您徐徐道來！賽博英杰創始人 譚曉生安全運營摒棄了傳統的，不合時宜的唯產品

3、論思維，且已經成為廣大業內人士的共識。數世咨詢認為，安全運營是真正提升網絡安全和數據安全能力即數字安全能力的關鍵紐帶。安全運營有五個核心要素，平臺，工具，管理，流程和人。如何有序、合理的貫穿好這五個要素，是做好安全運營的關鍵。ISC本次發布的安全運營報告，豐富全面，言之有物，有著很大的實用參考價值。數世咨詢創始人 李少鵬ISC 2023 安全運營市場洞察一書厘清了安全運營的基本內涵，提出了安全運營發展的驅動力，從技術角度提出影響安全運營發展的核心能力，以及企業安全運營能力構建的兩種方式。本書在安全運營不斷拓展的時點，為企業理解安全運營以及未來如何選擇和布局安全運營團隊具有較強的指導意義。賽迪顧

4、問業務總監 高丹發展數字經濟、建設數字中國已上升為國家戰略，未來是高度數字化的數字孿生世界，安全威脅前所未有。網絡安全威脅將遍布數字化所有場景，直接或間接地威脅整個現實世界，包括金融、工業生產、能源、交通、醫療、以及城市和社會治理。為應對嚴峻的安全威脅及數字化轉型帶來的問題，農銀集團以企業級安全運營中心為抓手，打造農銀集團一體化安全運營體系，提煉關鍵指標，挖掘隱蔽攻擊，打通安全告警及安全漏洞的檢測發現、流轉處置、響應反饋的閉環流程，提升安全運營一體化、實戰化、自動化、智能化水平。ISC本次編寫的安全運營報告具有一定的參考價值及指導意義，該報告詳細分析了不同體量用戶對于安全運營的需求，從多個維度

5、介紹了企業如何構建安全運營能力，有助于企業全面了解網絡安全形勢，構建健全的安全運營體系，全面提升安全運營能力。中國農業銀行 資深安全架構師 溫景容金融行業是經濟運行和社會發展的命脈，也是對信息系統依存度非常高的行業。在互聯網金融模式興起，外部網絡安全環境惡化以及自身系統架構日趨復雜的新形勢下，金融行業正面臨著愈發嚴峻的網絡安全威脅。依托現有傳統安全能力，實現對安全威脅的提前感知與預測預防，對正在發生安全事件的實時防御和響應處置，對潛在的安全威脅的持續監測，對已發生安全事件的分析溯源，以全面提升攻防能力為目標的安全運營建設勢在必行。開泰銀行通過建立CSOC，為數據中心形成整體安全態勢感知及對未來

6、短期預測的安全運營體系，通過態勢分析能夠很好的洞察銀行內部整體安全狀態。實時進行網絡威脅檢測，消除安全孤島所導致的數據割裂問題，實時監測網絡中各組成部分的安全狀態，形成安全信息匯總樞紐、信息安全事件調查處置中心、全局網絡安全態勢感知中心，提高對信息安全事件風險的預警和響應能力。實現建立各類場景化的安全模型，以實現快速準確的發現各種內部人員違規或高危的操作。當發現安全事件時，支撐攻擊溯源取證。同時能夠進行預案編排與自動化響應，并開展持續評估。依托云端檢測、情報、分析、漏洞以及專家能力等，借助安全云端賦能提升本地安全能力，全面支撐本地安全運營。同時，開泰銀行不斷優化安全管理制度，將原本基于安全運維

7、為主的網絡環境，建設成依托專業人員安全運營的專業安全團隊，借助外部專家能力，使銀行內部網絡具備高級未知威脅檢測能力，并可進行溯源和反制。ISC本次發布的安全運營報告，針對各領域不同體量、不同需求的用戶提供了部署指引，為金融行業安全運營建設提供決策參考。開泰銀行 CIO 丁偉隨著合規驅動、實戰演練、實時監管的大背景下，網絡安全防護體系建設不再是簡單的堆砌設備，如何做好網絡安全運營，全面把控網絡安全態勢，建設符合自身業務發展和時代需求的安全體系，是網絡安全管理人員的首要任務。目前中交集團已經建立安全運營中心平臺，運營平臺作為全網數據的匯總樞紐，結合多源的情報體系、漏洞數據和專家能力，實現整體安全態

8、勢感知、安全事件監測及預警、威脅攻擊的處置與響應等網絡安全運營一體化工作。中交集團以實戰化、智能化、體系化為目標，持續開展網絡安全運營平臺建設，為中交集團網絡與信息安全保駕護航。ISC本次發布的安全運營報告從運營發展歷程、需求分析及核心能力多個維度較為全面的闡述安全運營理念，能夠為各企業提供很好的決策參考，能夠助力企業構建良好的安全運營體系。中交集團科學技術數字化部 總經理助理兼網絡安全處處長 劉學忠 前 言縱觀網絡安全產業發展歷程，網絡安全的核心始終是實現安全能力的最有效交付。在這一核心訴求驅動下，網絡安全逐步從單項產品或服務，走向了基于縱深防御體系的一體化網絡安全服務解決方案。在此背景下，

9、閉環化、動態化、指標化、持續化的安全運營，成為安全能力交付的最優選之一?，F階段，隨著云計算、大數據、人工智能等新技術的出現，安全運營已然邁入了規?；陌l展階段，不斷迭代升級。新一代的安全運營體系面向政企數字化業務，將攻防實踐與全球先進作戰思想相融合，圍繞“看見-處置”打造安全運營工作的完整閉環。通過以能力集中、數據集中、研判集中、專家集中、服務集中的模式，將數字安全要素進行重構，全面構建“人員+技術+流程”一體化的安全運營體系，全面提升政企數字化業務的主動防護能力。因此，為了更好地幫助客戶了解安全運營的現狀及如何才能擁有安全運營能力，本報告著重分析了安全運營的發展驅動力及演變歷程，通過全面剖析

10、各類客戶對于安全運營的需求，深度總結了安全運營的核心能力及重點技術，有針對性的為企業提出如何擁有“安全運營”能力的解決方案，并結合當前安全運營的現狀系統性的闡述了安全運營的實際應用場景，列舉了不同場景下安全運營的實踐應用以供廣大用戶參考。目 錄1.1 什么是安全運營？1.2 安全運營和安全運維之間的共性及差異性1 安全運營概述03042 安全運營發展的驅動力2.1 技術發展帶來新威脅2.2 市場需求迎來新機遇2.3 政策法規帶來新要求0707083 安全運營的發展歷程3.1 碎片化階段3.2 全局化階段3.3 可視化階段3.4 智能化階段111112134 各類客戶對于安全運營的需求分析4.1

11、 中小企業客戶4.2 關基行業客戶4.3 部委客戶 1617185 安全運營的核心能力及重點技術5.1 安全運營的五大核心能力5.2 安全運營的關鍵核心技術21246 企業如何擁有安全運營能力6.1 企業如何構建合適的安全運營中心6.2 兩種常見的安全運營服務34377 企業安全運營的落地實踐7.1 天津信創安全產業集群服務項目7.2 鵬信科技網絡安全能力綜合管理平臺建設項目7.3 國網某電力安全運營項目7.4 某頭部金融企業網絡安全協同作戰平臺7.5 某頭部證券企業SOAR平臺建設項目7.6 江蘇省某財政單位一體化安全運營中心建設項目7.7 未來智安XDR助力銀行業有效提高告警研判率7.8

12、某縣域數字化改革網絡安全體系建設項目7.9 某銀行自動化安全響應分析平臺項目7.10 金融行業背景下的安全運營靶場建設40455155636771758487CONTENTS01安全運營概述網絡安全領域早期發展的過程中認可度較高的主動防御安全模型之一為PPDR模型，主要由4個部分組成：Policy（策略）、Protection（防護）、Detection（檢測）和 Response（響應）。其中策略是整個安全模型的核心部分，通過建立符合實際情況的安全策略才能更有效的防御攻擊，防護手段是整個流程上的第一個有效措施，對公司資產采用現有安全手段進行防護，檢測則是通過監測發現系統或網絡的異常情況及可能

13、存在的攻擊行為，而響應則是在發現異?；蚬粜袨楹蟛扇〉囊幌盗蟹烙屯炀仁侄?。但隨著時間的推移，網絡攻擊技術越來越復雜，僅是以策略為中心、被動反應的 PPDR 模型難以隨著攻擊手段的升級而靈活調整防御策略以抵御未知的攻擊。因此，原有的 PPDR 模型已經不再能滿足當今的網絡安全形勢以及組織對于業務正常運行的需求。在此基礎上，Gartner 提出新一代的 PPDR 模型，由 Predict（預測）、Prevent（防護）、Detect（檢測）、Response（響應）4 個部分組成閉環安全防護模型。其中新的 Predict（預測）是指通過威脅情報等行為對可能存在的攻擊行為進行預測，以動態的預測過程

14、替代原來的 Policy（策略）部分，加強安全防護模型的適應性，Prevent 相比 Protection 更加強調防守方和攻擊方的對抗性，而非簡單防守方單方面通過不斷的增加防御手段抵御攻擊，同時對潛在的安全風險及威脅進行持續的檢測（Detect）動作，并動態調整安全防護策略，對檢測結果實現快速響應（Response），加強反饋和預測能力，形成安全防護閉環?；?Gartner 提出的 PPDR 模型，再結合我國當下網絡安全形勢的實際情況，組織需要建立一個具有強適應力的安全保障體系，將安全貫穿企業生態系統的每個環節，以一種動態的、主動的、對抗的戰略思維建設組織強大的安全態勢。穩健的安全態勢意味

15、著組織必須要擁有必要的流程來保護其業務和應用程序免受威脅和漏洞的侵害。如今，當企業關鍵數據和信息不斷面臨被惡意攻擊者攻擊泄露時，加強安全態勢成為組織目前的首要任務。安全態勢取決于組織保護其網絡、數據和系統的能力，以及在發生攻擊時的有效反應。簡而言之，安全態勢是衡量整個組織如何實施網絡安全以及組織對網絡攻擊的彈性程度的表現形式。組織安全態勢的強度與其面臨的風險量成反比，組織必須改善其安全態勢，以便他們可以專注于威脅可見性和網絡風險量化，組織目前需要的是根據不斷變化的威脅形勢調整和建立安全方案以實現擁有動態安全態勢的目的。通過細粒度、多角度、持續化的對安全威脅進行實時動態分析，自適應不斷變化的網絡

16、和威脅環境，并不斷優化自身的安全防御機制，從被動防御向主動防御的轉變離不開體系化的安全運營流程。因此，對組織來說，建立動態且穩健的安全態勢的最好辦法是建設安全運營體系架構。1.1 I 什么是安全運營？ISC 2023 安全運營市場洞察03那么安全運營具體指什么呢？通常來說，安全運營的理念可以從狹義和廣義兩個方面進行簡單闡述：狹義的安全運營是以資產為核心，以安全事件管理為關鍵流程，依托于安全運營中心（SOC），建立一套實時的資產風險模型，進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理流程。廣義的安全運營不再是單純的技術理念，而是通過集合人員、技術、流程和平臺的復雜體系架構，通過對已

17、有的安全產品、工具、服務產出的數據進行有效的分析，持續輸出價值，解決安全風險，從而實現安全運營體系化建設的最終目標。概括起來就是安全運營不是一個產品建設、單一的技術使用以及某類平臺的建設，而是一種以人、技術、平臺、工具和流程為基礎的新型安全保障模式。安全運營旨在定義安全邊界并制定滿足公司業務目標的同時保護業務和客戶資產的安全策略，一個成熟度高的安全運營體系建設應該是以企業安全能力成熟度為基礎，運用適當的安全技術和管理手段整合人、技術、流程和平臺，持續降低企業安全風險的綜合能力。其應該具備三個主要特征：安全運營和安全運維是網絡安全領域中會被頻繁提及的概念，但往往大家會對這兩者產生疑惑造成混淆，那

18、么這兩者之間到底有著怎樣的共性及差異性呢？首先我們需要明確這兩者的理念及包含的流程是什么：安全運營是以“業務系統風險控制”為核心，將安全建設與業務進程相適配，并結合 AI、大數據分析等核心技術，建立基于業務的自適應安全架構，建立預防、監測、分析、響應等集中安全監測體系，將技術、流程、人員有機集合，對業務安全風險進行持續控制的一種安全建設模式。此外，安全運營除了能解決已知威脅，還能對未知的威脅進行檢測、響應和分析。主動性：安全運營注重主動發現潛在威脅和安全漏洞，通過實施主動監控、安全審計和滲透測試等手段，提前發現和預防安全問題，同時強調主動培養員工的安全意識和技能，以提高整個組織的安全防范能力；

19、持續性：通過建立持續性的運營方案和規則，開展持續不斷地排查威脅，持續分析、檢測、調整、優化防御策略和措施，動態提升企業整體防御能力；對抗性：安全運營面臨來自外部攻擊者和內部威脅的不斷挑戰，需要具備應對復雜安全威脅的能力，與攻擊者進行持續的“攻防戰”，通過威脅情報、紅藍對抗等新型模式發現安全威脅，并保障快速響應的機制。1.2 I 安全運營和安全運維之間的共性及差異性04安全運營概述而安全運維是企業信息安全的基礎，其目的是確保企業信息安全系統的可靠性、穩定和安全性。具體是指從安全的角度進行日常 IT 信息系統的運行維護，傳統的運維工作是為了保障信息系統的正常運行，通過安全專家使用安全技術及工具檢測

20、出已經出現的安全問題和即將出現的安全威脅并解決避免造成系統宕機，建立從防護到監控解決的閉環安全機制管理流程，從而實現安全運維的目的，保障企業整體 IT 系統的正常運行。安全運營和安全運維都是網絡安全領域的重要組成部分，它們旨在確保企業和組織的信息系統安全、穩定并保護敏感數據。兩者之間的共性包括以下 5 點：總體來說，安全運營是實現企業 IT 數據安全價值的核心體系，需要有管理方面的要求，不僅僅局限于會安全技術相關內容，而安全運維是利用安全技術保障企業 IT 系統正常運營的手段。盡管兩者之前存在一定的共性，但它們之間的側重點和狀態則不同，具體可以概括為以下四點：側重重點不同：安全運營更關注企業信

21、息安全的全局管理，側重于從戰略層面把控安全運營的方向和進展；而安全運維則更側重于日常的系統運行和設備維護，注重保障企業信息新系統的可靠性和穩定性；工作職責不同：安全運營主要負責制定安全策略、規劃安全方案、安全標準和管理規定等，而安全運維則負責執行安全策略、監測系統狀態、解決技術問題和優化安全設施，確保系統的正常運行和設備的可靠性；工作范圍不同：安全運營的工作范圍更廣泛，涵蓋整個企業的安全管理和策略制定，需要綜合考慮組織的業務需求、技術能力和合規要求；而安全運維更關注具體的技術實施和操作，需要處理日常的安全問題和解決技術問題；人員要求不同：安全運營需要具備全局視野和戰略思維，能夠制定安全策略、安

22、全標準和管理規定，具備安全管理、風險管理和合規管理的能力，同時需要擁有較強的領導力和組織協調能力；而安全運維人員則需要具備扎實的技術功底，能夠熟練掌握各種安全設備和工具，擁有較強的溝通協調能力和解決安全問題的能力。風險管理：安全運營和安全運維都需要對安全風險進行評估、分析和管理，以確保企業采取合適的安全措施來降低安全風險；合規管理：安全運營和安全運維都需要確保企業滿足法規和合規要求，包括數據保護、隱私政策和行業標準等；實時監控：安全運營和安全運維都涉及對企業信息系統的實時監控，以發現異常行為、潛在威脅和安全漏洞；依賴技術：安全運營和安全運維都依賴于安全技術手段，需要利用各種安全設備和技術來進行

23、安全防御和風險管理；人為介入：安全運營和安全運維都需要專業的安全人員進行運作和維護。ISC 2023 安全運營市場洞察0502安全運營發展的驅動力在現有網絡安全形勢、國家政策標準導向及發展需求之下，安全運營作為網絡安全發展新時代下的產物，被認為是解決現有安全挑戰的最有利方式。同時，企業需要的安全已不僅是滿足合規要求，而是能不斷自我迭代、演進、提供持續性安全能力輸出的安全運營保障體系?；诖?，安全運營發展的驅動力可以從技術發展、市場需求和政策導向三個維度展開詳細分析。技術創新正迅速成為企業發展和成功的最重要因素之一，可以幫助企業在競爭中領先于行業競爭對手的能力，使企業的運營、服務、產品能夠滿足客

24、戶及不斷變化的市場需求。但企業對創新的需求與保障安全性之間存在沖突，當今技術創新顛覆的步伐促使企業優先考慮業務上線的速度，快速推出新產品并保持領先于競爭對手的競賽中。但此行為往往以犧牲安全性為代價，導致企業因為忽略安全防護的重要性而面臨無法預估的安全風險。簡而言之，安全是企業技術創新戰略的核心組成部分，兩者之間存在不可避免的共生關系，安全是技術創新發展的必要推動因素，也是企業成功的核心要求。因此，對企業來說，保持安全性和技術創新并存至關重要。否則，創新對企業來說可能變成無法承受的負擔和弱點，將創新與安全對齊需要付出不斷的努力，但實現安全并不是購買最新的安全產品，而是將創新與效率構建到促進整體業

25、務優先級的流程中，而不破壞關鍵的安全先決條件。實施網絡安全措施旨在保障業務正常運行而不是阻止業務創新的進程，了解網絡安全重要性后的新技術創新更有利于長期的成功和客戶的信任。事實上，與安全事件發生后在實施補救計劃相比，從一開始就考慮網絡安全風險通常會帶來更成功的結果和更低的安全成本。因此，在企業業務所有階段嵌入安全實踐是必經之路，而安全運營提供了一種綜合方法，通過將安全實踐集成到所有階段來最大程度地降低安全風險。2.1 I 技術發展伴隨新威脅2.2 I 市場需求迎來新機遇隨著數字經濟的急劇擴張，新型的網絡威脅層出不窮，同時業務的全球性、云技術的使用以及技術的不斷創新導致保護企業安全性以及應對安全

26、威脅的難度不斷增加，網絡犯罪分子利用最新的攻擊技術來滲透基礎設施并竊取各種規模組織的數據信息甚至是個人信息，這些攻擊呈現出規模大、危害強、更難發現和更難防控的特點。網絡犯罪在頻率、影響和復雜性上持續升級，企業無論規模和產業大小均會受其影響，面臨更復雜、更普遍的安全威脅。尤其是專業網絡犯罪組織發起的攻擊，其創新性和復雜性明顯提高，反制措施難度極大。網絡犯罪分子通過利用未修補的 0Day 攻擊的發生率不斷上升。此外，越來越多的惡意軟件試圖將 IoT 設備連接到僵尸網絡，然后可以對企業和大型機構發起大規模發布式拒絕服務（DDoS），從而導致一些行業出現前所未有的大規模停工。同時，網絡犯罪分子不再關注

27、更多的受害者，而是越來越多地將目標鎖定為網絡安全防御不夠全面、可利用資產更多或者與其他強大組織有著特別復雜聯系的特定受害者。例如，1.1 億 Target 客戶的個人和信用卡數據ISC 2023 安全運營市場洞察07隨著國內外網絡安全形勢的持續變化，促使政府、企業及各類行業組織不斷推進安全工作的進一步迭代。同時，伴隨著企業業務逐漸上云，網絡安全形勢變得愈加嚴重，新型 IT 環境下安全運營體系建設成為保障企業安全能力的重點，其次是政策合規促進安全運營發展。網絡安全法、數據安全法、個人信息保護法 以及等級保護 2.0 等法律法規的相繼出臺，促使我國的安全頂層設計逐步完善，推動我國安全運營體系的建設

28、過程。在當今快節奏的數字世界中，保護客戶信息隱私和安全是一項艱巨的任務，政府和行業組織越來越重視網絡安全合規性，國家層面通過發布政策法規推動增強合規管控要求，強化網絡安全建設基線標準，提升足以應對泄露始于竊取 HVAC 分包商登錄憑據的惡意軟件，由于企業依賴數字生態系統的互操作性，威脅形勢的復雜性正在不斷加深。雖然安全威脅愈發嚴峻，但企業的防護手段往往相對滯后，難以抵抗愈發嚴峻的安全威脅。傳統的依賴單一產品能力和產品堆砌的做法都顯得力不從心，難以為繼，無法保護由遠程工作人員、工作場所、合作伙伴和客戶交互組成的現代 IT 生態系統，也無法保護員工可能隨時訪問的數據。近年來，使用過時安全方法的企業

29、所面臨的網絡攻擊風險一直在不斷加劇，攻擊者可以利用員工電腦上過時且未打補丁的操作系統或不安全的應用程序開展網絡攻擊。同時，企業還可能會面臨中間人攻擊，在這種攻擊中，攻擊者秘密地進入用戶和訪問的 Web 服務之間。例如，一個受損的 WiFi 系統可能會讓攻擊者獲取用戶發送的任何信息，包括用戶的隱私密碼等。不僅如此，隨著數字化轉型的熱潮，組織的攻擊面呈指數增長，并且變得難以定義和防御，從而使組織的數據資產暴露在攻擊者面前。對攻擊者來說，組織的攻擊面越大，其可以瞄準攻擊的目標就越大。同時，由于虛擬機、容器和微服務的廣泛使用，企業 IT 環境處于不斷變化的狀態。這意味著任何了解和管理企業攻擊面的方式都

30、必須使用基于實時數據的敏捷、智能的工具來進行。因此，面對日新月異的攻擊技術和手段，安全防護技術和手段也需要不斷發展和演進。為了保護組織在面對網絡犯罪時變得更有彈性，企業需要考慮更廣泛的生態系統并應用適應性強的網絡安全實踐方案。通過第三方安全廠商將技術、人員和流程整合建立安全運營保障體系，不斷更新優化相應安全規則，建立統一的安全運營流程將安全事件和威脅信息轉化為可操作的情報，推動安全預防、檢測、分析和響應流程，幫助企業加強常態化安全防護能力，以應對日益復雜的網絡威脅并持續改進。2.3 I 政策法規帶來新要求08安全運營發展的驅動力常態化對抗事件的能力，行業組織通過發布行業標準，推廣行業運行資質，

31、提升行業監管和行業自律力度，這是旨在幫助企業保護數據機密性、完整性和可用性的強制措施。企業通過將安全合規性作為優先事項，可以免受數字威脅并持續保障和客戶之間的良好關系。隨著時間的推移，持續滿足安全合規性要求的企業將被稱為值得客戶信賴的企業。良好的合規性不僅僅可以避免罰款甚至可以免遭網絡攻擊，當一個組織處于安全合規之上時，他們通常也處于良好的數據管理實踐之上，可以跟蹤敏感數據資產，避免數據泄露的風險。數據泄露已經成為企業普遍面臨的安全風險之一，根據 uniper Research 的數據，從 2018 年到 2023 年，超過 1460 億條記錄將因數據泄露而暴露。數據泄露造成的威脅范圍不僅限于

32、業務中斷和財務損失，違規行為還可能會無法挽回地損害企業的品牌聲譽和客戶的信任?；谏鲜?，企業需要進行安全合規管理，監控和評估系統、設備和網絡以確保企業符合法規要求以及行業和本地網絡安全標準的過程。但保持合規性并不總是那么容易，尤其是對于受到高度監管的行業和部門，法規和標準經常變化，企業必須快速響應以保持合規性，不合規將使企業和客戶面臨違規、被攻擊的風險，甚至被監管機構罰款。因此，對組織來說建設安全運營體系保障安全能力進而掌握安全合規性管理非常重要。ISC 2023 安全運營市場洞察0903安全運營的發展歷程數字時代推動了新技術的發展和新業務模式的改革，同時也為網絡安全帶來了全新的挑戰，網絡攻擊

33、者與守護者之間的博弈愈來愈激烈。隨著網絡安全威脅環境的不斷變化，安全運營也隨之不斷演變，從最初的靜態防護逐步升級到如今主動積極的動態防護，全面提升組織的安全防護能力?？傮w來說，安全運營的發展歷程可以分為四個階段：碎片化階段、全局化階段、可視化階段、智能化階段。在網絡安全發展的前期，企業在網絡安全方面缺乏明確的目標和戰略規劃，導致在安全投資和資源配置上無法做到有針對性和系統。因此，為了應對多樣化且日益復雜的安全威脅，企業在安全防護體系建設過程中采用多種不同的安全工具和產品來保護數據安全，但不同的安全工具和產品之間普遍存在一定的差異性，由于缺乏統一的標準和互操作性，導致這些不同的工具和產品在實際部

34、署時往往難以實現完全集成和協同，這種現象在一定程度上導致了安全運營進入碎片化階段。由于企業內部缺乏統一的信息共享平臺，各類安全工具和產品產生的日志數據和報警信息可能無法在組織內部進行有效共享，企業內部安全團隊之間缺乏有效的溝通和協作，這導致企業難以全面了解當下的安全態勢，在應對安全事件時反應遲緩，無法及時快速的給出響應，實現全面、高效的安全防護。不僅如此，企業在選擇安全產品時，由于缺乏足夠的了解和評估，導致選擇功能重復或不適合企業需求的安全產品，進一步加劇了安全運營碎片化。3.2 全局化階段為了解決各類安全設備和系統之間的“安全孤島”，進而對海量日志信息的集中管理和分析，實現全面了解安全威脅。

35、安全運營體系開始從“碎片化”逐步轉向“全局化”，而安全信息與事件管理（SIEM）系統則是解決海量日志分散問題的關鍵，可以實現各類安全設備和系統之間的協同防御。最初，在 SIEM 剛出現時主要是用于大型且成熟企業，幫助組織對設備和系統產生的海量日志數據進行管理和審計，缺乏對安全威脅的分析和預警能力。但隨著對安全需求的不斷提高，SIEM 升級開始關注安全事件的實時監控和預警，通過對收集的日志數據進行實時分析，識別異常行為和潛在安全威脅，并生成相應的報警。在此階段，SIEM 為組織提供了有限的安全威脅信息“全局化”的能力。隨著 SIEM 技術的不斷演進，實現了日志管理和安全事件管理的整合，形成了完整

36、的安全信息與事件管理系統。SIEM 不僅能對日志數據進行實時監控和預警，還可以進行歷史數據的深入分析，以發現異常行為、潛在威脅和安全事件。同時，還引入了事件關聯分析技術，能夠發現跨越多個設備和系統的安全威脅，這使得組織進一步實現安全威脅信息“全局化”。隨著網絡安全威脅的快速演變，SIEM 系統開始引入威脅情報平臺和 SOAR 技術。通過集成外部威脅情報，3.1 I 碎片化階段3.2 I 全局化階段ISC 2023 安全運營市場洞察11SIEM 系統能夠更好地識別新型攻擊手段和高級持續性威脅（APT）。不僅如此，通過引入 SOAR 技術，SIEM 系統實現了與各類安全設備和系統之間的自動化協同，

37、提高了安全運營響應速度。這一階段的技術進一步加強了安全威脅全局化的能力?？傮w來說，SIEM 可以集成來自不同的安全設備和工具的安全事件信息，例如防火墻、入侵檢測系統、漏洞掃描器等，實現不同設備和系統之間的信息共享和協作，從而打破安全設備和系統中之間的“安全孤島”，實現“全局化”的收集和分析安全事件信息。隨著各種設備、應用和系統的普及，產生的數據量也不斷增加，數據來源和種類也越來越多樣化和復雜化，這就需要更高效、更準確、更智能的數據處理和分析技術，以提高安全防御能力。不僅如此，隨著技術的不斷發展和應用場景的不斷變化，新的安全威脅和攻擊方式不斷涌現，需要及時應對和防范。因此，在實現“全局化”的對安

38、全數據進行收集、分析、處理和展示后，為了將抽象的數據具象化，更直觀的了解當下安全態勢，安全運營發展到了“可視化”階段。這個階段的安全運營主要以態勢感知為中心，態勢感知是一種基于數據的安全防御手段，可以實現將所有數據以易于理解和直觀的形式展示，方便決策層快速了解安全態勢識別安全威脅并及時做出決策。態勢感知作為安全運營的關鍵核心組成部分，通過收集、分析和處理各種來自網絡設備和應用的日志、安全事件、威脅情報、用戶行為、資產信息的數據，以便安全運營團隊更快速、更直觀地了解網絡環境中的安全態勢和風險。通過可視化的圖形化界面，安全運營團隊可以一目了然地了解網絡中存在的安全威脅、攻擊來源和攻擊方式，以及各種

39、安全設備和系統的運行狀態和數據，為組織提供更全面、更有效的安全保障。態勢感知“可視化”能力“可視化”網絡環境中的安全威脅和風險，及時發現和處理安全事件?！翱梢暬卑踩烙胧┑挠行院吐┒?，以便對安全策略進行調整和升級?！翱梢暬卑踩{的演變趨勢和進攻方式，以便做好長期的安全規劃和防御?！翱梢暬本W絡設備和系統的運行狀態和數據，以便進行優化和改進?！翱梢暬庇脩粜袨楹唾Y產信息，以便對安全策略進行優化和完善。3.3 I 可視化階段12安全運營的發展歷程在安全運營從“全局化”階段發展到“可視化”階段后，組織開始逐步意識到安全威脅日益復雜，傳統的安全防御手段難以應對，以及組織的安全運營人員數量和能

40、力有限，無法滿足快速增長的安全需求。因此，安全運營開始轉向“智能化”階段。智能化安全運營階段是指在態勢感知的基礎上，通過人工智能、大數據、機器學習等先進技術的應用，實現安全運營的智能化和自動化，提高安全防御和應急響應能力，進一步提升網絡安全水平。不僅如此，現階段不同組織的安全運營需求不同，大多數組織都需要定制化、個性化的安全運營方案，而智能化技術能夠提供更靈活、更適應不同組織安全需求的解決方案。人工智能、大數據、云計算等新技術的不斷發展和創新為智能化安全運營的應用提供了重要的支持和推動力，隨著技術的不斷進步和創新，智能化安全運營的發展也在不斷演變。最初的智能化安全運營是由于人工智能、機器學習等

41、技術的高速發展，開始利用開始利用規則和模型來預測和自動化響應安全事件，提高組織的安全防御能力；隨著機器學習技術的不斷深入，智能化安全運營能夠自動識別和分類安全事件，提高安全運營的準確率和效率?？傮w來說，“可視化”階段的安全運營依靠態勢感知可以為組織提供及時發現和解決安全事件、增強安全防御能力、提高資源利用效率、改進安全策略等多個好處，能夠幫助組織提高網絡安全水平，確保網絡環境的穩定和安全。態勢感知提供的“可視化”主要包括以下幾個方面：實時監控：將網絡中的安全數據實時呈現在可視化的界面中，以幫助安全團隊更快速地發現和響應安全事件和威脅。通過實時監控，安全團隊可以及時采取措施，降低安全風險。安全風

42、險評估：可視化的態勢感知可以幫助安全團隊對網絡中存在的風險進行評估，通過對各種安全數據的分析和可視化展示，安全團隊可以更好地了解網絡中存在的安全風險，以便采取相應的措施進行防范和應對。預警提示：可視化的態勢感知可以通過預警提示的方式提醒安全團隊注意網絡中的安全威脅和風險。預警提示可以通過各種方式進行，例如彈出警報、發送郵件等，幫助安全團隊及時采取措施。改進安全策略：通過對網絡中各種數據的收集和分析，態勢感知可以幫助組織了解網絡環境的變化和趨勢，優化安全策略，預防安全漏洞和安全風險。數據可視化：通過各種圖表、地圖、拓撲圖等方式將安全數據進行可視化展示，這樣的展示方式可以幫助安全運營團隊更好地理解

43、網絡中的安全事件和威脅，以及安全設備和系統的狀態和數據。3.4 I 智能化階段ISC 2023 安全運營市場洞察13智能化已成為現階段安全運營發展的重點方向，其為組織帶來的價值是多方面的，具體包括以下幾個方面：總體來說，智能化階段的安全運營是現階段網絡安全領域的重點發展趨勢，它可以提高安全防御能力，降低安全風險，提高安全事件的應急響應速度和準確率，為組織提供更全面、更高效的安全保障。自動化分析安全事件：通過機器學習和大數據分析技術，實現自動化分析和處理安全事件，減少人工干預，降低人力成本，提高安全事件的處理效率和準確率；智能化防御安全威脅：通過使用智能算法，自動識別和預測安全威脅，并采取自動化

44、防御措施，提高安全防御和應急響應的速度和準確率，為企業和機構提供更好的安全保障；實時監測網絡環境：通過實時采集、分析和處理網絡中的數據，能夠快速、準確地檢測和識別安全事件，實現實時監測和應急響應，提高組織的安全運營效率和安全水平；面向未知安全威脅：通過使用機器學習和大數據分析技術，能夠面向未知潛在的安全威脅進行分析和預測，提高安全防御能力和抵御威脅的能力；智能化安全管理：通過智能算法和數據分析技術，對海量數據進行分析和處理，實現對組織的安全管理進行優化和升級，提高安全管理的效率和準確率；準確識別數據：通過機器學習、深度學習等技術來自動分析和識別數據，減少人工干預，提高數據分析和識別的準確性和速

45、度。為了更好的挖掘安全數據，深度學習技術開始大量投入使用，可以提高數據分析和識別的精度和速度，從而進一步提高安全運營的水平；最后，隨著技術的不斷發展和應用場景的擴展，智能化安全運營開始從單一的數據分析和響應逐步向多維度智能化的安全運營階段拓展，加入風險評估、漏洞管理、安全策略等多方面的內容，為組織提供更全面、更精細的安全保障。1基于規則的自動化防御階段2基于深度學習的智能化安全運營階段3多維度智能化安全運營階段4基于機器學習的智能化安全運營階段14安全運營的發展歷程04各類客戶對于安全運營的需求分析隨著網絡安全威脅的不斷加劇以及國家法律法規政策的不斷出臺，國家自上而下開始進行安全運營能力建設。

46、安全運營在保護企業和組織的關鍵業務流程、信息系統和基礎設施免受網絡攻擊、數據泄露和其他安全威脅方面發揮著關鍵作用。但各類客戶對安全運營的需求普遍存在差異，這些差異主要取決于所處行業類型、組織規模、業務性質以及法規要求?？梢詫⒖蛻舸蟾欧譃槿N類型，分別為中小企業客戶、關基行業客戶以及部委客戶，這三類客戶可以形成一個金字塔模型，其中中小企業位于金字塔的最底部，是國家經濟發展的重要組成部分，關基行業客戶是金字塔的中間力量，承載著社會正常運轉和國家經濟發展的重要作用；部委客戶屬于金字塔的頂端，肩負著保衛國家信息安全和公民敏感信息等重任。因此，從金字塔自下而上法律法規監管要求和安全需求均不斷升級，需要建

47、設不同程度的安全運營體系來滿足要求，以下是三種類型的客戶對于安全運營的需求分析。中小企業客戶關基行業客戶部委客戶安全需求監管要求中小企業在當今快速發展的數字化世界中，面臨著日益嚴峻的安全挑戰，安全運營已成為企業客戶的核心需求，因為數據泄露、網絡攻擊和其他安全威脅可能導致企業遭受巨大的經濟損失、信譽受損審視法律責任。不僅如此，中小企業也是國家經濟發展的重要組成部分，它們的安全和穩定直接關系到國家經濟和社會的穩定和可持續發展，如果中小企業面臨安全威脅和攻擊，將對其經營和發展造成嚴重的影響，從而進一步影響國家經濟的發展和穩定。因此，中小企業客戶對于安全運營的需求具體為以下幾個方面：4.1 I 中小企

48、業客戶16各類客戶對于安全運營的需求分析綜上所述，中小企業客戶需要對安全運營投入一定的資源和關注，以確保業務的持續穩定和可持續發展，建設安全運營防護體系實現降低安全風險，保護關鍵資產，并滿足監管要求。實現企業數字化轉型需求：中小企業開始逐步實施數字化轉型，通過利用云計算、物聯網、人工智能等技術提高業務效率，這些技術為企業帶來了機遇的同時也帶來了很多安全挑戰，需要企業客戶調整安全策略，確保新技術的安全性。供應鏈安全風險管理措施：中小企業客戶的供應鏈和第三方合作伙伴可能成為網絡攻擊的途徑，企業客戶需要關注與這些合作伙伴的安全合作，并建立嚴格的安全審查和管理流程。移動辦公安全風險管理：隨著移動設備的

49、普及和遠程辦公的普及，中小企業客戶需要專注移動設備和遠程辦公環境的安全問題，確保員工在任何地方都能安全地訪問企業資源。數據隱私安全風險管理：中小企業客戶需要確保其數據存儲、傳輸和處理過程的安全性，這包括保護敏感信息（如用戶數據、知識產權和財務信息）以防數據泄露，以及遵守各種數據保護法規。云技術和服務使用增多：許多中小企業客戶將其業務遷移到云端，因此需要確保云服務提供商的安全性，這包括評估云服務提供商的安全措施、合規性和數據保護政策。缺乏安全能力依賴安全廠商：中小企業普遍缺乏內部安全運營能力，因此需要外部安全廠商提供豐富安全運營服務的支持，初步形成可視化安全態勢感知能力。網絡安全專業人才緊缺：隨

50、著網絡安全領域的快速發展，安全專業人才的需求持續增加。然而，企業在招聘合規的安全專家方面面臨困難，難以招聘到滿足要求的安全專業人才，安全運營團隊面臨嚴峻的人才缺口和困境。缺乏足夠的安全人才可能導致企業無法充分應對不斷演變的安全威脅，從而增加安全風險，加大損失和對業務的影響。為了應對這一挑戰，企業客戶需要加大對安全人才的培訓和招聘力度，提高其安全團隊的專業水平。企業安全投入預算有限：盡管安全需求日益增加，但許多中小企業客戶仍然面臨安全預算限制，無法投入足夠的資源來滿足安全需求，這需要中小企業客戶在有限的預算下制定合理的安全投資策略，以最大限度地提高安全防護能力。網絡安全威脅的不斷增長：隨著網絡攻

51、擊的日益繁榮和手段的多樣化，中小企業客戶面臨著更多安全挑戰，這要求企業投入更多的資源來應對這些威脅，包括采用新的安全技術和服務，定期對員工進行安全培訓、模擬釣魚攻擊等行為，以提高員工的安全意識。法律行規和等保要求驅動：隨著國家政府對網絡安全的關注持續性加強，中小企業客戶需要遵守越來越多的法規和標準。為了滿足這些要求，企業可以需要投資于安全審計和合規性管理，以確保其安全措施可以符合相關規定。4.2 I 關基行業客戶ISC 2023 安全運營市場洞察17雖然不同關基行業客戶在建設安全運營方面的需求現狀存在差異，但是，這些客戶的安全運營需求在很大程度上都包含以下幾個方面：能源行業客戶：能源客戶需要確

52、保關鍵基礎設施的安全，他們需要監控和防御針對工業控制系統的網絡攻擊，并確保數據傳輸和通信的安全。交通行業客戶：交通行業包括公路、鐵路、航空、航天等多種運輸方式，這些運輸方式都需要保障其安全和穩定性，以確保人員和物質的安全運輸。醫療行業客戶：醫療機構需要保護患者的數據、實施嚴格的訪問控制，并確保與第三方合作伙伴的數據交換安全，他們需要遵守相關法規，并實施有效的數據備份和恢復策略。制造行業客戶：制造商需要關注工業控制系統和物聯網設備的安全，這需要保護關鍵基礎設施免受網絡攻擊、確保生產數據安全并防止知識產權泄露。制造業客戶還需要與供應鏈客戶協同，確保整個生產過程的安全。遵守行業法規和標準：關基行業客

53、戶都需要遵守適用于特點領域的法規和標準，這可能涉及周期性的安全審計和評估，以確保持續符合法規要求。加強內外安全意識培訓：關基行業客戶都需要提高員工和合作伙伴的安全培訓和意識教育，通過定期培訓和實踐來減少人為錯誤和內部風險。具有國家背景的網絡攻擊：關基行業可能會面臨具有國家背景的網絡攻擊，這些攻擊者試圖破壞關鍵基礎設施的運作，導致能源供應中斷、交通癱瘓、金融系統崩潰等重大影響。第三方合作伙伴安全管理：關基行業客戶的供應鏈和第三方合作伙伴可能成為網絡攻擊的途徑，這些客戶需要關注與這些合作伙伴的安全合作，并建立嚴格的安全審核和管理流程。關注創新技術與發展趨勢：各重點行業的客戶需要關注新興技術對安全的

54、影響，及時調整安全策略，以便在不斷變化的威脅環境中保持敏銳和應對能力。網絡安全與物理安全相結合：基礎設施行業客戶需要關注網絡安全與物理安全相結合，確保關鍵基礎設施在網絡和物理層面都能得到有效保護。保障核心業務連續性：基礎設施行業客戶的業務連續性對社會運行至關重要，因此，這些客戶需要建立有效的業務連續性和災備策略，以確保在發生安全事件或其他突發情況時，關鍵業務和數據能夠得到恢復和保護。金融行業客戶：金融機構需要保護敏感的客戶信息和交易數據，預防詐騙和網絡攻擊。金融行業客戶需要遵循更嚴格的數據保護和隱私法規，此外，他們還需要實施實時的欺詐檢測和防范系統，以及保護移動支付和在線交易安全。國家關鍵基礎

55、設施行業包括金融、能源、交通、醫療等領域，這些行業的運作和穩定性對于社會的正常運轉和經濟發展至關重要。關基行業通常運行著大量的設備和系統，并且這些設備和系統往往分布在多個地點和區域，這使得這些行業面臨著日益復雜的安全威脅和攻擊，而安全運營可以幫助關基行業客戶實現識別和評估這些威脅，并采取相應的措施進行應對。但是，不同關基行業客戶對安全運營的需求可能會因所處行業和特定業務需求而有所不同，例如：18各類客戶對于安全運營的需求分析高級別安全防護能力：部委客戶面臨來自國內外的復雜網絡威脅，需求在網絡安全防護、數據安全與隱私保護方面具備高級別的安全防護能力。關鍵基礎設施信息保護能力：政府關鍵基礎設施信息

56、保護的安全至關重要，部委客戶需要保障這些國家基礎設施的安全，以維護國家安全和社會的穩定。持續監控與應急響應：部委客戶需要建立或優化安全運營中心，實現對網絡安全威脅的實時監控、快速響應和處置。同事，建立健全應急響應機制和預案，提高應對突發安全事件的能力。滿足合規性與安全審計：部委客戶需要遵守國家和地區的安全法規和標準，確保政府部門和機構在信息安全管理、數據保護等方面的合規性。此外，還要定期進行安全審計，以評估安全措施的有效性和合規性?？绮块T協同與信息共享：部委客戶需要加強政府部門間的跨部門和信息共享，建立安全可靠的數據交換和通信渠道，以及統一的安全管理框架，共同應對安全威脅。安全員工意識培訓：政

57、府部門需要加強員工的安全意識培訓，提高政府人員在網絡安全、數據保護等方面的認識。通過定期培訓、模擬攻擊演練等方式，降低內部風險。技術創新與發展趨勢關注：部委客戶需要關注新興技術在安全領域的應用和影響，以便在不斷變化的安全威脅環境中保持敏銳和應對能力。通過跟蹤最新的技術趨勢和發展，部委客戶可以更好地了解潛在威脅，并采取相應的預防措施。供應鏈和第三方安全管理：部委客戶需要對于政府合作的供應商和服務提供商進行嚴格的安全審查和管理，確保合作過程中數據安全、系統安全等方面的安全風險可控。云計算與移動設備安全：隨著政府部門逐漸采用云計算服務和移動設備，部委客戶需要關注這些技術帶來的安全挑戰，這包括確保云服

58、務提供商的安全合規性、保護移動設備上的敏感數據以及實施遠程訪問控制等措施。構建集中安全管理平臺：部委客戶需要構建集中的安全管理平臺，整合各部門和系統的安全數據和資源，實現對整個政府網絡和信息系統的統一管理和監控。政府部門和機構通常面臨更高的安全要求，因為他們涉及處理國家安全、公民信息和其他敏感數據。針對這些需求，部委客戶需要實施更加嚴重的安全措施，如加密通信、訪問控制、數據分級保護等。此外，政府部門可能還需要與其他政府機構共享數據，因此需要確保數據交換的安全性。因此，部委客戶對于安全運營的需求現狀具體有以下幾方面：4.3 I 部委客戶ISC 2023 安全運營市場洞察1905安全運營的核心能力

59、及重點技術安全運營是網絡安全策略的一個重要組成部分，通過建設安全運營體系可以幫助組織提升積極的主動防御能力和對高級威脅的洞察力，滿足合規性要求并改善整體安全狀況，構建穩健的安全態勢?？傮w來說，安全運營包括以下五大核心安全能力：5.1.1 安全監控能力安全監控是安全運營的第一步，監控企業 IT 基礎設施中的活動和潛在的入侵點，包括部署在私有云、公有云和混合云基礎設上的數據中心、網絡、用戶設備和應用程序以及已部署應用程序的性能和運行狀態。安全監控是網絡安全風險管理的重要組成部分，使組織能夠在網絡攻擊初期檢測到它們并在它們對業務造成損害和中斷之前做出響應。安全監控通常包括內部監控和外部監控兩大部分：

60、內部監控是指監控系統的“內部”，首先需要了解可能存在的“攻擊面”有哪些，攻擊面是公司所擁有面向外部的數字資產，尤其是被遺忘的 IT 基礎設施，如舊的開發或營銷網站，可能會被攻擊者視為易受攻擊的資產。因此，監視網絡和防火墻上的入侵行為可防止安全威脅，并在“威脅”造成損壞之前做出響應。此外，監控和存儲用戶日志將有助于確保安全，安全團隊可以監控由于人為錯誤而帶來的安全威脅。外部監控這里特指暗網監控，暗網是指未在所搜索引擎中編入索引且只能通過某些專用網絡瀏覽器訪問的網站。在某些論壇上、地下團隊可以在暗網上發布或出售泄露數據。由于無法通過普通方式訪問暗網，因此很難檢測是否存在安全威脅。暗網監控通過跟蹤黑

61、客論壇、地下黑市和勒索軟件的泄漏點，以檢測有關組織的敏感信息并通知組織以防止網絡攻擊和潛在的違規行為。暗網監控可以被認為是類似于暗網上的搜索引擎，這些工具有助于查找泄露或安全運營核心能力ABECD安全監控能力取證分析能力事件響應能力攻擊面管理能力威脅情報能力5.1 I 安全運營的五大核心能力ISC 2023 安全運營市場洞察21被盜的數據，例如密碼和憑據。暗網監控將持續搜索暗網，僅使用公司名稱和域名即可發現泄露的敏感數據。當發現泄露或威脅時，預定義的警報會通知與威脅相關的成員，除了向客戶通知可能存在的威脅之外，該過程還可以幫助企業深入了解攻擊者的方法。檢測和保護信息系統免受當今先進的、持續的安

62、全威脅需要全面了解不同的信息安全孤島如何互相關聯，通過針對混合 IT 基礎設施進行安全事件監控及管理，組織可以盡快檢測到攻擊。不僅如此，他們還可以為組織提供詳細信息以重建攻擊路徑，實現對環境安全風險的分析，并提供有價值的上下文和視覺洞察幫助組織做出更快、更明智的決策來避免安全威脅。5.1.2 威脅情報能力情報是為組織提供決策支持和提升戰略優勢的信息，威脅情報是更大的安全情報戰略的一部分，它包括與保護組織免受外部和內部威脅相關的信息，以及用于收集和分析該信息的流程、策略和工具。威脅情報管理使組織能夠管理數量不斷增加的內部和外部威脅源，并通過使用一系列具有威脅情報能力的工具，例如安全信息和事件管理

63、(SIEM)、案例管理以及安全編排自動化和響應(SOAR)，以縮短平均時間檢測(MTTD)和平均修復/響應時間(MTTR)。威脅情報作為構建安全運營主動防御體系的重要組成部分，可以使組織能夠做出更快、更明智的安全決策，鼓勵在對抗網絡攻擊時采取主動而非被動的行為。其可以在整個公司內部，甚至在共同保護其內部系統的獨立業務實體之間進行協作，通過提供有關現有或新出現的資產威脅或危害的上下文分析，以防止或減輕網絡攻擊帶來的危害。隨著網絡攻擊現已成為持續且不可避免的現實，通過威脅情報以實現快速遏制和補救來減輕客戶的感知具有良好的商業意義。威脅情報通過收集、分析和處理信息安全數據來剖析攻擊者的行為、攻擊目標

64、和動機，以促進組織的網絡安全態勢從被動轉變為主動，使組織可以更好地洞察威脅形勢和了解攻擊者，實現更快地事件響應并主動領先于攻擊者的下一步行動，做出快速、數據驅動的實時安全決策，使各種形式和規模的組織受益。對于中小型企業，可以幫助他們實現原本無法達到的保護級別；另一方面，擁有大型安全團隊的企業可以通過利用外部威脅情報來降低安全成本，并提高安全專業人員的工作效率。5.1.3 攻擊面管理能力攻擊面管理是安全運營策略中一個重要且必不可少的環節，幫助組織識別、評估和減少網絡、系統和應用程序中潛在的安全威脅。攻擊面管理是一種持續性、循環性的過程，需要組織對其網絡和應用程序的安全狀況進行定期的評估和管理以及

65、不斷地更新和維護，通過實施攻擊面管理策略，組織可以更好地保護其關鍵資產，防范潛22安全運營的核心能力及重點技術在的網絡攻擊。攻擊面管理有助于識別組織內外的潛在風險點，從而有針對性地加強安全防護措施，減少被攻擊的可能性，同時通過對組織的資產進行持續的監控和評估，有助于及時發現新出現的安全漏洞和風險，提高組織對安全威脅的敏感性。不僅如此，攻擊面管理還可以幫助組織確定最重要的安全漏洞和威脅，從而有限分配資源進行修復和緩解，提高資源利用效率。更重要的是，通過減少攻擊面，組織可以更好地遵守各種法規的要求，降低因違規而帶來的風險；攻擊面管理可以實現及時識別和修復潛在漏洞，可以降低因數據泄露、系統中斷等安全

66、事故帶來的經濟損失，提高企業的競爭力，幫助企業更好地應對不斷變化的安全威脅環節，提高應對新威脅和漏洞的能力。5.1.4 事件響應能力當安全事件出現時需要立刻啟動事件響應策略，采取適當的步驟來遏制損害并防止攻擊者進一步訪問網絡，每次網絡攻擊都需要不同的補救方法才能將其從網絡中根除。首先，需要確定事件的類型、范圍和嚴重性來確定事件的優先級，其次將受影響的系統或應用程序或數據中心隔離，接下來通過安全專家、流程和策略來確定檢測到事件發生的根本原因。安全事件響應是企業可以識別、遏制和防止網絡攻擊的一組協議，制定安全事件響應計劃可使組織在面對安全威脅時更具彈性，最大限度地減少攻擊的影響，確保企業的數據資產

67、安全。有效且高效的安全事件響應是在數據丟失或業務受到無法挽回的損害之前啟動動作以遏制、根除攻擊和從攻擊中恢復的流程。同時，安全事件響應可以幫助企業減少分析、確定優先級和響應惡意軟件和釣魚事件所需要的時間，在 AI驅動的自動化支持下，它可以自發地識別和響應重復的威脅，更有效地對警報進行分類，更快地響應關鍵事件，并將企業現有的安全解決方案無縫集成到更高效、更全面的事件響應程序中。5.1.5 取證分析能力取證分析已經成為組織安全運營策略和威脅搜尋能力中的核心部分，可以幫助組織制定和加強預防性安全措施，降低整體安全風險，通過使用專門的安全軟件工具識別受影響系統上發生的安全事件并執行根本原因分析，實現在

68、威脅或故障造成額外損害之前對其做出響應，加快響應時間。取證分析提供了通過關聯先前入侵流量數據記錄中的攻擊模式來預測未來攻擊的方法。例如，當安全事件發生時，盡可能多地了解它以確?？梢酝耆到y中存在的安全威脅，識別事件的促成因素使組織能夠解決導致問題的事件鏈中的每個環節。此外，網絡犯罪通常會創建后門，使他們能夠重新獲得對受感染系統的訪問權限，即使在事件響應消除了他們存在的明顯跡象之后也是如此。許多網絡攻擊利用相同的感染媒介和漏洞來訪ISC 2023 安全運營市場洞察23問組織的系統，解決這些風險使攻擊者難以維持持久訪問或重新獲得在初始響應活動期間被刪除的訪問。除此之外，通過執行取證及根本原因分

69、析可以幫助組織識別導致數據泄露的其他外圍因素，例如，無意的內部威脅，即員工在無意中違規行為，通常會加劇事件的嚴重性，通過識別可能導致違規的疏忽行為能幫助組織及時采取措施以減輕威脅帶來的損害?？傮w來說，安全運營的五大核心能力之間存在密切的關系，它們之間互相依賴、互相支持，共同構成企業安全運營防護的完整體系，以下是安全運營的五大核心能力之間具體的關系。簡而言之，安全監控能力是安全運營實時檢測潛在威脅和異常行為的基礎，可以為其他四大核心能力提供基礎數據和信息支持；威脅情報能力與安全監控能力相輔相成，安全監控數據可以為威脅情報分析提高參考，而威脅情報能力可以提高安全監控的針對性和有效性，優化安全監控策

70、略，同時威脅情報能力也可以為事件響應和取證分析提供關鍵信息；攻擊面管理能力關注企業面臨的潛在攻擊途徑，可以與威脅情報和安全監控相結合，有助于企業更好地了解并控制風險暴露程度；事件響應能力依賴于安全監控和威脅情報的信息支持，包括基于安全監控的數據和信息來實時響應和威脅情報能力提供的外部信息支持，以更有效地應對攻擊；取證分析能力需要安全監控、威脅情報和事件響應能力的數據支持，同時，取證分析也有助于提高組織的事件響應能力。24安全運營的核心能力及重點技術隨著網絡安全領域的不斷發展，整個安全行業已經開始將安全技術能力整合，以實現用更少的工具提供更多的功能。組織需要采用各種安全工具和技術才能實現安全運營

71、策略并創建智能且積極的網絡安全態勢，其中大多數安全運營策略采用以下技術的某些組合實現。5.2.1 安全信息和事件管理（SIEM）安全信息和事件管理（Security Information and Event Management，SIEM）是 Gartner 分析師 Mark Nicolett 和 Amrit Williams 在 2005 年的報告中提出的一個術語。SIEM 通過將安全信息管理（SIM）和安全事件管理（SEM）相結合，為網絡安全威脅檢測功能奠定了基礎，提供實時事件監控和分析以及安全數據的跟蹤和日志記錄，以滿足合規性和審計需求。其中 SIM 是收集、存儲和監視事件和活動的日志

72、數據并進行分析的過程，該過程是廣泛且長期的；SEM 則是對安全事件和警報進行實時監控和分析的過程，旨在應對威脅、識別模式和響應事件。SIME 解決方案收集來自最終用戶設備、服務器、網絡基礎設施、安全設備和應用程序的事件和日志數據，并將數據聚合到一個集中式平臺中以便于訪問。然后可以將收集到的數據分類到指定的可操作的類別中，這些類別可以識別與正?；顒拥钠?。這使安全團隊更容易識別威脅并調查安全警報和事件，為組織提供整體安全視圖。同時 SIEM 解決方案可以本地部署、混合部署，并且越來越多地基于云部署，基于云的 SIEM 提供更快、更簡單的部署，通過分析遙測數據以檢測攻擊和其他標記的活動，提供洞察力

73、以快速定位和減輕業務的潛在安全威脅。SIEM 解決方案通常有 4 個組成部分：數據收集、數據分析、事件管理和告警報告。數據收集：數據收集是指從組織內部和外部的各種來源收集信息的過程，這些數據可以有多種形式，包括系統日志、應用程序日志、網絡流量和用戶活動。SIEM 從數百個組織系統總收集日志和事件。每當有事情發生時，每個設備都會生成一個事件，并將這些事件收集到一個平面日志文件或數據庫中。SIEM 可以通過四種方式收集數據：通過安全在設備上的代理收集收據；通過使用網絡協議或API調用直接連接到設備；通過直接從存儲訪問日志文件，通?？梢圆捎肧yslog格式；通過事件流協議，如SNMP、Netflow

74、或IPFIX。5.2 I 安全運營的關鍵核心技術ISC 2023 安全運營市場洞察25SIEM 解決方案可以幫助公司的安全團隊發現攻擊在整個網絡中所采用的路徑、識別被破壞的源并提供自動化工具來防止正在進行的攻擊來增強事件管理。不僅如此，還顯著縮短了識別和應對潛在網絡威脅和漏洞所需的準備時間，有助于加強組織的安全態勢，同時可以支持跨整個業務基礎設施的集中合規審計和報告，高級自動化簡化了系統日志和安全事件的收集和分析，以降低內部資源利用率，同時滿足嚴格的合規性報告標準。5.2.2 用戶和實體行為分析（UEBA）用戶和實體行為分析（User Entity Behavior Analytics，UEB

75、A）是多層集成 IT 和信息安全策略的組成部分，旨在通過使用機器學習、算法和統計分析來監控和識別網絡和端點設備上的異常流量模式、非法數據訪問和移動以及可疑或惡意活動。例如，如果網絡上的某個用戶很少向 Internet 上傳微小數據，但突然開始上傳 2GB的文件，UEBA 會判斷為異常情況及時通知安全管理人員。同時，UEBA 不僅監控人的行為，還監控設備。如果單個分支機構的服務器收到比正常情況下多出數千的請求，這表明可能會發生 DDoS 攻擊，UEBA 可以及早識別危害并采取適當的措施降低風險，避免數據泄露。網絡攻擊變得越來越復雜且難以檢測，Web 網關、防火墻、入侵檢測和預防系統以及虛擬專用網

76、絡等傳統安全解決方案無法再保護公司免受入侵。此外，社會工程和網絡釣魚也在增加，這些技術并不針對企業的硬件，而是針對其員工，誘使他們點擊鏈接、下載軟件和傳輸密碼。感染單臺機器只是潛在大規模攻擊的開始，UEBA旨在識別最微小的異?；顒?，并防止簡單的網絡釣魚活動發展成大數據泄露事件。UEBA 是現代組織網絡安全堆棧中必不可少的工具，通過使用大型數據集來模擬網絡中人類和機器的典型和非典型的行為，通過定義此類基線，它可以識別傳統防病毒軟件可能檢測不到的可疑行為、潛在威脅和攻擊。UEBA 可以識別分析各種行為模式，這意味著 UEBA 就可以檢測基于非惡意軟件的攻擊，企業能夠更輕松地確定潛在威脅是偽裝成員工

77、的外部方還是通過舒服或惡意帶來某種風險的實際員工。同時 UEBA 還使用這些模型來評估威脅級別，創建有助于指導適當響應的風險評分。UEBA 越來越多地使用機器學習來識別正常行為，并對提示內部威脅、橫向移動、受損賬戶和攻擊的風險偏差發出警報。UEBA 解決方案可以通過以下三個方面幫助組織構建強大的安全態勢：數據分析：通過審查收集的數據以尋找可能標明安全事件的模式或趨勢的過程，此步驟對于識別潛在威脅并采取適當措施減輕威脅至關重要。事件管理：通過數據分析階段確定的事件做出響應的過程，這包括遏制、根除和恢復等步驟。告警報告：這個階段涉及創建一份記錄事件并概述為解決該事件所采取的步驟的報告，此報告將來可

78、用來參考并幫助改善組織的安全狀況。26安全運營的核心能力及重點技術在實際的安全運營實踐中，SIEM 和 UEBA 都提供可以幫助企業實現其安全和業務需求的關鍵功能，但由于內部攻擊是真實的且代價高昂，UEBA 應該被視為 SIEM 的補充。SIEM 擅長合規性管理和事件監控，UEBA擅長檢測內部威脅和保護組織的數字資產。通過將 UEBA 與 SIEM 相結合，企業可以通過更高級、更復雜的分析來識別安全威脅。5.2.3 安全編排、自動化和響應（SOAR）Gartner 將安全編排、自動化和響應(Security Orchestration Automation and Response，SOAR)

79、定義為：“使組織能夠收集由安全運營團隊監控的輸入技術，SOAR 工具允許組織以數字工作流格式定義事件分析和響應程序?！焙唵蝸碚f，SOAR 是一種安全技術，可以使安全威脅數據在部署在不同環境的不同安全技術之間自動積累和流動，并啟用對安全威脅的自動響應，簡化安全運營流程。最初在 2015 年，Gartner 將威脅和漏洞管理、安全事件響應和安全運營自動化視為三個最重要的 SOAR功能。2017 年，Gartner 將 SOAR 技術的定義擴展到包括三個關鍵組件：安全編排和自動化、安全事件響應和威脅情報平臺。2022 年，Gartner 修訂了其 SOAR 安全定義，以包括將事件響應、編排和自動化以

80、及威脅情報平臺管理功能集成在單一平臺上的解決方案。根據 Gartner 的 2022 年安全編排、自動化和響應解決方案市場指南，現代企業使用 SOAR 工具來記錄和實施安全流程，支持安全事件管理，為安全團隊提供基于機器的幫助，并更好地實施威脅情報。綜上所述，SOAR 技術的三個核心能力是安全編排、安全自動化和安全響應。SOAR技術的三個核心能力1安全編排2安全自動化3安全響應安全編排：安全編排使用預構建或定制的集成和應用程序編程接口連接和組合不同的內部和外部技術，包括端點安全、用戶行為分析、防火墻、漏洞掃描器、SIEM、IPS/IDS 以及外部威脅情報源等。通過聚合和規范化來自多個來源的安全數

81、據，增強了對組織安全態勢的可見性，使安全團隊能夠快速地識別潛在的安全威脅并采取適當的措施，確保組織資產和數據的完整性和安全性。檢測特權升級：許多企業忽視了沒有特權的用戶賬戶帶來的危險，攻擊者通常以低訪問權限的賬戶為目標，并利用它們來提升權限并破壞易受攻擊的系統。UEBA 有助于檢測非法提升特權的嘗試，并及時通知安全團隊該行為。識別內部威脅：UEBA 能夠像檢測外部威脅一樣高效地識別內部威脅，并及時通知組織以避免威脅發生。建立 UEBA 基線：由于用戶和實體活動不斷變化，因此有必要定期更新基線數據，組織可以設置 UEBA系統來自動收集數據并隨著條件的變化改變基線。ISC 2023 安全運營市場洞

82、察27在實踐過程中，安全人員經常同時使用 SOAR 工具和 SIEM 工具，這兩個系統是互補的，可以協同工作以增強組織的整體安全態勢。通過將 SOAR 和 SIEM 平臺串聯起來使用，SIEM 可以識別安全威脅并生成警報，SOAR 對這些警報做出反應，對數據進行分類，并執行任何所需的補救措施，從而更有效地增強組織安全態勢。5.2.4 端點檢測和響應（EDR）面對不斷發展的威脅、缺乏經驗豐富的安全專業人員以及管理和監控不斷擴大的 IT 資產的需要，SOAR 使各種規模的企業能夠更快地識別和應對網絡攻擊?；?SOAR 的核心能力可以為企業實踐安全運營帶來了不可忽視的價值，包括：安全響應：旦識別出

83、威脅，安全響應就會為安全人員提供信息以了解所采取措施的規劃、管理、監控和報告，包括案例管理、報告和威脅情報共享等信息。減少開支：安全風險的數量和種類的不斷增給組織帶來了相當大的財政挑戰。對于每一種新型網絡攻擊，組織都必須分析和設計解決問題的機制，這需要花費大量的時間、金錢和精力。但通過使用 SOAR 大部分流程都可以實現自動化，從而為組織節省了時間和金錢。改善威脅環境：應對日益復雜的網絡安全威脅需要全面掌握攻擊者的戰術、方法和程序(TTP）以及識別危害指標（IOC）的能力。SOAR 平臺通過集成來自更多種類的工具和系統的更多數據，提供更豐富的上下文、卓越的分析和最新的威脅數據。這使安全人員能夠

84、將情況具體化，做出更具有根據的判斷，并加快問題的識別和反應時間?？焖僮R別和響應事件：SOAR 可以幫助組織減少平均檢測時間（MTTD）和平均響應時間（MTTR）以及攻擊的總停留時間，通過更快地識別危險并對其做出反應，可以減輕帶來的負面影響。簡化管理：SOAR 平臺將多個安全工具的儀表盤聚合到一個界面中，通過集中數據和信息管理幫助安全團隊實現節省時間的目的。簡化流程：自動化較低級別操作的標準化流程和劇本允許安全團隊在相同的時間內對更多的威脅做出反應。提高生產力：通過使用 SOAR 可以更有效地利用人力資源，讓員工將時間花費在更需要的部分，提高現有員工的工作效率更高，因此招聘和雇用新員工所花費的時

85、間更少。補丁管理：SOAR 協助安全團隊正確處理更新補丁，通過自動部署修復程序并監控關鍵系統，無需人工干預。組織通過將 SOAR 平臺與其配置管理系統集成，將其與其他變更管理流程進行協調。安全自動化：安全自動化是基于機器的安全操作執行，無需人工交互即可識別、分析和減輕網絡威脅。安全自動化在安全編排收集的數據和警報的推動下，分析數據并生成自動化程序以取代人工活動。SOAR 工具標準化并執行以前由分析師處理的任務，包括日志分析、漏洞掃描、審計等功能。劇本是預先確定的，預建或定制的自動活動。SOAR 劇本對于 SOAR 的成功至關重要，劇本可以是預先構建的，也可以是定制的，多個 SOAR 劇本連接在

86、一起以執行復雜的活動。例如，如果在員工的電子郵件中發現惡意統一資源定位器(URL)并在掃描過程中識別出來，則可以實施劇本來阻止電子郵件，警告員工可能被網絡釣魚，并將發件人的 IP 地址列入黑名單。28安全運營的核心能力及重點技術根據 Stratistics MRC 的 Endpoint Detection and Response-Global Market Outlook(2017-2026)，到 2026 年，端點檢測和響應（Endpoint Detection and Response，EDR）系統（本地和云端）的銷售額預計將達到 72.7 億美元，年增長率約為 26%。推動 EDR 使

87、用增長的兩個重要因素是連接到網絡的端點數量逐步增加以及蘇子和網絡攻擊日益復雜，端點已成為攻擊者眼中較為簡單的網絡滲透目標。據 Gartner 稱，EDR 系統必須具備下列四大主要功能：隨著遠程工作變得越來越普遍，良好的端點安全性是任何組織網絡安全戰略的關鍵要素。擁有高效的 EDR安全解決方案以保護組織和遠程員工免受網絡安全風險至關重要。EDR 通過監控網絡和端點事件并將數據存儲在中央數據庫中以供后續查詢、報告和分析來發揮作用。EDR 創建警報以幫助安全分析師識別、調查和解決問題。除了收集有關可疑行為的遙測數據外，EDR 技術還使用來自相關事件的額外上下文信息來增強此數據。EDR 對于縮短事件響

88、應時間以及理想情況下在威脅造成傷害之前消除威脅至關重要。EDR 通過在本地設備上安裝代理來運行，通常托管在云中，以促進數據從端點代理傳輸到中央集線器。多個代理鏈接到一個中央集線器，每個代理持續監控并從其本地設備環境收集數據。這些數據被發送到一個集中的中心進行處理和分析，通常使用人工智能(AI)和機器學習(ML)等先進技術。此過程生成統計模型，用于實時評估傳入端點數據并識別危險。EDR 工具將使用以下四個方法進行威脅檢測：事件調查：EDR 通過集中位置的端點收集和組織數據，使取證調查變得更加容易。EDR 提供了識別安全漏洞所必需的事件分析類型，并在可行的情況下防止未來相同的攻擊媒介再次被利用。沙

89、盒是調查過程中的一項關鍵技能，沙盒是在隔離的模擬環境中測試和監控文件的過程，在這個受限的模擬環境中，EDR試圖在不危及更廣泛環境安全的情況下識別文件的性質，通過這種方式，EDR 可以了解有害文件的特征和性質，通過對文件進行全面評估，EDR 可以與威脅情報團隊進行交互，并對未來的威脅做出及時響應。威脅檢測：威脅檢測是 EDR 的核心能力，使用威脅檢測發現端點上的惡意行為和異常，這超越了傳統的基于文件的惡意軟件掃描。通過連續文件分析，EDR 將能夠在惡意活動的第一個跡象中識別有害文件。除了持續的文件分析之外，EDR 識別文件的能力取決于驅動它的網絡威脅情報，通過利用大量數據、機器學習技能和復雜的文

90、件分析來識別威脅，更大的網絡威脅情報增加了 EDR 系統檢測到威脅的可能性。事件遏制：通過在源頭阻止攻擊，借助 EDR 技術遏制安全事件。在識別出惡意文件后，EDR 必須及時遏制安全威脅。事件響應：EDR 最明顯的特征是消除威脅的能力，EDR 技術包括安全事件優先級排序，旨在幫助安全團隊更快地對威脅做出反應。沙箱分析：潛在危險的文件被放置在一個稱為沙箱的安全環境中，然后運行以分析它們的行為而不會對端點造成傷害。行為分析：即使所有流量簽名都是真實的，也會對端點的可接受行為閾值進行基準測試。簽名分析：將網絡流量簽名與已知惡意軟件簽名的數據庫進行比較，以確定匹配項。匹配白名單/黑名單：將端點操作與預

91、定義的白名單和黑名單 IP 地址列表進行比較，以允許或拒絕網絡流量。ISC 2023 安全運營市場洞察29EDR 的威脅響應功能使安全分析人員能夠采取補救措施、進一步診斷問題并進行取證分析，這有助于發現類似的活動。取證功能有助于建立時間框架、識別受感染的系統，并且收集工作或探測可疑端點上的實時系統內存，再結合歷史和當前情況數據可以更全面地了解事件。5.2.5 網絡威脅檢測和響應（NDR）2020 年，隨著網絡威脅檢測和響應（Network Detection and Response，NDR）市場指南的發布，Gartner 首次將 NDR 確定為一個獨特的網絡安全類別。同時，NDR 也是 Ga

92、rtner 提出的 SOC 實現威脅可見性的三大支柱之一，另外兩個是安全信息和事件管理（SIEM）以及端點檢測和響應（EDR），NDR 提供補充其他支柱的關鍵網絡數據，幫助安全人員全面了解威脅。近年來，隨著網絡安全的快速發展，NDR 迅速成為企業必不可少的網絡安全工具。企業需要全面的網絡可見性和高級威脅預防和檢測能力，傳統的基于簽名的檢測技術（例如經典防病毒和入侵檢測系統）在檢測當代威脅方面效果不佳，而 NDR 通過采用非基于簽名的方法來識別網絡威脅和異常行為，并使用本機功能或通過與其他網絡安全工具集成來應對這些威脅，這有助于團隊響應傳統安全技術無法識別的攻擊和異常流量。SOC Visibil

93、ity TriadSIEM/UEBANetwork Detectionand ResponseEndpoint Detectionand ResponseWESTEASTNORTHSOUTHEnd-PointsCloudWebServer30安全運營的核心能力及重點技術NDR 通過不斷分析原始流量和流量記錄，以構建反映典型網絡活動的模型。當 NDR 工具識別出異常流量模式時，就會生成警報。與許多強調安全警報的日志管理和安全分析包不同，NDR 系統分析原始網絡流量記錄以識別威脅。不僅如此，NDR 還采用強大的機器學習和人工智能方法來模擬 MITRE ATT&CK 架構中記錄的對手策略、技術和程序

94、，以便精確檢測攻擊者的行為。此外，它們還將安全檢測和威脅關聯傳輸到安全信息和事件管理（SIEM）平臺中，以進行全面的安全評估。NDR 解決方案具有以下幾大優勢：在實踐過程中，NDR 解決方案通常與其他安全解決方案結合使用，作為更全面方法的一部分：提高可見性：NDR 工具監控所有流量，無論是進出網絡還是在網絡內部移動，以便團隊擁有識別和緩解安全問題所需的網絡可見性。降本增效：AI 驅動的 NDR 解決方案是自動化的，通過提供全面的攻擊重建和快速徹底地處理警報所需的信息，顯著提高安全檢測和安全運營的效率。同時，NDR 提供響應功能，可以增加人為時間響應和威脅搜尋工作或自動化操作以節省時間。此外，N

95、DR 通過在本地、云和混合環境中運行單一、強大的檢測和響應工具節省資金。提高準確性：NDR 系統提供全面的上下文來查看攻擊者執行的所有網絡活動，這可以提高攻擊檢測的準確性。他們可以看到攻擊者的策略和技術的所有方面，包括網絡偵察活動、用于橫向移動的用戶憑據、管理行為、對稀有文件共享的訪問、命令和控制站點，以及可能負責網絡事件的端點進程。通過評估各種行為變量并將當前行為與基線進行比較，可以提高檢測準確性。NDR 與 SOAR 集成：許多 NDR 集成發生在具有成熟的 SOC 的大型企業中，這些企業更愿意利用自己的劇本和工作流來做出響應?；谠频姆治觯寒斀竦木W絡檢測和響應技術都是云交付的，通過這種云

96、原生策略，團隊不再需要在本地構建新的日志服務器來收集和分析網絡數據。此外，現代 NDR 工具可以從網絡防火墻等當前網絡安全產品收集網絡日志，從而不再需要專用網絡傳感器。NDR 工具實現以低開銷提供全面的可見性和威脅檢測?？焖偻{響應：NDR 將惡意行為歸因于特定 IP 地址，并進行取證分析以確定攻擊如何在整個環境中橫向傳播。這使團隊能夠確定哪些其他設備可能受到感染，從而加快事件響應、遏制威脅并防止負面業務影響。實時分析：NDR 工具實時或接近實時地分析原始網絡遙測數據，并及時提供警報，使團隊能夠縮短事件反應時間。行為分析：NDR 工具創建常規網絡行為的基線，并通過安全團隊超出此范圍的任何異常網

97、絡流量。NDR 與 SIEM 集成：SOC 可以將 NDR 解決方案與 SIEM 無縫集成，從而在現有工作流程中實現全面可見性，同時仍然能夠根據需要轉移到 NDR 以進行更深入的分析。ISC 2023 安全運營市場洞察31值得注意的是，提到EDR和NDR就不得不提起擴展檢測和響應（Extended Detection and Response，XDR），XDR是一種更廣泛的安全范疇，包括EDR、NDR和其他安全解決方案的數據和功能。XDR的目標是實現對組織的全面安全防護，而EDR和NDR分別關注終端設備和網絡層面的安全威脅。XDR通過整合EDR和NDR的數據和功能，可以提供一個統一的安全管理平

98、臺，提供一個更全面的威脅情景視圖，這使得安全團隊能夠更好地理解和應對組織面臨的威脅，提高安全防御的效率和效果。不僅如此，XDR的自動化和協同能力可以加強EDR和NDR的檢測和響應能力，例如，當XDR檢測到一種跨終端和網絡的復雜攻擊時，它可以自動觸發相應的EDR和NDR功能，對潛在的威脅進行更深入的分析和應對。同時，XDR的關聯分析功能可以幫助安全團隊發現EDR和NDR單獨無法識別的潛在威脅，通過分析來自EDR和NDR和其他數據源的數據，XDR可以提高更全面的威脅情報，有助于發現潛在的安全盲點，實現預防和應對先進的APT等復雜攻擊?？偠灾?，XDR是一種集成式的安全解決方案，將EDR、NDR和其

99、他安全技術結合在一起，以提供更全面、協同和高效的安全防護，實現對組織內外各種安全威脅的全方位監控和應對，持續優化組織的安全防護策略，更好地應對不斷演變的網絡攻擊手段。32安全運營的核心能力及重點技術06企業如何擁有安全運營能力由于網絡攻擊的性質和范圍隨著時間的推移而不斷變化發展，導致組織面臨越來越嚴峻的網絡安全形勢。為了擁有更強大的安全態勢以保障業務的正常運行，組織需要選擇更適合自身規模和現狀的安全運營解決方案。因此，組織除了可以選擇以公司戰略為中心成立安全運營中心（Security Operation Center，SOC）之外，還可以選擇兩種最常見的安全運營服務模式，包括托管式安全服務（M

100、anaged Security Service，MSS）和托管式檢測與響應服務（Managed Detection and Response，MDR）。企業基于合規和等保做基礎安全體系化建設，同時依靠安全運營中心（Security Operation Center，SOC）構建預防、檢測、發現、響應等可視化的安全運營體系，并輔以紅藍對抗等主動攻擊性防御措施，實現持續提升企業的安全能力。SOC 作為發現、調查和響應網絡威脅的安全團隊的指揮基地，可以收集涵蓋組織安全基礎設施的遙測數據，實現對網絡、端點、操作系統、服務器、數據庫和應用程序的持續主動監控。簡單來說，SOC是當今企業整體網絡安全運營戰略

101、中不可或缺的一部分，由三個缺一不可的關鍵領域組成：安全人員、技術和流程。構建 SOC 就好像組裝三腳架，每條腿都必須獨立而堅固，同時也需要依靠其他兩條腿的支撐才能保持穩定直立。同理，構建強大的 SOC 也一樣，從設計安全運營中心架構開始就需要緊緊圍繞三個關鍵領域展開，每個領域都需要有獨立的戰略和管理要求。SOC 最常見的模型可以分為以下 3 類，組織可以根據實際的需求和預算采用合適的模型。大多數安全運營策略采用以下技術的某些組合實現。內部 SOC：內部 SOC 是指企業自行建立和管理的安全運營中心，組織負責招聘安全專家，購買和維護安全設備和工具，實時監控和響應企業的安全事件。內部 SOC 可以

102、完全控制和定制企業的安全策略和流程，但需要企業承擔更多的人力和物力成本。安全運營中心模型內部SOC混合SOC托管SOC內部 SOC 通常適用于大型組織和對安全要求較高的行業（如金融、政府等）。內部 SOC 可以更好地了解組織的業務和安全需求，提供定制化的安全服務。然而，建立和維護內部 SOC 需要投入大量資源，包括人員、設備和時間。6.1 I 企業如何構建合適的安全運營中心34企業如何擁有安全運營能力SOC 的目標是全面了解企業的威脅態勢，獲得組織所有資源的完整可見性。這不僅包括各種類型的端點、服務器和本地軟件，還包括第三方服務和這些資產之間的流量。SOC 還應全面了解現有的所有網絡安全工具以

103、及 SOC 中使用的所有工作流，這提高了 SOC 的敏捷性和工作效率?；旌?SOC：混合 SOC 是指組織自行建立部分安全運營能力，并與外部托管安全服務提供商合作，共同應對網絡安全威脅?；旌?SOC 兼具內部 SOC 和托管 SOC 的優點。組織可以利用內部安全團隊的專業知識和對業務的了解，同時借助外部服務提供商的資源和技術來彌補安全能力的不足?；旌?SOC 適用于中小型企業，或者那些希望在保持一定控制權的前提下，擴展安全能力的組織。但由于安全技能、專業知識和人員配備的短缺以及限制預算成本的原因，在某些情況也適用于大型組織選擇性的外包一些安全服務。托管 SOC：托管 SOC 是指預算不足和安全

104、專業知識有限的組織將安全需求完全外包的模型，企業可以將安全監控和響應的任務委托給托管 SOC 服務提供商，以節省成本和減輕內部安全團隊的工作負擔。托管 SOC通常會提供完整的安全運營服務，包括實時監控、事件響應、威脅狩獵等功能?？傮w來說，內部 SOC、混合 SOC 和托管 SOC 在組織結構、資源投入和服務模式上存在一定的差異。組織需要根據自身的安全需求、資源狀況和風險承受能力，選擇適合自己的模型，以確保能夠有效地保護企業的信息和資產。SOC 可以幫組織實現主動監控和管理其威脅態勢，組織無論使用哪種模型的 SOC 都可以通過其強大的功能實現網絡安全運營閉環管理，保護業務信息免受網絡攻擊的持續威

105、脅。SOC 的功能可以按照預防、檢測和保護三個階段來劃分：托管 SOC 適用于大多數預算有限且缺乏足夠的網絡安全資源建立內部 SOC 的中小型企業以及合規驅動但無安全基礎的中小企業。托管 SOC 可以幫助客戶節省成本和資源，快速提升安全防護能力。然而，托管 SOC 可能無法完全滿足客戶的特定需求和業務場景，且客戶需要承擔一定的外包風險。預防階段包括盤點資源 I 預防性維護盤點資源ISC 2023 安全運營市場洞察35在 SOC 安全工具的幫助下，安全團隊專家執行持續的網絡掃描并試圖發現任何異?；顒?。通過持續的主動監控，組織可以降低風險并保證其頻繁的活動沒有任何影響。檢測階段包括主動監測 I 警

106、報排序和管理 I 威脅響應 I 日志管理 I 根本原因分析主動監測在事件發生后，SOC 將努力恢復系統并恢復任何丟失或受損的數據。這可能包括擦除和重啟端點、重新配保護階段包括恢復補救 I 分析完善 I 合規管理恢復補救SOC 檢查監控平臺生成的每個警報，它根據過去記錄的威脅模式進行排名，以優先考慮威脅響應。然后，將處理過的警報通知專業人員以繼續采取補救措施。因此，錯誤和重復的警報從網絡中被丟棄，并為所需的警報提供快速解決方案。警報排序和管理一旦攻擊得到確定，安全專家就會執行關閉或隔離端點、終止有害進程、刪除文件等操作，同時根據攻擊類型采取不同的補救措施，實現在對業務連續性的影響盡可能小的同時做

107、出有效響應。威脅響應SOC 保留每個網絡活動和通信的日志，以便快速識別威脅。通過這種方式，它構建了一個巨大的威脅數據庫，供組織在未來的威脅防御中使用。日志管理在事件發生后，SOC 負責查明究竟發生了什么、何時發生、如何發生以及為什么發生。在此次排查中，SOC通過日志數據等信息對問題進行溯源，有助于防止類似問題再次發生。根本原因分析通過仔細衡量安全態勢，SOC 實施高度可行的預防性維護策略，以幫助組織免于致命威脅。預防措施是一種戰略程序，涉及幫助團隊成員了解最新的安全創新、網絡犯罪的最新趨勢以及即將出現的新威脅的發展情況。這項工作可以幫助組織制定安全線路圖，為組織未來的網絡安全工作提供方向，并制

108、定事件恢復計劃。不僅如此，還需要定期維護和更新現有系統、更新防火墻策略、修補漏洞以及白名單、黑名單和保護應用程序。預防性維護36企業如何擁有安全運營能力安全運營最主要的特點是對專業度的要求，包括對安全攻擊的防御以及分析等技術的積累，安全威脅新動態的跟蹤以及擁有高端安全人才隊伍等。以上各方面對當前的用戶側來說，實現比較困難，并且實現的性價比不高，而網絡安全公司天然具備以上各方面的優勢，可以通過傳統的產品化形式，以及安全咨詢、安全服務或托管/混合安全運營中心等多種形式實現安全運營能力的傳輸，幫助用戶實現整體安全運營。6.2.1 托管式安全服務網絡安全是個高度專業化的領域，很少有組織具備了解組織的全

109、部需求和當前威脅形勢所需要的人才。因此，在內部專業人員和知識有限的情況下促使許多組織開始選擇托管式安全服務（Managed Security Service，MSS）。根據 Marketsand Markets 的報告，全球托管安全服務（MSS）市場規模預計將從 2020 年的316 億美元增長到 2025 年的 464 億美元，預測期內的復合年增長率(CAGR)為 8.0%。托管安全服務提供商（MSSP）是提供安全系統和設備外包監控和管理以及安全服務的第三方公司。MSSP為企業提供了一種高效且具有成本效益的方式，以確?？绮煌木W絡和設備處理其安全性和合規性需求。近年來，隨著市場競爭日益激烈和

110、愈發嚴重的網絡攻擊增加了組織對網絡安全服務的需求，越來越多的企業開始選擇 MSSP 來增加安全性。MSSP 除了提供 7X24X365 全天候安全監控與報警之外還提供網絡安全監控和管理服務，包括安全信息和事件管理、托管防火墻、入侵檢測和防御、虛擬專用網、漏洞掃描、設備管理等。同時，隨著越來越多的員工實現為了防止事件再次發生，SOC 使用從事件中獲得的任何新情報來更好地解決漏洞、更新流程和策略、選擇新的網絡安全工具或修改事件響應計劃。置系統，或者在勒索軟件攻擊的情況下，部署可行的備份以規避勒索軟件。如果成功，此步驟將使網絡恢復到事件發生前的狀態。分析完善SOC 可以監控所有應用程序、系統以及安全

111、工具和流程是否符合業務標準或法規的要求，幫助組織保護敏感數據以及免受因違規行為導致的聲譽受損和法律追責。合規管理6.2 I 兩種常見的安全運營服務ISC 2023 安全運營市場洞察37MSSP 可以幫助組織遵守安全合規性法規，并管理組織的安全基礎設施，選擇合適的 MSSP 合作可以為組織帶來一系列的價值：完全托管：完全托管的模式非常適合尚未擁有安全設備也沒有深入的基礎架構的組織或者是預算有限不想單獨購買網絡安全設備的小型企業，MSSP 可以提供集成工具以及 24X7X365 全天候監控和管理組織，保障企業 IT 基礎設施穩定運行。共同管理：共同管理模式適合已經擁有安全設備或擁有重要基礎設施的組

112、織，MSSP 既能利用組織現有的安全工具提供 24X7X365 的管理和監控，并將工具配置為最佳設置。這有助于減輕組織維護和操作基礎架構的耗時任務，并且即使在非業務時間段也能為組織提供持續的安全監控。獲得專業安全知識：網絡安全形勢復雜且不斷發展，在組織內部雇傭足夠數量且經驗豐富的安全專家仍然是許多公司面臨的重大挑戰之一。通過與合適的 MSSP 合作可以幫助組織獲得保持安全所需要的專業安全人員和技能。持續數據安全保護：一旦組織的安全監控功能失效，那么組織的數據就會在網絡上“裸奔”。因此，MSSP提供持續監控組織的系統，檢測、警報和響應隨時可能出現的攻擊，為組織提供持續性的數據安全保護。增強安全成

113、熟度：創建有效的安全態勢需要足夠的時間和經驗，但許多中小型企業往往不具備這些能力。通過與成熟的 MSSP 合作可以幫助組織快速建立一套成熟的解決方案，打造網絡安全第一道防線。實現安全工具管理：隨著安全需求的增加，許多組織通過投資越來越多的安全工具以滿足安全需求。但當多種安全工具同時運行警報時，往往會帶來一定的負擔。MSSP 通過將這些工具整合到一個平臺中，實現對安全工具進行集中管理，提高效率。滿足合規性要求：MSSP 幫助組織減輕合規負擔，通過實施安全控制以滿足監管要求以及收集數據和生成審計合規報告。MSSP 大多數適用于小型企業，但大型企業也與第三方 MSSP 合作提供某些安全服務。例如，當

114、開發人員發布安全補丁時，快速更新固件和軟件非常重要。MSSP 將快速更新軟件和固件，以確保企業不會受到已知安全問題的影響。6.2.2 托管檢測與響應近年來，隨著網絡攻擊手段的不斷升級，各種規模的組織均意識到需要采取主動的網絡安全方法，托管檢測與響應（Managed Detection and Response，MDR）作為一種新興的網絡安全運營服務迅速普及。根據IndustryARC 的報告稱，到 2025 年托管檢測和響應（MDR）市場預計將達到 22 億美元，在 2020 到 2025 年的預測期內復合年增長率為 16.7%。Gartner 在托管檢測和市場指南中將 MDR 描述為“MDR

115、 服務提供遠程交付的現代安全運營中心功能，專遠程辦公，企業業務將基礎架構遷移到云端，MSSP 通過實施安全控制、用戶管理、備份、配置和云遷移的其他必要支持來保護云環境?，F階段 MSSP 主要可以提供兩種服務模式：完全托管和共同管理。38企業如何擁有安全運營能力主動威脅搜尋：威脅搜尋可以實現及早識別潛在威脅并采取措施緩解威脅，幫助組織改善整體安全態勢。此外，威脅搜尋還可以通過減少對被動安全措施的需求來幫助組織節省時間和金錢。注于快速檢測、調查和主動緩解事件?！盡DR 可為客戶提供 24/7 連續實時網絡威脅監控以及專業的事件響應，傳統的安全解決方案側重于識別和阻止已知威脅，而 MDR 提供商采取

116、主動的安全方法，使用高級分析和機器學習來識別和響應跨本地和云網絡、端點和身份的已知和未知威脅。MDR 提供商通過使用高級威脅檢測技術查明威脅并分析整個環境中的活動，然后威脅情報將原始數據轉化為上下文信息，以顯示早期檢測并確定警報的優先級，最后對警報進行分類處理，對事件根本原因進行全面評估。通過使用 MDR 服務，組織可以將檢測時間從平均 280 天縮短到短短幾分鐘，從而大大降低事件的影響。然而，縮短檢測時間并不是 MDR 服務的唯一優勢，強大的 MDR 服務還具有以下 4 大優勢：MDR 可為各種規模和行業的組織帶來重大的好處，大型企業可以利用 MDR 服務的專業知識和最新安全網絡流量分析：網

117、絡流量分析涉及監控和分析網絡流量以尋找惡意活動的跡象，可以幫助組織盡早識別潛在威脅并采取措施緩解這些威脅。此外，網絡流量分析還可以通過深入了解攻擊者的行為來幫助組織改善整體安全狀況。高級威脅檢測：高級威脅檢測涉及使用高級工具和技術來檢測、調查和響應威脅，可以通過提供 24/7 全天候監控和有關潛在威脅的可操作情報來幫助組織改善其整體安全狀況。此外，高級威脅檢測還可以通過減少對內部安全人員的需求來幫助組織節省時間和金錢。威脅情報預警：威脅情報預警可以提供更深入的數據關聯和威脅調查功能的多信號網絡威脅情報，使組織能夠詳細了解攻擊面。MDR服務特點03040102主動威脅搜尋網絡流量分析威脅情報預警

118、高級威脅檢測ISC 2023 安全運營市場洞察39技術來增強現有的安全運營能力；對于安全能力不太成熟或有限的中小型企業可以利用 MDR 服務以簡單且經濟高效的方式獲得完整的威脅檢測和響應能力，并滿足法律法規和標準的安全基線要求。6.2.3 企業如何選擇更合適的安全運營服務？組織在選擇安全運營服務時，重要是要考慮組織內部擁有的工具和資源以及所希望解決的主要安全挑戰，以確保所選服務滿足其特定的需求和預算。雖然 MSS 和 MDR 都可以為組織提供安全運營服務，但它們在服務范圍、側重點和方法上有所不同。以下是 MSS 和 MDR 之間的主要區別：MSS：MSS 通常提供一系列安全服務，包括安全設備管

119、理、安全監控、日志管理、漏洞掃描和合規報告等。MSSP 通過遠程管理和監控客戶的安全設備和系統，幫助客戶維護其安全基礎設施。MDR：MDR 主要關注對潛在安全威脅的檢測、分析和響應。MDR 提供商使用先進的安全技術（如 EDR、網絡流量分析等）來發現異常行為、威脅情報和攻擊指標，并為客戶提供快速的響應建議和支持。服務范圍MSS：MSS 通常關注于安全運營服務的廣度，幫助組織完成日常的安全運營和維護任務，如設備管理、配置更新和報告等。MSSP 幫助客戶緩解資源壓力，但可能不具備深入分析和應對復雜威脅的能力。MDR：MDR 更注重安全運營服務的深度，主要是對潛在安全威脅的進行深入調查，實現對威脅的

120、主動發現和快速響應，為組織提供抵御高級威脅的彈性以及對威脅的洞察力。MDR 提供商通常擁有高度專業化的安全團隊和先進的分析工具，可以有效地識別和應對復雜的網絡攻擊和 APT。服務側重點MSS：MSS 通?；陬A定義的服務級別協議（SLA）和固定的操作流程來提供服務，這種方法可以確?；镜陌踩枨蟮玫綕M足，但可能不足以應對不斷變化的威脅環境。MDR：MDR 采用更為靈活和主動的方法，根據客戶的實際需求和威脅情況來調整服務策略，以提供更高度的定制化服務，MDR 提供商通常會與客戶建立緊密的合作關系，共同應對安全挑戰?？傮w來說，MSS 更注重基本的安全運營和維護任務，而 MDR 更關注對潛在威脅的主

121、動發現和快速響應，組織可以根據實際的需求和資源選擇更適合自己的安全運營服務。不僅如此，目前 MSS 與 MDR 安全服務提供商已呈現融合趨勢，兩者結合可以為組織帶來高效的安全防御效果。未來隨著網絡安全領域不斷發展，市場需求的不斷升級，這種趨勢將進一步加深，越來越多的組織將采取這種模式來提高安全態勢。服務模式40企業如何擁有安全運營能力07企業安全運營的落地實踐隨著企業數字化轉型的深入，信息安全問題已經成為了企業面臨的重要挑戰。盡管許多企業都在安全防護方面投入了大量資料，但由于缺乏系統性的安全運營體系和實踐經驗，依然無法有效應對日益復雜的網絡威脅。因此，研究企業安全運營的落地實踐，對于提高企業安

122、全防護能力具有重要意義。企業安全運營的優秀落地實踐案例可以為其他企業提供借鑒和啟示，通過分析成功案例中的策略、方法和流程，企業可以吸取經驗教訓，完善自身的安全運營體系，從而更好地應對日益嚴峻的網絡安全挑戰?；诖?，ISC 收錄了不同場景下的安全運營落地實踐案例，為廣大企業用戶提供可行的安全防護路徑及參考。關鍵挑戰：統一監管技術架構實現挑戰：技術架構上需要考慮監管側需求、企業安全現狀，數據傳輸安全性等多個需求。因此需要針對每個企業基于構建自己的安全運營體系，并將多個企業整體匯聚到一個平臺上進行集中化運營，能夠高效的的安全運營服務。告警風暴降噪挑戰：告警風暴是安全運營效率低下的元兇，剔除誤報，高精

123、準度降噪是高效運營的前提，需要從借助高性能的大數據平臺，將多元異構的數據進行集中化治理，借助 XDR、威脅情報能力進行告警降噪，將運營人員的精力放到真正的攻擊上。高級威脅威脅挑戰：“看不見”APT，導致誰進來了不知道、是敵是友不知道、干了什么不知道，因此企業的核心資產和數據受到極大的威脅。應對高級威脅需要結合終端側、網絡側、以及 APT 組織的技戰術、威脅情報等知識進行溯源分析。案例提供方：360 數字安全集團案例背景：該項目是 360 數字安全集團攜手天津市濱海高新區共同打造天津信創安全基地，通過對基地基礎設施的運營為信創體系內的產品及企業提供全方位安全保障，將天津市打造成為信創安全保障的國

124、家級“標桿”。目前國內信創產品尚處于由能用向好用的階段發展，各地主要是以解決信創產品的適配需求，缺乏信創安全層面的頂層規劃和整體設計，天津市信創安全基地的建立填補了國內空白。通過推動信創標準建設，打造信創安全發展地區標桿，實現信創安全能力閉環，助力信創產業向更健康模式發展，為信創工程提供安全保障服務。信創安全基地將提供全方位的信創安全服務，降低信創用戶和落戶“中國信創谷”的信創企業前期安全成本投入，保障信創企業更好的專注于信創技術的研發和創新，為信創產業的持續發展提供助力。主要痛點：信創基地主管政府單位對于信創產業整體安全狀況缺乏了解，缺乏統一監管；缺乏長效的安全保障機制，信創產業生態面臨日益

125、嚴峻的網絡安全風險，影響信創產業的健康發展；各信創企業安全運營水平不一，安全防護能力受限；自上而下普遍缺乏專業的安全運營人員支撐安全事件的分析、響應和處置；為變量并將當前行為與基線進行比較，可以提高檢測準確性。7.1 I 天津信創安全產業集群服務項目42企業安全運營的落地實踐創新性與優勢：兩級平臺運營方案：為每個企業基于自身安全建設現狀，量身定制了個性化的安全運營平臺，在客戶數據不出網的情況下，基于新創基地安全大腦基于 XDR 技術框架為用戶提供持續監測、深度調查、快速響應的 MDR 服務：監測：安全專家基于城市 XDR 平臺的能力輸出，提供持續的（24x7）的關鍵警報監控和事件關聯分析，并對

126、其做響應優先級排序，優先處理高危威脅，快速發現快速響應。調查：安全專家通過溯源分析，構建攻擊的全貌。幫助城市托管用戶在追蹤威脅時理清攻擊鏈，了解攻擊者與其使用的攻擊技術，分析影響面，選擇正確的應對措施和加固方案。響應：安全專家通過主動通知城市托管用戶或主動調用 XDR 產品的響應處置功能，及時處置威脅，阻止攻擊進一步擴散。并下發安全情報、策略，以防未來的攻擊。幫助客戶及時處理，降低影響。高效處置威脅挑戰：不同安全設備非標準化技術和數據，人員技術水平差異等導致威脅事件處置效率低下，需要基于安全漏洞、安全事件上從響應和處置時間維度、運營成本維度、運營效果維度建立安全運營指標體系，并能夠通過工單系統

127、對指標體系進行量化。解決方案：打造信創基地安全大腦，提供安全運營中心和安全服務平臺，以 360 終端、流量、測繪、大數據等數字安全能力為抓手，基于 XDR 架構向城市企業提供基于“看見”為核心的一站式城市安全運營平臺，通過信創客戶打造的集態勢感知、指揮控制、通報預警、信息共享、應急響應為一體的安全運營體系，構建“摸清家底、感知風險、看見威脅、處置攻擊、提升能力”5 大安全能力，形成面向數字安全復雜威脅的完整應對能力。ISC 2023 安全運營市場洞察43MDR 通道實現了集中化遠程托管運營服務模式。全局協同的運營體系：基地安全服務平臺總覽全部企業的安全態勢，通過共享策略庫、分析場景庫、事件處置

128、知識庫、資產漏洞庫和威脅情報庫，提升了各信創企業的安全防御和檢測能力，并基于協同處置中心的告警通知，實現企業的安全威脅及時有效處。XDR 檢測技術的應用：通過匯聚資產指紋、終端行為、網絡流量等數據，基于 XDR 分析平臺匯聚 360 云端威脅情報、漏洞情報數據，在安全事件分析上構建場景化分析模型、聚合攻擊鏈實現告警降噪，并基于 SOAR 技術聯動終端、邊界類設備實現封禁操作，提升了安全運營效率，降低了安全人員投入成本。應用效果：目前基地通過托管運營和聯合運營模式服務重點企業近 30 家，累計服務次數超過 4000 次輸出報告 877份，防護資產數累計近 24000 個，修復漏洞 2067 個；

129、排查勒索挖礦、木馬蠕蟲等攻擊告警 7500 萬余次，處置安全事件 79000 余條；通過對基地基礎設施的持續運營，該項目可為天津市信創產業發展提供三大核心價值。第一，有效降低信創企業在信創安全檢測、安全監測以及安全應急響應服務方面的投入。其次，為信創產品研發工作提供安全能力加成和服務保障，使其更專注于創新技術和產品性能研發。最后，以“信創+安全服務”模式打造天津信創產業安全新業態，吸引國內信創產業鏈的企業落戶中國信創谷。經驗總結：數據安全防護能力不足，抗攻擊能力弱，代碼安全無法保障，需要建立數據安全態勢感知，將數據安全防護的安全設備接入到數據安全態勢感知中，為降低企業的存儲、硬件投入成本，需要

130、將數據安全態勢感知整合到本地安全大腦（安全運營平臺）進行集中化運營，切實保障好客戶的核心資產、數據的安全。部分企業未建立體系化網絡安全管理制度，需要進一步從安全管理機構、系統建設管理、安全人員管理、系統運維管理四個層面，全面梳理現有安全管理制度并對制度規范滯后和不明晰的部分，給予修訂完善，對組織安全工作提供明確指導，保障企業安全建設工作有序落地執行。安全體系缺乏有效的手段進行安全度量，在面臨近 30 家企業，依靠人工巡檢運維方式提升安全防護設備的能力，相對服務成本較高。因此，后續將借助 BAS（抗攻擊能力檢測）對服務企業，進行定期巡檢，通過對 APT、勒索，對邊界類、終端類、網絡類、郵件類安全

131、防護產品進行評估，并基于評估報告進行設備的防護和檢測能力進行優化提升。44企業安全運營的落地實踐案例提供方：鵬信科技案例背景：客戶基本情況：某大型能源企業主要從事電源建設、電力熱力生產、石油煤炭天然氣開發貿易流通、能源科技、能源服務和能源金融等業務，是省內能源產業發展的主抓手、能源合作的主平臺、能源供應的主渠道、能源安全保障的主力軍、環境保護的主戰場和能源科技創新的主引擎；集團公司重視信息化及網絡安全建設，每年投入數億元，取得了一系列科技創新和數字產業化成果。痛點分析：客戶統一規劃建設了集團、板塊、所屬企業多級互聯互通的廣域網，部署了態勢感知平臺、信息資產安全管理系統、網絡安全數據中臺、防火墻

132、、防病毒系統、入侵防御設備、WEB 應用防火墻、上網行為管理等防護設備。集團內外網分離，外網邊界部署了防火墻、WEB 應用防火墻、VPN、IPS、上網行為管理等設備，內網部署了堡壘機、防火墻、防病毒軟件、準入控制、審計系統等安全產品。各板塊公司主要作為網絡鏈路匯聚層將所屬各單位網絡匯聚接入集團廣域網，有單獨的外網出口，部署防火墻、IPS、IDS 等網絡安全設備。板塊所屬企業建有較為獨立的網絡環境，通過板塊匯聚與集團廣域網互聯，按照“安全分區、網絡專用、橫向隔離、縱向認證”總體要求，落實網絡安全防護措施，強化邊界防護和訪問控制，單獨部署外網鏈路?？蛻魝让媾R的痛點主要包括以下幾個方面：痛點 1：安

133、全防護設備聯動效能不足當前存在安全工具孤立建設、安全能力難以復用、安全運營聯動不足、能力難以服務化輸出等問題，整體安全工作缺乏自動化、智能化、可視化，整體安全運營體系建設面臨巨大挑戰。痛點 2：網絡邊界防護壓力與日俱增隨著工業互聯網發展進程加快，IT 與 OT 網絡融合加速，互聯互通需求日益增多，安全邊界日益模糊，網絡邊界防護壓力與日俱增。另一方面，隨著數字化轉型的不斷深入，信息系統的資產數量、技術架構、應用場景等方面發生了巨大的變化，傳統以策略和產品防護的理念已無法適應業務云化動態防護要求痛點 3：集團安全運營缺乏聯防聯控集團下屬單位眾多，安全資產每年都成倍增長，包括業務系統，基礎設備，物聯

134、網設備，重要數據，人員，安全域等，安全崗位人員不足、人員的專業性等問題制約了安全工作集中化開展，安全運營缺乏多級架構聯防聯控機制。7.2 I 鵬信科技網絡安全能力綜合管理平臺建設項目ISC 2023 安全運營市場洞察45用戶需求分析：用戶近年高度重視企業數字化轉型，產業升級加速，在 IT/OT 逐步融合的過程中積極開展工控領域網絡安全綜合防御研究，通過安全能力管控平臺建設，納管現有安全工具及系統，實現安全能力集中管控與調度，助力企業安全建設降本增效，并建立網絡安全常態化運營流程，提升集團、板塊、廠區安全協同防護效率，打造集團級縱深防御網絡安全體系，積極應對網絡安全新形勢下的新變化、新威脅、新挑

135、戰，需求概述如下：納管現有安全能力，通過能力接入、能力拉通、能力編排實現安全服務化輸出，面向集團及下屬單位實現網絡安全脆弱性集中檢測、安全策略集中分析、安全要求集中下發、安全能力集中調度、安全威脅集中通報、安全事件集中處置、安全風險集中可視，提升集團安全集中化運營水平。建設安全能力駕駛艙，采集現網基線合規、漏洞、弱口令等風險類數據，入侵攻擊、DDOS 攻擊、WEB 應用攻擊、病毒木馬等威脅數據，防火墻策略、安全處置等防護類數據，將獲取到的威脅數據、脆弱性數據與資產數據進行關聯分析，形成網絡安全決策依據，全局掌握網絡安全風險及運行情況，為安全工作提供決策支撐。支持集團、板塊、廠區三級架構聯動處置

136、，通過對總部應急設備集中控制、統一管控，并對策略指令進行原子化拼裝，實現應急操作自適應，在護網重保期間進行快速的一鍵處置，提升集團與廠區協同防護與應急響應能力。關鍵挑戰：安全運營最大的挑戰是如何將人、流程、工具進行有效結合，安全流程涉及到安全部門、業務部門、運維部門，因此各部門的安全職責及工作流程的梳理是安全運營平臺與技術手段發揮作用的前提，現有的運營平臺需要契合客戶日常工作并融入到生產環節。安全設備標準化能力接入是安全能力管控平臺實施過程中的難點，需要協調安全廠商提供安全能力接口，同時屏蔽異構廠商安全能力，實現安全能力解耦，上層應用無需關注底層安全設備，由調度層實現異構安全能力的編排與調度。

137、安全運營自動化是重點也是難點，客戶的安全告警每天有近 20 萬條，如何將告警通過自動化分析研判后輸出人工或者機器可自動處理的安全事件，是安全運營過程中面臨的挑戰和風險。解決方案：安全綜合能力管控平臺采用集團集中部署，用戶分權分域模式建設，依托能力底座實現集團側安全工具集中納管、安全能力分類調用，以 IPDRR 模型為指引構建安全能力中心，為集團及下屬單位安全運營人員提供安全服務。建設安全合規中心、安全監測中心、安全防護中心、應急響應中心，形成集團、板塊、廠區三級聯動應急響46企業安全運營的落地實踐安全數據中臺數據采集數據清洗數據泛化數據檢索數據存儲數據共享數據處理特征建模算法庫算法訓練模型評估

138、關聯分析規則引擎數據分析安全對象管理安全防護中心安全合規中心應急響應中心安全資產中心安全通報中心安全駕駛艙個人工作臺安全可視化數據采集數據處理數據分析CMDB基線配置核查平臺基礎安全防護工具云安全服務平臺5G安全內網系統SCADA可信計算系統安全態勢感知系統APT安全檢測系統安全邊界管理系統安全應急指揮系統網絡安全綜合能力管控中心能力接入集團管理員集團運維人員第三方人員板塊管理員板塊運維人員下屬單位管理員脆弱性數據威脅數據情報數據安全事件日志數據配置數據堡壘機工單系統消息通知統一權限工單轉派消息通知資源權限登錄通道安全工具安全系統IT設備數據同步安全統一門戶堡壘機防火墻漏洞掃描器應急指揮系統堡

139、壘機安全工具層防火墻WAF系統漏掃安全邊界防護邊界防護系統應急指揮系統能力管控層安全服務層(JD-DC）（HCY-DC）（CXDC）安全能力網關鑒權認證路由轉發協議轉換日志記錄請求管理數據處理單元數據采集數據泛化數據存儲集團管理員用戶角色板塊管理員集團運維人員板塊運維人員第三方廠商下屬單位人員安全設備運維使用場景安全日常管理安全能力運營安全應急保障漏洞掃描服務目錄基線掃描弱口令掃描威脅監控應急響應策略核查應急響應中心安全駕駛艙系統安全管理安全對象管理安全合規中心安全防護中心安全監測中心CMDB資產數據統一認證平臺信息運維管理平臺統一消息通知平臺數據中臺外部系統層資產同步實時更新安全數據獲取安全

140、數據上報統一賬號認證告警上報工單派發消息通知基線核查系統策略核查任務下發應急演練任務下發配置核查任務下發漏洞掃描任務下發策略核查任務下發應急演練任務下發配置核查任務下發漏洞掃描任務下發能力服務化輸出合規能力調用防護能力調用監測能力調用應急能力調用安全數據提取策略核查任務下發處置指令下發應急指揮系統基線核查系統邊界防護系統指令通道指令通道應機制，在滿足安全監管要求的同時，具備網絡安全中臺能力，為集團安全建設降本增效，解決安全設備分散建設，安全運營缺乏協同等問題。在技術方案設計上充分考慮風險識別、安全檢測、安全防護、安全響應、安全恢復5 個階段能力的管控，通過 API 等接口實現對接，總體框架圖如

141、下所示：系統架構設計：平臺系統架構設計主要分為四部分，包括安全工具層、能力管控層、安全服務層、外部系統層。應急指揮、基線核查、安全邊界作為工具能力接入安全能力管控系統，分別部署至集團總部兩個數據中心。在技術方案設計上充分考慮風險識別、安全檢測、安全防護、安全響應、安全恢復 5 個階段能力的管控，通過 API 接口實現基線配置核查系統、安全邊界防護系統、安全應急指揮系統、漏洞掃描、防火墻、堡壘機等安全能力接入，面向集團、板塊、下屬單位提供安全服務統一入口，與現有安全數據中臺實現數據同步及共享，實現安全駕駛艙功能。并通過接口與集團信息運維管理平臺、統一消息系統、統一認證系統等外部系統對接，在滿足安

142、全監管要求的同時，具備網絡安全中臺能力。ISC 2023 安全運營市場洞察47創新性與優勢：我司安全能力管控平臺是支撐客戶開展日常安全運營工作的重要技術手段，同時也是滿足合規及考核要求的重要支撐系統。我司方案在安全能力標準化納管、安全原子能力編排、安全響應自動化、AI 智能分析與研判具備創新及優勢。創新點 1：基于異構策略庫模型實現安全應急響應智能編排在構建安全綜合能力管控平臺過程中引入 playbook 原子化設計理念，將事件捕捉、特征識別、策略封堵、策略恢復、策略驗證等腳本封裝成原子能力并進行智能編排，三層異構模型，可支持基于特征規則的策略識別，也可支持基于行為模型（閾值、基線）的策略加載

143、，同步引入大數據算法完成安全事件處置規則的自學習能力，進而提高策略庫的準確性和完整性。目前已積累處置類、掃描類、查詢類、通知類等原子動作近 800 余項，基于數據驅動的安全響應具備近 100 余個。創新點 2：基于場景化 AI 算法實現安全風險智能研判預警基于傳統的樣本特征比對和正則匹配的檢測方式面臨極大的挑戰，攻擊者一旦繞過或直接使用非特征庫中的攻擊載荷，傳統的檢測防護模式將不再生效。通過引入基于 AI 的輕量級數據處理及分析框架，對安全數據進行采集、預處理、富化，并采用神經網絡、NLP、KNN、SVN 等模型進行訓練和分析，生成的結果匹配威脅情報后輸出安全事件，根據置信度選擇不同的處置流程

144、，可有效提升安全事件的智能分析與自動化處置水平。例如在網頁篡改告警研判方向引入包含特征識別、語義分析、惡意圖片、惡意文本識別、告警時長歸并等八大特征識別因子，結合神經網絡算法實現告警降噪率 99.9%以上。本期項目總體架構分為四層，自下而上分別為安全工具層、能力管控層、安全服務層、外部系統層。安全工具層：安全工具層主要是指分布在兩個數據中心以及下屬企業的安全設備與系統，安全工具包括本期新建及存量設備。能力管控層：能力管控層主要包括安全能力網關、數據處理單元、安全能力中心，以及能力管控所需的安全對象管理及系統安全管理。依托數據處理單元抽取工具任務運行數據及數據中臺威脅數據構建安全駕駛艙。安全能力

145、網關實現工具接口接入，同時北向創建 API 接口供能力中心調用。安全服務層：安全服務層基于安全能力中心能力，形成面向集團及下屬單位安全管理員、安全運維人員提供漏洞掃描、基線合規掃描、弱口令掃描、應急處置、防護策略審計、安全威脅監測等服務，可在安全設備運維、安全能力運營、安全日常管理、安全應急保障等場景下發揮作用。外部系統層：外部系統層是指安全管控平臺需要對接的第三方平臺，主要包括 CMDB、數據中臺、統一認證平臺、信息運維管理平臺、統一消息通知平臺。48企業安全運營的落地實踐 創新點 3：通過建立平戰結合安全駕駛艙支撐安全管理決策為全方位掌握集團網絡安全運行狀況，理解安全能力運行數據背后規律，

146、挖掘安全數據蘊含的風險信息，進而快速發現潛在的網絡威脅，通過建立安全能力指標體系，建立日常模式、巡查模式、護網模式等場景下的安全駕駛艙，多維度分析數據聯系，反映網絡運行及安全狀態，支持多維安全數據聯動交互，將安全風險形象、直觀地呈現給安全管理人員，為安全提供決策。創新點 4：依托微服務安全網關技術實現安全能力解耦集成基于微服務能力網關技術，通過接口技術標準化，能力輸出標準化、流程標準化，實現平臺側安全能力解耦與集成，依托編排引擎實現能力的的拉通與智能調度，實現安全能力增強互補，同時建立能力評估體系，在提高安全工具接入的同時，便于對安全采購部門能力選型提供依據，目前產品已完成 30 余類安全設備

147、的接入。應用效果：平臺自 2022 年上線以來，已累計為客戶提供護網支撐服務 1 次，應急演練 10 次，處置安全事件近 4000余次，平均處置時長 30 秒，處置成功率 100%；安全設備接入 30 余類，基線、弱口令、策略審計、處置等安全能力使用總計近 10000 余次；每日告警數量 15W，通過告警降噪后待處理事件 120 余個，自動化響應率達 80%以上。有效提升客戶安全運營效率，減少人力投入，實現降本增效，人力效率提升約 30%，節省人力成本約 200萬；后續通過項目推廣，預期可獲得更高的經濟效益，獲得客戶高度認可。依托安全事件工作臺，實現安全事件閉環高效管理：通過建設安全事件工作臺

148、，以安全事件的發現、上報、分析、通報、處置的安全事件應急響應流程為導向，引入安全編排與自動化響應技術，將日常及重保期間的線下工作流程全面轉到線上，實現安全事件的自動化響應；上線運營后，日均響應安全事件 100 余條，平臺完整記錄了安全事件的接收過程、處理過程、處置責任人、處置時間等信息，自動化響應率達到 80%，實現安全事件閉環高效管理。依托安全研判知識庫，大幅提升安全事件處理效率：安全專家可針對上報的安全事件，通過溯源取證、威脅情報、IP 資產歸屬查詢等輔助手段，評估該安全事件的威脅情況，給出處置方案進行處置。同時，安全綜合能力管控平臺通過沉淀集團一線專家研判規則形成分級分析算法，提供自動化

149、研判手段，給出研判結果，輔助專家進行研判決策，對日常及護網期間產生的安全事件進行快速的分級分類處理，在大批量的安全事件中輔助分析團隊進行快速研判與精準決策，提升響應效率與研判質量，平臺上線運行后，人力效率提升約 30%，每次重保期間節省人力成本約 200 萬。依托極速封堵模式，大幅提升安全應急處置能力：ISC 2023 安全運營市場洞察49在集團側建立的統一封堵能力，兼容異構邊界防護設備，針對深信服、天融信、綠盟等異構防火墻設備進行策略管控，單日可完成 10 萬以上 IP 的封堵操作，滿足演練和突發安全事件時攻擊 IP 的快速封堵。通過重保期間的極速處置模式，大幅度提升應急處置效率，封堵速度提

150、升 10 倍以上。依托多級聯動機制，實現集團一點監控，全局防御：面向集團下屬單位，通過安全綜合能力管控平臺可實現封堵指令集中下發，實現“一點發現、全局封堵”，大大提升重大活動保障期間的應急處置效率，通過多級聯動機制為重保防護提供堅實保障，優化管控流程，減輕運維壓力。依托平臺提供的安全能力及自動化服務，2022 年在國家級護網演習中人員數量大幅減少，通過全局防御能力防守隊員無失分，圍繞平臺總結的技戰法被公安部收錄推薦，獲得主管部門認可。提升企業安全基線，大幅減少工業企業安全合規問題：項目運行后，集團及下屬企業積極開展安全基線、弱口令、漏洞等常態化風險檢查，并能在入網及運行環節及時發現基線合規、弱

151、口令、漏洞等安全風險，通過整改，目前高危漏洞和弱口令已清零，基線配置合規率達到90%以上，集團側在例行安全檢查過程發現的安全風險大幅減低，有效提升企業安全基線。安全工具集中納管，沉淀安全能力實現行業內外賦能：平臺通過納管集團本部安全設備，可實現安全工具的集中化運維，同時基于IPDRR模型形成安全能力中心，為集團本部及下屬工業企業提供開箱即用的安全能力與服務，包含安全資產管理、安全風險檢測、安全合規檢測、安全應急響應、安全策略審計、安全事件通報等，后續平臺安全能力及建設模式可復制推廣至其他行業，實現行業賦能，預期推廣 50 家企業，形成經濟效益近億元。經驗總結：項目建設過程中，平臺要發揮效能，首

152、先需要梳理安全運營流程，因涉及到安全部門、業務部門、運維部門等，需要做好提前做好安全運營流程設計。在技術方面，安全告警誤報是痛點也是難點，可引入 AI 研判、安全編排與自動化響應等技術，提升自動化響應水平。在安全設備管理方面，需進一步推動安全能力標準化，實現異構安全設備接入與能力解耦。在安全應用推廣過程中，需要建立常態化運營考核機制，推動板塊及下屬單位主動使用安全能力，提升下屬企業運營水平。50企業安全運營的落地實踐案例提供方：漠坦尼案例背景：從國際形勢看，國家級的網絡安全對抗愈發激烈，以俄烏沖突為代表的、針對關鍵性基礎設施的定向攻擊不斷發生，西北工業大學遭受美國國家安全局網絡攻擊就是發生在我

153、們身邊的典型案例；同時結合電力公司歷年保障工作攻擊情況的分析，網絡黑客逢會必擾、逢喜必鬧的特征比較明顯，歷年的攻擊數據一直是只增不減，重大保障任務難度急劇提高。同時網絡安全屬于新興產業，業界的整體規劃體系仍不健全，缺乏體系化的規劃設計，網絡攻擊形勢日趨復雜且具有針對性，電力公司面臨的安全威脅在持續變化。目前，網絡安全在電力行業落地實施的網絡安全工作指南尚未明確，處于“頭痛醫頭、腳痛醫腳”的狀態，缺乏一體化的網絡安全運營體系、標準及平臺，網絡安全總體運營水平提升難以得到突破。關鍵挑戰：態勢感知能力有待提升：物理設備數字化水平較弱，無法直觀展示公司整體網絡架構以及接入設備的實時變更，設備的靜態和動

154、態屬性數據實時監測難以落實到位；各類安全設備廠家接口規范、字段與數據規范、設計語言不一，難以規范化，設備與設備之間割裂感極強，難以一體化納管。管理機制落地尚需加強：網絡安全管理流程和機制正在逐步建立健全中，目前缺乏統一管控平臺進行系統的建設、運行和維護。各單位網絡安全資源整合難，無法實現跨部門聯動；業務流程環節難以進行閉環管控，流轉步驟不清晰，職責不明確，影響全省網絡安全綜合能力的提升。安全威脅應對不夠及時：開展的監測預警、應急響應、技術分析等工作主要采用人工的方式，各廠商的安全設備數據相互獨立，每個角色需要同時面向多個設備界面處理信息，存在響應不及時的問題；安全事件獨立分散，無法有效的反映真

155、實的網絡威脅；威脅監測場景間來回的切換模式，無法滿足網絡安全對抗日趨頻繁的現實需求?？傮w協同指揮亟待完善：網絡安全設備和系統自動化程度在不斷提高，但設備、系統因不同廠家的原因，相互之間缺乏有效的信息交互，使得電力公司內部多個自動化模塊是割裂的、局部的、孤立的，不能構成一個實時的有機統一平臺，信息數據7.3 I 國網某電力安全運營項目ISC 2023 安全運營市場洞察51孤島化嚴重，降低了協同聯動效率，無法實現統一的指揮決策。解決方案：針對能源行業典型客戶業務需求，我司通過定制化安全運營平臺建設，幫助客戶打通現有的安全設備數據孤島，貼合業務流開展運營策略改進，實現安全能力和安全大數據的全網協同調

156、度，幫助客戶實現全網聯防聯控目標。同時運用低代碼+AI 技術賦能安全運營，量身打造集聚合分析、風險預警、威脅驗證、協同響應、智能優化為一體的智慧安全運營平臺。網絡資產統一納管，通過將千余臺網絡設備、安全設備的數據日志接入到安全運營平臺，實現網絡安全設備接入覆蓋率 100%，針對互聯網對外開放的系統制定專屬監控面板，對互聯網出口安全威脅實現統一監控、統一分析、統一處置，業務監控覆蓋率 100%，安全事件自動化處置率 30%。安全工作單一入口實現，通過實現網絡資產的統一納管，實現所有安全設備數據在安全運營平臺上進行日志查詢的功能，結合客戶現場值班工作需求，完成值班工作臺的定制開發和應用，實現全場景

157、網絡工作的單一入口；監控展示效果提升，平臺實現各網絡大區內數據的實時監控，實現業務系統的定制化監控面板繪制，完成了拓撲下鉆和鏈路狀態實時監控，實現分區域設備狀態與告警展現。典型場景應急處置推廣應用，通過平臺逐步推廣安全自動化編排劇本的應用場景，優化客戶公司涉及的典型場景處置流程和動作，沉淀應急處置經驗，以自動化手段取代重復性的人力工作。資產缺陷治理機制的健全完善，以網絡空間測繪技術為基礎，基于客戶現場實際情況做好技術應用和實用化，通過資產探測發現內部網絡未備案資產和端口漏洞，實時更新網絡資產的最新情況，建立資產臺賬保鮮機制。安全運營配置集約管理，通過對客戶公司已有的“安全運維”功能的二次開發和

158、集成，實現安全運維統一入口、統一管理、策略歸集等成效，同時提升客戶公司全部門的安全設備納管能力。52企業安全運營的落地實踐創新性與優勢：采用低代碼高效構建工作界面：通過低代碼方式組合所需模塊與內容，快速構建針對性工作界面，避免反復切換安全設備頁面，來回尋找數據，實現安全監控、分析、處置一個界面解決，提升一線工作效率。采用流程引擎適配客戶業務：采用流程引擎完成內外部網絡安全事件的風險閉環，有效提高多級部門的有機聯動，高度適配客戶業務流程。應用 AI 技術對安全運營工作賦能：提取安全設備告警的惡意載荷，基于 AI 技術進行智能分析，快速研判惡意行為，實現惡意威脅快速準確處置。采集多源異構日志，實現

159、日志精細標準化：支持多源異構安全設備日志接入，通過智能化的對采集的日志數據進行清洗、過濾和挖掘，最終呈現網絡安全威脅告警事件的有效聚合，降低告警誤報率、重報率，提升網絡安全工作監控、分析、處置效率。采用 ATT&CK 矩陣、SOAR 技術，提升運營效率：將全量告警的攻擊策略與攻擊技術映射于 ATT&CK 矩陣，將其中的高級威脅與 SOAR 技術相結合，實現自動化阻斷高危攻擊，同時提供客戶相應的威脅產生原理及對應措施。應用效果：安全數字資產全接入，實現“一屏盡覽”。利用圖數模一體化技術，實現防護范圍內網絡安全設備的全面納管，涵蓋網絡、主機、終端、應用等安全態勢數據，打通“網絡末梢”。目前平臺累計

160、接入網絡安全、主機安全、終端安全、應用安全多類安全設備，實現全環節安全設備 100%接入。安全保障全鏈條協同，達到“一網共享”?？v深強化“省、地”三級聯動，橫向推進跨專業協同，健全客戶公司各部門之間的威脅情報互通共享機制，滿足快速化、扁平化指揮調度要求。目前所有省地聯動流程（預警、通告、任務協同）實現 100%線上化。安全防護全場景響應，完成“一瞬響應”。依托海量網絡安全處置經驗，融合威脅情報與脆弱性分析，沉淀形成知識庫和應急處置腳本，從攻擊者視角提供防護處置建議，利用自動化編排響應技術，實現安全事件自動響應。目前平臺上自動化腳本針對特定場景實現了自動運行處置，處置時間減少了 93%。經驗總結

161、：安全指揮全方位統籌。實行“一令調度”。匯聚融合設備安全、數據安全、邊界安全、信息系統安全等多維度防護措施，迅速定位告警區域及事件范圍，可在最短時間實現對應防護措施的及時調度，實現網絡安全的可觀測、ISC 2023 安全運營市場洞察53可描述、可處置。通過平臺完成告警聚合，事件關聯，實現安全運營中的用戶可見安全事件數量為接入日志數量的萬分之一，大幅提升了監控的覆蓋面和監控效率?？蛻粼u價：“電力公司擁有海量資產及數據，在網絡安全日常運營工作中存在非常多的運營難點，杭州漠坦尼科技有限公司的運營平臺能夠把這么多的資產、數據統一高速高效的處理，解決了我司最為困擾的數據孤島現狀，同時真正落實了省、地工作

162、協同聯動，我們非常期待未來長期的合作效果！”經濟效益：通過本項目的開展，持續為客戶提供高效可靠的網絡安全運營功能，減少客戶在流量分析、自動化編排、事件告警聚合等方面的持續性技術類成本投入，預計節約 20 萬/年；通過自動化與半自動化功能的實現，減少客戶每年一線工作人員的人天投入，預計節約 30 萬/年。優化方向：將來基于本地 AI 引擎對客戶數據進行訓練學習，提升 AI 引擎對客戶行業安全運營分析的擬合度，實現智能生成針對性解決措施。同時，擴大市面主流安全廠家的產品適配面，打通網絡、端點、數據、運維等多點局限，真正實現一個平臺，輕松運維，高效運營。54企業安全運營的落地實踐案例提供方：眾智維科

163、技案例背景：隨著網絡安全威脅日益突出，某頭部金融企業面臨前所未有的安全挑戰?？蛻舭踩\營工作涉及的點多面廣，支持團隊及人員位置分散，安全事件處置與協同作戰困難，急需一套統一網絡安全協作平臺，將線下工作線上化，協同工具統一化，重復工作流程化，安全經驗知識化。徹底解決客戶安全事件的處置與響應閉環管理，提升處置效率，加強團隊成員協作效率，積極采取應急措施和應對策略，解決網絡系統運營中存在的問題。眾智維科技結合客戶業務特征與安全場景的需求，構建了新一代網絡安全作戰協同平臺，幫助客戶快速應對各類安全問題，提升安全運營效率。關鍵挑戰：人員問題挑戰：實現“安全運營”在人員方面面臨著一些困難主要有人員短缺、技

164、能短缺、知識短缺。在安全領域，客戶長期面臨的困難是，缺乏訓練有素、經驗豐富的人員。而隨著技術變革，企業轉移到新的運營模式、新的基礎技術架構或引入云原生應用程序架構加劇了這一問題。當客戶無法聘請人員填補高級安全技能方面的空白時，只能讓現有人員去填補?，F有人員加緊學習，但并非沒有問題。例如，如果 SOC 團隊無法熟練地使用監測和管理工具來有效地干預威脅，則可能會導致響應變慢和響應失敗。當現有人員努力設法找到正確功能去診斷事件然后進行干預，這會導致響應很慢。而員工錯過工具所提供的指示或缺少阻止攻擊所需的干預措施，則將導致響應失敗。知識短缺與技能短缺密切相關。即使是那些精通所有系統管理工具的人，如果對

165、所保護的系統環境知之甚少，他們也會失敗。對環境了解太少會導致無法識別問題本身，或者增加對不存在的問題做出不適當響應的機會。SOC 團隊將收到更多的誤報和漏報，并浪費時間處理這些問題。最終，員工將無法對實際攻擊做出反應。流程問題挑戰：在流程方面(其中包括預算)，實現“安全運營”主要面臨的兩個主要問題：流程延遲，預算分配錯誤。流程延遲有兩個方面：系統和人員。系統流程延遲方面是指，安全運營流程的發展速度不足以應對安全運營監視的系統環境中的變化。人員方面的問題是，環境和流程的發展都快于人們對其的理解。這就是說，流程滯后于環境，而人員滯后于流程。7.4 I 某頭部金融企業網絡安全協同作戰平臺ISC 20

166、23 安全運營市場洞察55安全運營流程并不是全面行動框架。員工很少時間花在臨時修復新流程，從而導致對問題的響應緩慢而又不完整。而且，由于很多臨時流程最終都必須被丟棄，沒有被理解，因此造成工作人員和時間的雙重浪費。對于預算，在實施中發現，在部分安全系統中，客戶暫未將安全預算作為此系統風險的基礎。取而代之的是，將安全性支出確定為 IT 總支出的部分百分比，或與某些同行基準掛鉤。而那些根據風險進行預算的企業(事故概率與造成的損害程度的交集)，在確保企業安全方面更為成功，因為他們專注于緩解具有最大損害可能性的威脅，而不僅僅是很可能造成損害的威脅。技術問題挑戰：技術給實現安全運營挑戰，主要三個問題包括：

167、缺乏適當的工具，分析和篩查不足，缺乏自動化和集成。缺乏適當的監視和管理工具通常是因為所監視的系統環境快速變化導致。系統從數據中心遷移到云環境可能也需要新的安全工具。在容器中開發和部署的應用程序需要保護，但是安全運營可能沒有任何工具可以使他們看到這些系統，也沒有辦法可干預該環境。對于安全運營工作流程，分析和篩查是必要的工具，但這二者通常不足。在安全運營中，比較嚴重的的破壞性問題是，其中的工作人員經常要面對大量令人誤解的誤報安全警報，而員工是 IT 中最稀缺的資源。那些能夠更好地識別誤報、清除重復項并在整個系統中關聯警報以幫助進行威脅檢測的工具，對于限制警報疲勞以及創建和維護可持續的安全運營操作至

168、關重要。同樣，安全運營中的人員轉移到跨系統的集成點(也稱為轉椅集成)會引起人為錯誤。通過將員工鎖定在重復任務，實例化對安全事件的標準響應工作流程，增加了員工的疲勞和倦怠，并將事件響應速度限制在一定范圍內：員工感知時間加上員工理解時間加上員工響應時間。自動化和集成對于避免這些問題至關重要。在今天的網絡安全建設中，安全運營團隊無疑發揮著非常重要的作用。盡管他們并不負責研發安全工具，也不直接決定企業的網絡安全戰略，但他們始終站在網絡安全防護的第一線：部署防護工具、監控系統運行狀態，并在威脅發生時進行應急響應。為了做好網絡安全運營工作，企業安全運營團隊必須充分了解現有的工作流程中存在的問題和不足，不斷

169、提升安全運營的效率。以下總結了企業網絡安全運營中常見的 5 種風險，并提供了應對風險的優化建議。解決方案：眾智維科技將該企業現有安全能力、安全設備通過SOAR對第三方設備/系統接口對接能力進行深度整合，建立統一網絡安全智能化、自動化協作平臺，平臺以 SOAR 自動化編排為核心，將某頭部金融企業網絡安全應急響應、運維運營責任化、規范化、協同化及流程化，建立實戰化的安全運營體系。平臺有效的將網絡安全運營人員56企業安全運營的落地實踐技能、經驗與先進的安全技術相適配，將常見安全事件處置場景抽象為固定處置流程，實現實時聯動安全設備，自動化安全事件處置與響應，通過高效的協同響應全面提升該客戶的安全運營效

170、率。平臺極大的降低安全事件處置時間（MTTR），告警從萬量級收斂至百十量級，降低了安全運維人員的工作量，解決了客戶安全運營團隊效率不高、安全專家日常工作繁重且重復，安全運營流程復雜低效、企業信息資產因事件處置速度慢遭到潛在威脅的情況等問題。系統總體架構如下圖所示：創新性與優勢：方案以技術先進、功能完備、面向實戰化安全運營的 SOAR 技術為核心，充分發揮 SOAR 的編排、自動化、安全響應三大核心能力，運用 SOAR 對第三方設備/系統接口對接能力、劇本編排能力以及任務管理能力，幫助企業將繁雜低效的安全響應過程通過預定義的劇本形成標準化流程，將分散的安全工具與功能轉化為可編程的應用和動作，借助

171、編排和自動化技術，對不同類型的安全事件實現自動化響應，將團隊、工具和流程的高度協同起來。將企業的安全運營流程數字化管理，有效提高安全事件響應效率。借助本方案，可重點解決企業在安全運營中響應人員匱乏、安全事件響應不及時、重復性運營工作多、安全設備之間缺乏協同且聯動性差等導致安全運營人員工作壓力大、運營效率低下的問題。整體解決方案具有以下創新優勢：整合資源、協同連接：RedOps 智能安全協同運營解決方案能夠將分散的工具、人員和流程有機地整合到一起，整合安全運營所需的各種資源，實現人與工具、工具與工具的連接與協作。借助劇本、應用、動作等編排元素，系統能夠將終端、主ISC 2023 安全運營市場洞察

172、57機、網絡設備、安全設備、安全系統、協作軟件，以及云端應用等各類資源整合到一起，能夠協助運營人員實現基于編排的自動化和半自動化的告警分診與調查、事件追蹤與調查、安全事件響應與威脅阻斷，以及其它日常安全運營工作。當前的 SIEM、SOC 安管平臺、態勢感知等系統基本采用以數據為中心的集成架構，將各種安全能力的數據匯集融合到一起，實現了安全分析水平和感知水平的飛躍，極大改善了安全數據碎片化的問題。但這種以數據為中心的集成架構卻依然無法消弭安全運營工作中面臨的人、工具和流程之間的碎片化問題。系統采用以流程為中心的架構，強調人如何借助編排和自動化將各種安全資源高效利用起來，幫助企業和組織解決安全運營

173、的最后一公里落地問題，體現了實戰化安全運營的理念。將這兩種架構相結合已經成為了未來 SOC 發展的關鍵趨勢。自動運營、減負增效：借助方案的編排與自動化功能，可以將安全操作流程或其片段轉變成編排化的安全劇本，并盡可能自動化的執行，從而大幅降低安全運營人員，尤其是一線安全運營人員的工作負擔，減輕他們的工作壓力，提升工作效率，在現有人員條件下執行更多的任務。增強告警、快速分診：處理告警信息是安全運營的一項重要工作。借助方案的告警管理功能，安全運營人員能夠更便捷地對告警信息進行增強，自動化的執行告警調查操作，協助他們更快速地進行告警分診，從而提升單位時間內處理告警的數量和質量。借助系統的事件管理功能，

174、安全運營人員還能對持續對一系列相關告警進行深入調查與追蹤。平臺能夠在不改變告警分診過程的情況下，將部分處理流程編排化、自動化，縮短整個過程的耗時，讓人更多地進行決策，而不是信息的獲取和工具的來回切換?？焖夙憫?、及時補救：對于安全運營人員而言，如果定位到了問題原因，確定了行動方案，那么就希望盡快實施到位，避免造成損失或者損失擴大。RedOps 智能安全協同運營解決方案通過編排與自動化功能，能夠切實幫助安全運營人員快速進行響應處置，降低平均響應時長。安全運營人員可以將處置不同威脅的行動方案寫成應對措施和劇本，納入事件與劇本庫統一管理。威脅觸發后，在有人參與或者無人參與的情況下，盡可能自動地執行相關

175、應對措施和劇本，譬如執行防火墻阻斷操作、執行賬號禁用操作、終止某個進程，等等，大大縮短手動執行預案所耗費的時間。事后還能對處置過程進行復盤，對應對措施和劇本進行改進，積累相關經驗。58企業安全運營的落地實踐 動態對抗、持續優化：安全運營的很大一部分工作都是在進行安全對抗，而對抗的過程是在不斷動態變化的。系統具備很強的可塑性和可擴展性，安全運營人員能夠根據實戰情況動態調整和組合流程和劇本。系統能夠自動記錄所有對抗過程的操作記錄，便于事后總結歸納，持續優化。提升人效、高效度量：借助本方案，可以幫助安全運營從繁重的低端重復性勞動中解脫出來，通過編排與自動化技術手段提升人的運營水平和績效，將人的工作中

176、心轉移到高端創造性工作中去，提升人的技能水平。借助本系統，還能將有經驗的安全運營人員的知識進行固化、沉淀、分享，并不斷優化。同時，借助本系統，可以實現安全運營效果的自動化、數字化度量，讓安全管理者更客觀、快速地掌握安全運營團隊的績效，以及安全運營的實際效果。應用效果：實際應用效果：提升網絡安全整體協同防御能力：RedOps 紅鯨安全協同響應平臺將某頭部金融企業的安全運營中心運營人員、安全設備及安全運營流程融合成一個整體，統一調度與處理，真正實現了人與人之間、人與工具之間的高效協同與響應，將安全事件的發現、分析、處置轉變為全自動處置模式，使安全運營從半自動半人工方式順利過渡到智能運營階段。降低安

177、全事件處置時間 MTTR：RedOps 紅鯨安全協同響應平臺每日收到不同安全設備超過 925000 條，將不同解析格式的告警進行字段歸并、聚類分析后推送近 2000 條真實存在的告警，安全告警壓制比高達 99.7%，近 2000 條真實的告警經過ATT&CK 攻擊鏈分析后接近 60 條案例，按照不同的案例事件處置場景進入自動化響應流程，可調用內置的 30多種通用自動化劇本及人工智能分析進行處置。與傳統的手動處置相比，自動化響應與處置，MTTR 時間小于等于5717秒，通常在1個半小時之內處置各種安全事件的閉環，而對于IP階梯式封禁處理、設備安全可用性排查、設備連通性巡檢、查找 IP 信譽等場景

178、則可以在 0.002 秒內完成響應完成事件的處置閉環，能夠極大縮短響應時間，同時與 AI 機器人進行提問式的處理也提高了研判準確性及安全運營人員技能缺乏問題，提升了運維團隊的效率超過 320%，避免了企業的信息資產因事件處置速度慢而遭到潛在的威脅。ISC 2023 安全運營市場洞察59 解放安全運維人員：威脅與攻擊自動分析、研判與處置，將安全專家從繁重且重復的的日常安全運營工作中解放出來，實現對已知威脅與攻擊自動分析、研判與處置，將原來超過 150 名安全專家從繁重且重復的的日常安全運營工作中解放出來，只需要 1517 個安全運營專家將精力聚焦在更有價值的 APT 分析、漏洞挖掘與安全威脅建模

179、上，為企業安全運營建設創造更高的價值。提供安全運營決策支撐：通過 RedOps 對該企業的整個安全運營流程數字化管理與流程化監控，能夠極大協助安全管理人員對安全運營人員進行 KPI 評估和績效考核，管理者可以有效的評估現有的安全運營流程的有效性、合理分配團隊及成員的工作時間和工作量，為企業的降本增效提供技術支持與保障。60企業安全運營的落地實踐客戶評價：眾智維科技是本單位長期的核心的合作伙伴，眾智維科技多年的技術積累和方案經驗在為本單位提供安全運營解決方案時，展現出了卓越的表現和貢獻，眾智維科技在安全運營方面的協同支持能力，以及對本單位整體安全運營流程執行效率的顯著提升方面，創造了重要的價值，

180、他們誠摯和專業的服務態度以及始終如一的追求創新和卓越的精神，在 AISecOps 領域跑出了網安加速度。經濟效益：使用網絡安全協同作戰平臺，能有力促進金融企業的安全事件信息交流與共享，規范企業應對安全事件的流程與處置方法，降低人員成本的同時可以規避黑客攻擊、病毒勒索、數據泄漏事件的發生，從而降低因發生安全事件帶來的大額經濟損失。在使用 RedOps 平臺過程中，該客戶安全防護能力全面提升，日均抵御上萬次攻擊且累計挖掘發現漏洞 20 萬+，以平均一個超危漏洞損失 100 萬元、平均一個高危漏洞損失 50 萬解決方案時，展現出了卓越元、平均一個低危漏洞損失 5 萬元計算，可為企業規避約近 10 億

181、元的巨額損失。網絡安全協同作戰平臺的實施、應用，可以規范某頭部金融企業的各項安全流程，提高工作效率，減少以往工作中不規范的流程，以及效率低的缺點。眾智維科技已經與該企業運維人員共同形成了一套完善的應急響應及安全運維流程，將人員從繁雜、簡單的數據輸入、傳送、管理、檢索等工作中解脫出來，通過智能化、編排化、自動化的手段，降低了安全運營工作強度，提高了安全運營工作效率和安全事件管理決策能力。網絡安全協同作戰平臺幫助該企業在重保前進行安全自檢并建立應急響應流程，重保期間實時風險預警、快速響應處置，并建立 7*24 小時安全專家團隊對安全風險進行監測預警、分析研判，以保障該企業業務系統安全的同時在重保期

182、間節約 70%人力成本。經驗總結：遇見的問題：API 接口打通比較花費時間，因為作為安全運營中樞的存在，需對接大量設備；調研客戶處置的工作流并且繪制劇本；協調客戶及第三方人員，將 RD 嵌入日常安全運營流程中使用；實施中發現不同數據源的告警接入字段非標準化，平臺識別比較繁瑣。后面 RD 平臺通過整合，形成了針對不同設備及語義的一套告警映射規則?？蓛灮矫妫涸黾?CIC 和 ATD 檢測系統接入日志ISC 2023 安全運營市場洞察61增加每日安全態勢和安全報告生成功能優化建議:實時增加 1day 漏洞檢測劇本和工作流建議了解其他駐場廠商負責工作，加入工作流轉換成應急處置流程建議作戰室進行條件區

183、分，折疊功能建議在演練模板管理中內置常用重保模板62企業安全運營的落地實踐案例提供方：長亭科技案例背景：客戶在安全建設中已經有了一定的基礎和成效，接入了 WAF、NTA、堡壘機、VPN、EDR、防病毒等多類設備，但在實際安全運營中，仍在存在很多挑戰和訴求。例如，一些關鍵危害指標（IOC）分散在不同能力產品上，不同的安全工具提供類型指標、風險角度迥異的見解，在手動調查 IOC 時，仍需要到分散的工具上驗證，這個問題在高頻攻擊、值守虛弱期應急響應中尤為明顯。此外，雖然客戶安全團隊在多年攻防演練和應急響應中積累了豐富經驗，雖形成了一套流程體系，但查閱日志和研判處置仍有賴于現場人員。關鍵挑戰：關鍵危害

184、指標分散在不同產品上，產品間缺少統一數據規范，導致風險分析與處置過程需要投入大量精力運維，客戶認為 SOAR 能夠有效解決企業當下的安全困擾。同時考慮到平臺每日采集、泛化超過數十萬條日志，還存在分析工作，傳遞到 SOAR 時，對 SOAR 的數據處理性能要求極高。因此客戶需要建設一套適配行業業務特點的平臺，提升安全運營體系的自動化水平。解決方案：結合企業實際場景，首先要完成基礎平臺的能力建設，其次要制定符合企業特點的劇本融合進平臺。方案架構涵蓋威脅情報設備、邊界攔截設備、終端查殺設備、消息通知設備等。7.5 I 某頭部證券企業SOAR平臺建設項目ISC 2023 安全運營市場洞察63平臺考慮到

185、大量數據承載與處理對平臺性能的要求，同時不同結構數據的接入、不同分析邏輯的設計，也要滿足用戶個性化的需求。大數據性能設計：當前客戶各類安全設備產生大量安全日志，SOAR 一方面需要對日志進行條件降噪，另一方面需要關聯不同位置、不同類型的數據進行復雜邏輯觸發。本次規劃平臺建設時，需利用相對成熟的大數據基礎架構，平臺支持集群部署，存儲和分發可以橫跨多個并行服務器，在監控發現性能和空間不足時，可以快速彈性擴容。數據范式化設計：有效的數據范式化可大幅提升分析效率?？蛻艟哂胁煌吞?、技術、廠商的網絡設備、安全設備、主機/終端和應用，能夠在平臺上集中泛化、展示。在數據融合方面，平臺能夠提供對多源數據進行范

186、式化配置；在威脅可視化方面，分析規則和 SOAR 劇本應支持接入客戶安全工具或業務系統。分析可視化設計：平臺需要提供安全觸發邏輯的可配置管理能力。一方面分析需要綜合各個安全設備的多維度告警信息，另一方面安全人員需要將預案或分析邏輯轉化為一系列組合條件。這就要求在設定劇本觸發條件時，具備智能交互式分析能力。聯動開放性設計：為滿足平臺能夠持續迭代，在平臺上設計開放性的APP中心、組件開發接口，用以對接可能更新的安全工具?；诳蛻衄F有工作流程設計劇本。一旦滿足觸發條件，即各組件按照劇本流程執行，達成精細化的、分條件的處置結局，實現安全事件的處置。而面向同一類事件，其威脅程度不同，導致的最終處置結果也

187、不盡相同。劇本設計與管理：平臺提供編排流程構建可視化界面，運營人員能夠經過多次設計及測試，驗證輸出結果是否符合預期。流程支持保存為草稿，便于后續繼續編輯和完善。創新性與優勢：平臺支持自定義接入各類安全設備或從第三方平臺接入數據。支持 Syslog、FTP/SFTP、JDBC、Kafka、導入等若干數據采集方式，解析規則覆蓋 20+主流廠商、80+種類設備，可快速接入 json、xml、鍵值對，并提供正則模式，平均新數據接入配置時間僅需 15 分鐘。64企業安全運營的落地實踐基于 Spark/Flink 等大數據組件，提供實時/離線數據分析，通過構建 安全分析規則，利用規則關聯各類日志、挖掘日志

188、特征，生成安全告警(事件)，將近 10w 的原始告警分析聚合后產生幾百條安全告警事件，這些告警事件對于用戶才是有意義的，能處理過來的告警。安全分析規則支持條件篩選與特征匹配，聚合統計，多源校驗，關聯分析，失序分析，行為分析，函數定義與語句編排等核心能力。自主研發自然語境構建引擎 語境，支持通過人的自然語句邏輯，靈活地拼裝、搭建、串聯分析規則及安全分析場景，極大降低了分析門檻。國內首個多規則動態語境引擎，底層改造升級 Flink，減少數據扇出的同時、降低系統資源消耗，多規則內存層面實現動態加載能力，并可針對同一份數據進行計算，極大提升系統可運行規則數，支撐 200+條分析規則數量。平臺采用 SI

189、EM+SOAR 一體化架構，SOAR 基于 SIEM 的大數據底座，能夠基于高價值、更可信告警，提供更精準、更有效的響應邏輯，觸發端（例如防火墻）處理壓力大幅度降低。串聯大數據處理能力，使得 SOAR 能力更加穩定，在實際使用過程避免出現數據量過大導致 SOAR 掛掉?；谄脚_能力，支持通過拖拽的方式實現SOAR 能力編排，針對企業不同安全運營業務、不同需求，輕代碼模式具備快速響應、構建劇本能力。平臺能夠支撐工單管理、報告管理、自定義拓撲、靈活部署等更加豐富安全運營能力。工單管理，支持自定義平臺工單內容和流程或對接第三方工單系統，支持手動/自動化發起告警工單，跟蹤工單處置進程。報告管理，支持自

190、定義報告模版，創建報告任務，下載查看報告內容。自定義拓撲，支持根據企業拓撲結構自定義創建拓撲大屏，支持展示、跳轉查看風險日志數據。平臺支持多種部署模式，軟件/硬件，單機/集群、級聯部署、云部署、多租戶。支持微服務、K8S、APP 中心交付模塊化架構，快速適應項目開發。應用效果：平臺建成后，能夠支撐 150+接入規則，平均新數據接入配置時間也僅需 15 分鐘。編寫 50+分析規則，能夠將近 10w 原始數據輸出至百條安全告警。開發 SOAR 組件 40+，內置成熟劇本 8 個，結合實際場景編寫劇本12+個，包括但不限于邊界攔截、會話阻斷、主機隔離、設備監控、發起工單、風險研判處置流程跟蹤、短信/

191、郵件/企業微信/釘釘即時通知等。以外部高危攻擊場景為例，人工研判處置工作時間內需要約 1 小時，平臺能夠通過關聯分析和劇本處置能夠將自動化響應時間縮短到平均 5 分鐘，高確信 IP 的封禁僅需要 2 秒?；诳蛻魧嶋H業務場景設計劇本，以“基于 CDN 部署與多地機房條件下的自動化研判”劇本為例。由于歷史問題和業務需要，客戶存在接入機房眾多且分布在全國各地、大量業務上 CDN 以及隨之導致的監控防守覆蓋不全、原始攻擊 IP 難以還原、CDN 側攻擊傳統手段無法阻斷及海量告警難以即時處理等問題。該劇本強調基于情報 IOC 的判斷，核心是在基于 CDN 部署與多地機房條件下，借助情報來判斷遠控、邊界

192、的安全事件，解決回源導致的信息參差問題，同時也適用于以威脅情報為關鍵指標的安全場景。ISC 2023 安全運營市場洞察65自產品上線以來，在大量減少專業人員干預的前提下顯著提高了客戶網絡安全事件的閉環率，縮短了事件閉環時間，極大提高了安全運營效率，獲得客戶的充分認可。經驗總結：客戶期望制定符合企業特點的劇本，但有效的劇本和條件，是根據業務訪問及數據流轉關系決定的，具體的處置邏輯一、處置邏輯二，需要根據單位沉淀的關鍵判斷指標進行確認，如：業務的訪問用戶是否大多來源于公有云、用戶需要什么認證憑證等。這些均體現了用戶在長期運營過程當中，對自身安全設備和安全情況的了解，以及團隊的安全責任與能力水平。項

193、目建設過程需要結合客戶過往的安全運營經驗，充分了解業務和網絡架構，才能快速梳理出場景化的安全劇本，形成可落地的項目執行方案。66企業安全運營的落地實踐內網缺乏主動安全威脅挖掘能力：側重網絡邊界的安全被動防護，未重視內部網絡安全威脅狀態，缺乏主動安全技術手段。專網下級單位帶來安全威脅：下級財政單位與市財政局業務體系打通，然而其安全意識薄弱，安全事件頻頻發生，使得市財政無法清晰掌握下級單位的網絡安全狀態，對財政專網的安全產生嚴重威脅。專線忽視點對點單位安全風險：江蘇省某財政單位與銀行、政府單位、預算單位等通過點對點的專線方式對接，易忽視對端安全風險，對端安全不可控，若設置白名單策略，將帶來極大安全

194、隱患。外網風險暴露面多易被通報：對公網暴露面多，容易遭受外部攻擊，發生惡意外連事件，被監管單位通報。案例提供方：聚銘網絡案例背景：黨的十八大以來，以習近平同志為核心的黨中央高度重視網絡安全工作，提出建設網絡強國的戰略主張，“沒有網絡安全，就沒有國家安全”,強調要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。目前財政單位的信息化發展日益復雜多樣化，如何統籌安全建設,形成可感知多角度、可預測攻擊形式的安全運維運營是財政單位的重要考慮點。隨著江蘇省某財政單位基礎安全設施不斷完善補齊，其網絡安全體系變得非常復雜。對內網的安全管

195、理構架沒有清晰的認識，無法對自身網絡安全進行針對性管理，內部網絡面臨較大的安全隱患。痛點問題：運維人員緊缺：人員數量有限，部分資產很難對應到具體責任人，需要運維層面上提供更多支持；管理制度不清晰：一方面安全職責未明確到個人，很難追蹤負責人員；另一方面相關制度較為粗糙，未形成明確的獎懲制度；安全意識薄弱：下屬單位與江蘇省某財政單位業務體系打通，部分人員網絡安全意識薄弱造成安全事件頻發，對網絡安全產生威脅。用戶需求：為響應國家網絡安全總體戰略方針，加強網絡信息安全防御能力，提高縱深防御水平。同時，為響應財政部發布的 財政網絡安全工作方案、財政網絡安全總體策略 等頂層網絡安全指導性文件，高度重視財政

196、網絡和信息系統安全。江蘇省某財政單位亟需一套可以對其內外部網絡進行安全鞏固，并形成集中監管的安全運營中心。關鍵挑戰：7.6 I 江蘇省某財政單位一體化安全運營中心建設項目ISC 2023 安全運營市場洞察67內網自身安全威脅洞察：結合內外網流量、日志、脆弱性數據，多源異構分析。發現內網潛在威脅，并進行聯動響應，閉環處置。專網下級單位安全監管：在下級單位部署流量探針，對下級單位的全流量實時分析監測，及時上報安全問題。專線三方單位安全防御：對專線網絡做流量分析，聯動專線邊界安全防護設備進行安全防護聯動。外網外網區域安全風險：通過混合精準情報引擎對全流量進行檢測分析，精準識別安全威脅；旁路部署阻斷，

197、實名制溯源定位。整體安全運營體系建設：基礎運營能力建設：完成多維數據的統一采集分析，安全設備的統一納管，以及用戶資產的統一梳理評估。通過補全安全設備和服務，做到對安全威脅的深度分析，及時響應處置安全事件。自動化運營能力建設：形成標準、合規、符合實際的流程制度和組織架構，在各安全業務環節能基于建立的組織制度，自動完成安全事件流程、安全管理流程、安全運維流程、資產管理流程等。數智化運營能力建設：基于“云+端”體系持續迭代，形成專屬數智化安全運營生態體系，提升已建安全體系的對抗性和實戰性，形成持續沉淀、共享、可生長的安全運營體系。創新性與優勢：擴充業務能力：采用“云地協同”模式，支持江蘇省某財政單位

198、將威脅事件上傳到云端，通過雙盲的形式隨機分配云端專家進行處理，并將分析后的模型結果下發回運營中心，運用大數據和 AI 技術進行學習，保證類似威脅本地運營中心也能分析研判；打造自動化閉環：68企業安全運營的落地實踐將檢測-研判-阻斷全流程自動化，通過事中主動防御，拒絕威脅處置滯后性，最大限度減輕運維人員的負擔；完善管理制度：梳理網絡安全各環節的任務，幫助江蘇省某財政單位精簡流程，完善各項管理制度，確保每個部分都有專人負責；提高人員安全意識：為江蘇省某財政單位人員提供安全培訓服務，包括基礎知識、安全意識、安全發展趨勢、紅藍對抗、安全管理等知識，全方位提升人員在網絡安全方面的防范意識和能力。應用效果

199、：基礎運營能力提升：安全分析能力提升:對全量數據進行統一采集和關聯分析，包括日志數據、流量數據、狀態數據、結果數據、主動安全數據等等，打破數據壁壘，形成對安全的多維深度分析能力。針對下屬單位出口上報的流量數據進行全面檢測監控,發現 8處永恒之藍漏洞，6 臺挖礦主機，13 臺設備感染蠕蟲病毒，30 余處基線配置不合規以及各類漏洞 1700 多個；安全防護能力提升:資產梳理功能幫助江蘇省某財政單位理清資產脈絡，發現 10 余臺影子資產，通過產品風險暴露測繪能力發現 6 個對外違規開放服務和端口，結合平臺的提供的解決方案進行收斂暴露面，并且支持對區縣財政進行安全檢測預警，形成多級監管的聯防聯控體系，

200、完成對資產狀態的監測和安全風險評估；安全處置能力提升:形成對已建設安全設備的集中管控，已接入出口防火墻、數據中心防火墻、入侵防御、核心交換機、業務系統、服務器等 100+主要設備日志，市財政及區縣財政約 10G 流量，集中納管綜合分析，通過平臺實時監控市財政及區縣財政的全網安全運營態勢，并平臺支持旁路域名、IP 阻斷、防火墻、二層交換機聯動，降低在網關式設備上的性能負荷，發現的問題通過平臺工單系統下發責任人進行處置，提升安全設備應急響應效率?；A運營能力提升：依據信息網絡安全政策法規、技術標準、流程規范，結合江蘇省某財政單位的運營經驗及現狀進行流程梳理、流程執行和流程分析。ISC 2023 安

201、全運營市場洞察69完成對安全業務各個場景的流程自動化實現。對江蘇省某財政的全網日志數據、流量數據、脆弱性數據等全面的數據接入，綜合分析研判，實時監測流程效能，基于 AI 自學習算法，持續優化各業務流程邏輯。最終達到了自動化安全整體運營的能力建設目標。數智化安全運營能力提升：基于“云+端”體系持續迭代，形成專屬數智化安全運營生態體系，目前江蘇省某財政外網平臺已接入云端，自動進行最新情報、最新規則庫、最新安全事件的更新及安全專家在線運維分析，不斷提升現有安全建設體系實戰能力及防御能力，形成持續沉淀、共享、可生長的安全運營體系。經驗總結：財政單位的安全運營中心建設過程分為三個階段，在第一階段，我們以

202、態勢感知平臺為核心展開部署，并從資產管理的視角出發，實現對資產問題處置的閉環流程，集問題發現、通知、整改、驗證、歸檔五位于一體，管理資產的合規情況。在完成部署后，財政單位不僅能全面感知系統的安全態勢，及時發現與處置問題，還在運營層面初步完成了資產梳理工作，可以通過多塊全息大屏看清各類資產的實時情況，及時追蹤威脅攻擊來源。在第二階段，我們從團隊組織、制度建設、意識培養等層面出發，將“運營”的理念融入網絡安全建設的全周期中。通過第二階段的架構完善，財政單位在環節、制度、團隊等全周期實踐了安全運營的理念，達到了“態勢可評估，趨勢可預測，風險可感應，知行可管控”的安全運營目標。在第三階段，我們依托“云

203、+端”體系，從運營技術平臺、運營流程及運營組織配套制度三方面出發，持續沉淀、共享、自生長，不斷提升現有安全建設體系實戰能力及防御能力，打造數智化安全運營體系。在江蘇省某財政單位安全運營中心建設的過程中，設備部署、團隊建設、意識培養等分階段進行，部分削弱了安全運營中心的建設效果。在之后的方案中，我們將從安全運營中心建立的開始就全方面貫徹“運營”的理念，以最大程度地發揮安全運營中心的運行效果。70企業安全運營的落地實踐案例提供方：未來智安案例背景：與大多數組織中的安全運營團隊一樣，該銀行客戶的安全運營團隊深陷在海量告警中，缺少有效告警治理手段。系統每天單流量側產生的告警量超過 600 萬，數量龐大

204、，告警分析研判工作壓力極大。盡管已部署大量的異構安全設備，但對于日常安全工作中的告警仍然無法進行有效的威脅溯源，看不到攻擊路徑。而告警中又存在大量誤報，諸如一些正常的業務 SQL 或老系統中無法更改的 SQL，常常被誤報為“SQL 注入”，給安全運營工作帶來了嚴重負擔。無法有效研判告警背后隱藏的實質影響，客戶常常糾結于諸如是否要關注 FTP 匿名登陸、SQL注入之類的問題。同時，受團隊規模小和整體技術水平偏薄弱的影響，使團隊高度依賴安全產品，客戶現場部署了多套異構的全流量威脅檢測安全設備，導致在分析某一條告警時需要在不同的設備間進行跳轉、分析，不但沒有完全實現綜合研判，還使安全工作更加復雜。重

205、重困難下，客戶的安全運營團隊亟待獲得自動化告警研判、分析的能力，以釋放安全運營壓力。關鍵挑戰：安全能力孤島現象明顯：客戶 IT 系統中孤島式的安全能力建設模式缺乏對全局安全數據的可見性，高級威脅的發現越來越難以通過單一的安全能力來實現。傳統孤島式的安全能力建設模式通過在終端、網絡、云工作負載等不同的網絡位置獨立部署安全產品來進行威脅檢測，每個安全產品只能看到局部的有限數據，對全局的安全可見性不足，存在盲區。告警量居高不下：系統中每天產生海量告警，安全運營人員在處置告警時不得不在多個安全產品之間頻繁切換，導致安全運營人員長期處在“救火”的狀態，導致處置效率低下。安全運營效率低、技術門檻高：現有安

206、全產品的自動化程度不高，聯動處置能力不足，導致客戶的安全運營嚴重依賴安全人員的技術水平，而團隊整體技術水平又偏低。傳統被動式防御手段無法應對新型攻擊手段：客戶采用的被動安全防御策略及其能力難以應對外部不斷變化的新安全威脅。需要從被動防御走向主動的、更積極的檢測和響應，在安全防護、威脅檢測、安全事件處置、問題修復等方面形成全方位、立體化的防御體系。7.7 I 未來智安XDR助力銀行業有效提高告警研判率ISC 2023 安全運營市場洞察71 安全投入成本高：傳統安全體系下分散建設的安全產品間協同能力不足，安全建設成本高昂，缺乏可演進的安全架構方案，導致客戶需要對安全運營體系建設不斷增加投入。解決方

207、案：針對該銀行客戶所面臨的告警量大、溯源困難、誤報率高、異構安全設備多等問題，未來智安 XDR 擴展威脅檢測響應系統通過跨端、跨流量的立體化威脅檢測手段，為安全運營帶來完整的上下文和威脅的可見性，提供遠勝于傳統安全工具堆疊的全面精準、智能高效的告警研判、分析回溯能力。未來智安 XDR 具備終端和流量的全面檢測能力，XDR 平臺智能化事件分析引擎（AiE）自動將每天千萬級零散告警收斂成幾十條完整攻擊事件，攻擊檢測有效性提升百倍以上，同時可以實現事件響應處置的高效自動化，可將威脅事件運營效率從過去小時級提高到分鐘級，運營效率提升 8 倍以上。72企業安全運營的落地實踐 基于終端和流量的統一遙測技術

208、：未來智安 XDR 通過詳細采集端點設備發生的各類活動和行為，為威脅發現和事件調查分析提供足夠的上下文可見性?；谛袨榈臋z測技術：通過圍繞主機行為結合網絡流量上下文數據的方式識別異常行為，實現對已知和未知威脅的感知發現。事件調查分析技術：從安全運營視角為用戶呈現安全事件，并回溯分析。多設備擴展與自動化編排技術：XDR 通過標準 API 接口實現對多個設備的數據擴展接入以及聯動處置。威脅檢測、研判和調查技術：基于威脅情報的檢測、研判、調查是 XDR 必備的技術能力，在對威脅的研判過程中，威脅情報可幫助分析人員快速獲得與該威脅相關的上下文信息，便于對威脅進行二次研判。機器學習與 AI 技術：通過機

209、器學習技術，在網絡入侵和惡意文件檢測中深入運營機器學習和 AI 技術，模擬人工研判過程，實現更加快速、有效的威脅檢測。海量數據分析能力：未來智安 XDR 平臺提供高速日志采集與流計算、大規模數據湖、圖計算、全文檢索等方面能力，以支撐威脅檢測與響應場景下的數據采集、檢測、調查、統計、檢索等各類場景。應用效果：該銀行業客戶通過未來智安 XDR 擴展威脅檢測響應系統首先有效解決了海量告警問題，將數百萬的告警量收斂成 10 條以內的安全事件，為安全運營團隊提供清晰的威脅問題來龍去脈，提高告警研判和響應效率，通過未來智安 XDR 告警治理進行有效的告警收斂，安全人員面對的告警量降低 100 倍。同時，通

210、過自動化編排技術（SOAR），將安全運營專家的問題解決思路和方法嵌入到系統中，降低對人工團隊的技術依賴性，提高團隊的響應速度，及時有效的幫助用戶將業務損失最小化。整體安全運營建設實現了六大成果：建設統一資產臺賬：通過未來智安 XDR 資產自動發現能力，可持續梳理包括各分行的資產，并形成行內的統一資產臺賬?；谛袃痊F有的網段劃分機制，未來智安 XDR 提供基于網段資產梳理能力，如定義 DMZ 區資產網段、辦公區資產網段等，可通過自定義網段資產發現結合配置自動入庫策略，實現從資產發現到資產入庫的全自動化能力。通過資產臺賬為行內提供高價值資產用途定義、類型定義、NAT 情況下資產 IP 映射關系配置

211、等。ISC 2023 安全運營市場洞察73同時實現資產自動分組入庫，基于行內現有的資產網段劃分機制，通過未來智安 XDR 資產入庫策略配置，實時將最新發現的資產自動入庫，并通過持續監控發現和收斂未納管資產的范圍，降低人工資產管理的成本。接入行內現有安全設備的數據，實現統一分析：通過未來智安 XDR 接入各類安全防護設備的入侵警報數據，實現入侵警報的統一分析/運營，解決如 A 防護設備產生告警仍需要去 B 防護設備查看是否同樣存在此類告警的問題，以資產視角提升入侵警報的安全運營效率，提升行內對入侵警報的安全運營效率。高價值入侵警報挖掘能力，讓安全運營有焦點：未來智安 XDR 自動化事件引擎（Ai

212、E）內置多種安全事件自動化挖掘模型，包括基于多維權重、攻擊技戰術、熱點安全事件、攻擊時序、攻擊實際影響、數據影響等安全事件的挖掘模型，同時支持通過自定義方式定義安全事件挖掘模型，持續強化告警治理能力，解決了行內部署的各類安全防護設備每天都產生大量的威脅告警包括大量未攻擊成功的告警、大量誤報從而給安全運營團隊帶來嚴重負擔的難題。完整攻擊路徑回溯，增強告警分析及研判能力：未來智安 XDR 通過完整攻擊路徑溯源能力，包括如攻擊者、攻擊路徑、攻擊方式、漏洞利用、橫向移動、攻擊載荷、影響范圍、產生的相關告警、應急處置方式等維度，實現跨端網的關聯分析，提升行內的告警分析與研判能力。提升安全通報能力：通過未

213、來智安 SOAR 自動化安全編排能力，定義行內的關鍵安全運營流程，如關鍵資產產生的入侵警報，能第一時間將信息發送給對應的資產負責人，特定的安全事件產生后，第一時間將信息發送給對應的安全負責人等，提升告警自動化通報能力。未來智安 XDR 通報能力具備短信及行信等渠道的對接能力。安全生態化體系建設：通過生態構建和安全治理手段，實現基于現有安全設備的數據標準化、安全原子能力標準化，通過激活安全數據要素及安全能力價值，進一步提升各類安全防護設備間的整體協調聯動能力。經驗總結：由于金融行業業務的特殊性，往往率先于其他行業用戶踐行網絡安全的創新技術，由此導致安全運營體系建設中異構情況嚴重，此次項目實施的過

214、程中，如何有效利用客戶以往安全建設成果、保障多源異構數據的接入和充分利用，是對未來智安 XDR 系統的最大考驗。此次項目的順利實施，得益于未來智安 XDR 平臺內置基于主機的 EDR 威脅檢測能力與基于流量的 NDR威脅檢測能力，提供擴展的郵件、文件、云負載等擴展檢測和遙測數據接入能力，通過 XDR 平臺的前置 CEP 流式實時檢測引擎和基于異常行為的場景化檢測能力，實現全面的攻擊鏈檢測，讓威脅不存在檢測盲點。74企業安全運營的落地實踐案例提供方：浙江遠望案例背景：落實省委決策部署的需要：2021 年 2 月，浙江省召開全省數字化改革大會，發布 浙江省數字化改革總體方案，其中針對數字化改革網絡

215、安全工作提出明確要求：“提升嚴密可靠的政務網絡安全體系。健全網絡安全制度體系。全面落實網絡安全同步規劃、同步建設、同步實施要求，推動安全與應用協調發展?！?021 年 7 月，浙江省委網信辦、省大數據局等三部門聯合下發要求，落實政務網絡安全工作與政府數字化改革工作“四同步”，加快構建指揮、制度、技術、運營、監管等五大體系集合的數字化改革政務網絡安全體系。應對縣域網絡安全復雜局面的需要：一是部門、個人職責不清，安全責任不明確，協同處置不高效；二是政務網絡資產不清，入網管控不嚴，資產責任歸屬不明確；三是政務網用戶多，使用人員復雜，難以管理、問題多發。提升縣域網絡安全體系化治理能力的需要：一是常態化

216、安全監管不足，多層次縱深技術防御力量欠缺，對網絡安全風險隱患感知不及時、不全面；二是運營防控尚未到位，缺乏專業化的安全運營團隊；三是體制機制不夠完善，網絡安全工作主體責任不夠壓實，安全管理、安全防護、安全監測、安全成效等指標評價不明確。關鍵挑戰：指揮協同能力不足：政務網絡安全治理涉及網信、公安、保密、大數據等部門及各使用單位，部門間網絡安全防控意識不統一，在應對網絡安全隱患、問題時，習慣于各管一段，缺乏統籌的安全防控機制，無法快速協調政務網絡安全管理的各方資源，實現快速聯動和整體協同。制度規范不夠完善：隨著網絡技術發展的日新月異，網絡安全法數據安全法個人信息保護法 以及 浙江省公共數據條例等法

217、律法規相繼頒布實施，但在基層具體實踐中，相關的管理制度還不夠完善，出現了崗位職責不夠明確、操作流程不夠規范、組織保障不夠有力等現象，導致網絡安全工作難以落實落細。安全技術體系化缺失：縣域網絡漏洞、弱口令、高危端口等安全問題屢現不止，新生的勒索、挖礦、違規外聯等未知威脅更是層出不窮，傳統上習慣以打補丁、補窟窿、筑高墻等方式保障網絡安全，安全能力碎片化，縣域網絡安全縱深防御能力不足，一旦出現問題全網都會面臨被突破的風險。7.8 I 某縣域數字化改革網絡安全體系建設項目ISC 2023 安全運營市場洞察75 安全監管能力弱：傳統政務網絡安全治理主要聚焦于監測防護數據中心機房，對終端用戶缺乏精準的監測

218、技術手段和風險監管平臺，無法實時管控在網人員違規違法行為，缺乏對各單位部門的網絡安全工作成效量化分級管理和綜合評價，終端安全防護較大程度上停留在被動處置、治標不治本階段。以某縣為例，橫向覆蓋 85 家黨政機關、群團組織，縱向貫通 23 個鎮街，并延伸至 553 個村居，有 2 萬余臺政務辦公電腦、打印機、視頻監控、食堂飯卡機等各類終端設備接入；網內用戶既有正式在編干部，又有大量的編外人員、村（社）工作人員、企業運維人員，人員成分復雜、流動性大；安全建設主要通過堆砌安全產品來提高安全防范能力，安全能力建設無法形成合力，無法應對當前大規模、高水平的網絡攻擊模式，也無法滿足電子政務建設中的數據安全保

219、障要求。因此，需采用體系化的網絡安全治理思路，建設協同有效的政務網絡安全治理體系，形成常態化網絡安全保障機制，各方協調聯防聯控，構建一體化的網絡安全治理屏障，夯實電子政務網絡安全底座。解決方案：某縣域數字化改革政務網絡安全體系建設項目按照全省數字化改革“一年出成果、兩年大變樣、五年新飛躍”的要求，深入貫徹政務網絡安全體系建設同步推進，根據“體系推進，平臺統一，能力融合”的設計原則，聚焦“應急指揮、制度規范、技術防御、運營防控、安全監管”整體建設，構建全域“8+4”數字化改革政務網絡安全體系整體能力建設，完成縱向覆蓋“市-鎮-村”三級、橫向覆蓋各局辦單位的縣域政務網絡安全管控體系，實現網絡安全縱

220、向打通、橫向協同、條塊結合、群防群控的網格化治理格局，形成“新時代楓橋經驗”在網絡安全治理上的創新應用?？傮w設計：方案總體包含應急指揮體系、制度規范體系、安全技術體系、安全運營體系和安全監管體系五大部分。應急指揮體系依據國家和地區的網絡安全應急預案要求，在所主管行業內建立協同指揮機制、應急響應機制，提升應急處置能力。制度規范體系以合規合法、責任到人為中心，是整個網絡安全監管體系的基礎。主要涵蓋：安全責任體系、安全管理制度、安全管理機構、安全人員管理、安全建設管理、安全管理流程和安全合規管理等各項工作，為行業網絡安全建設提供強有力的支撐。安全技術體系構建網絡安全管理中心，通過應急指揮信息化管理平

221、臺，實現安全威脅事件應急響應準備、檢測、控制、恢復等全過程管理，提升應急響應能力；通過安全運營信息化管理平臺將安全管理五要素“資產、風險、76企業安全運營的落地實踐事件、人員、流程”有機整合，為全網網絡安全的“統一監管、分組管理”提供技術支撐。通過完善安全區域邊界、安全通信網絡、安全計算環境等相關安全監測和防護技術手段，同時圍繞安全基礎設施和政務云安全進一步完善安全數據采集、匯聚和分析，形成覆蓋“云、網、端、應用、數據”的網絡安全縱深防御基礎，提升主動防御能力。安全運營體系是依托網絡安全技術體系，依據網絡安全管理體系，開展資產管理、監測預警、通報處置、安全檢測、整改加固、考核評價、安全培訓和運

222、維管理等網絡安全運營工作，形成閉環安全運營體系，有效保障網絡安全技術、管理要求落地。安全監管體系是發揮行業主管單位在所管轄區域內的監督指導作用，通過建立健全預警通報機制、檢查督查機制和綜合評價機制，有效指導所管轄區域內相關單位進一步強化網絡安全保障工作?？傮w思路：本方案根據“體系推進，平臺統一，能力融合”的設計原則，為某縣全縣域構建“8+4”數字化改革政務網絡安全工作體系。工作體系推進包括電子政務外網縱向和橫向兩個維度的接入單位，實現安全能力全面覆蓋、安全平臺縱橫聯通、安全機制條塊結合。其中，橫向包含電子政務外網局辦接入單位和直屬企事業單位，縱向包含電子政務外網鄉鎮街道、村居政府接入單位?！?

223、”，即八大技術能力落地：“8”是代表從安全基礎設施、政務云安全、網絡與邊界安全、政務終端安全、數據安全、應用開發安全、異常行為感知、安全管理中心八大方面提供技術能力落地。其中，安全管理中心是通過信息化手段支撐實現應急指揮服ISC 2023 安全運營市場洞察77務、制度規范服務、安全運營服務、安全監管服務工作落地?！?”，即四個服務能力落地：“4”是代表從應急指揮服務、制度規范服務、安全運營服務、安全監管服務四個方面，提供數字化改革政務網絡安全保障能力落地。安全技術建設：其中網絡邊界安全監管平臺包括網絡資產管理系統、違規邊界監測系統、跨網安全訪問系統、網絡安全監管系統，政務終端安全監管平臺包括網

224、絡接入控制系統、身份安全認證系統、終端安全防護系統、終端安全審計系統、文件安全檢查系統、終端外設管控系統、終端防病毒系統，數據安全監管平臺包括終端數據安全監管系統、網關數據安全監管系統，異常行為感知平臺包括網絡流量分析系統、高級威脅檢測系統、威脅欺騙防御系統、政務云平臺安全等，應用開發安全包括源代碼安全檢測系統、漏洞檢測管理系統，安全運營平臺包括網絡安全管理支撐系統、網絡安全綜合展示系統、移動安全響應系統、安全態勢感知系統、數據采集交換系統等，網絡安全感知引擎包括網絡邊界安全引擎、計算環境安全引擎。78企業安全運營的落地實踐創新性與優勢：構建起數字化改革網絡安全體系：遵循“頂層設計、制度建設、

225、能力建設、安全運營、安全評價”五步走，堅持以人為中心的原則，聚焦關鍵信息基礎設施安全、政務數據安全和個人信息保護，構建起以“制度體系、指揮體系、監管體系、技術體系和運營體系”為主要內容，集“管理、技術、運營”于一體的政務網絡安全管控體系，有效提升某縣政務網絡安全整體防護能力。數字化改革網絡安全體系的建設落地，大力推動某縣數字化改革網絡安全保障工作的信息化、數字化，并實現多方網絡安全能力和資源的匯聚?！皸鳂蚪涷灐辟x能，夯實網絡空間安全治理責任：在某縣電子政務外網安全體系建設過程中，借鑒“楓橋經驗”在社會基層的網格化治理模式，將全市電子政務外網安全責任分解落實為 111 個網格單位，“橫到局辦，縱

226、至鄉鎮”，充分發揮網絡空間安全治理的群防群控作用，實現“安全隱患不留存，安全事件不擴散，安全問題基層解決”。創新形成網絡安全防控六大機制：一是“四責聯動”多跨協同機制：面對復雜多變的網絡安全風險因素，縣域網絡安全統籌協調、監管、主管、主體單位根據各自職責，形成決策會商、監督管理、風險研判、應急指揮的多跨協同工作機制?！八呢煛笔侵缚h域網信部門承擔網絡安全統籌協調責任，并牽頭落實監督管理、應急指揮、考核評價等各項工作；公安、保密、紀委監委等部門在各自職責范圍內承擔監督管理、檢查督查、案件查處等網絡安全監管責任；各重要行業主管部門承擔安全建設、安全運營、監督指導等網絡安全主管責任；各級黨政機關、企事

227、業單位和社會團體承擔安全防護、風險處置、應急響應等網絡安全主體責任。二是群防群控網格治理機制：按照“誰主管誰負責、誰使用誰負責，屬地管理和行業管理相結合”的原則，將縣域黨政機關、企事業單位和社會團體分割成若干網格單位，網格單位承擔本單位政務網絡安全的主體責任，各設備和政務信息系統的使用人、管理員作為網絡安全風險處置第一責任人，持續開展安全主管人員培訓、安全管理員培訓、全員培訓宣貫，依托技術構建安全宣貫終端推送、風險隱患終端提醒、安全技能終端智助能力，形成“領導重視、各級聯動、全員參與、人人有責”的局面。三是資產人員動態管控機制：以“摸清家底，厘清資產”為目標，通過網絡掃描、流量分析、行為分析和

228、終端監測等手段，全面發現并智能識別政務網絡內各類軟硬件資產，通過技術注冊和管理登記手段，明確資產的所屬單位和責任人，形成資產管理庫。實行入網資產審批、“浙政釘”實名注冊和掃碼上網、資產變更監測管理，取締私設子網，限制違規設備入網，實現合規入網、實名上網、資產信息動態更新、風險源頭全程追溯。ISC 2023 安全運營市場洞察79四是風險預警快速響應機制：通過采集資產信息、網絡流量、設備日志等各類源數據，建立風險監測和智能分析模型，對安全事件/隱患自動監測、識別、預警、阻斷，重塑安全事件/隱患處置機制，建立“派單-整改-反饋-審核-歸檔”的處置流程，強化多主體協同，實施風險分級分類處理，抓早抓小抓

229、苗頭，確保事件/隱患網格閉環處置。五是實時多維考核評價機制：從安全管理、資產注冊管理、安全事件監測處置、安全隱患監測處置、日常安全運營管理等五個維度，建立對各網格單位網絡安全工作開展成效的考核評價機制，將考核評價結果納入年度網絡安全工作責任制考核和平安建設考核，并根據各個階段不同的網絡安全工作管控重點，對考核指標權重、考核方式進行動態調整，起到“以考促建、以考促管”的目的，推動網絡安全工作落實落細。六是新生威脅“四早”防控機制：按照“人物同防、多點監測、分類管理、全程管控”的思路，全方位、常態化地推進重要設備、重要信息系統、重要網絡節點、重點人員的管控和監測，通過行為監測、基線學習、特征分析、

230、用戶畫像等威脅感知手段，強化新生威脅早發現和早研判；通過預警通報、網絡隔離、終端斷網、行為攔截等網絡安全管控手段，實現外部入侵威脅、內部隱患風險早報告和早響應。落地“三清三不”網絡安全治理模式：在某縣電子政務外網安全體系建設過程中，借鑒“楓橋經驗”在社會基層的網格化治理模式，將全市電子政務外網安全責任分解落實為 111 個網格單位，“橫到局辦，縱至鄉鎮”，充分發揮網絡空間安全治理的群防群控作用，實現“安全隱患不留存，安全事件不擴散，安全問題基層解決”。一是職責清：堅持誰主管誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責、管業務必須管安全，按行業職能部門和屬地單位劃分安全責任網格，明確安全管理

231、責任。二是資產清：通過網絡掃描、流量分析和終端監測等方式，主動識別全市政務外網軟硬件設備及其歸屬單位，形成網絡和數據資產清單。依據統一 IP 地址建立關鍵資產和所屬單位、使用人員之間的關聯責任，形成資產管理庫。三是人員清：采用“浙政釘”身份驗證開展硬件資產、軟件資產實名注冊管理，對發現識別的資產按 IP 地址規劃進行歸屬劃分，明確資產安全管理責任人，做到資產使用“定崗、定人、定責”。借助“浙政釘”身份認證機制，及時開展動態督查，清退非必要在網人員，確保業務系統安全運營。四是防控不遺漏：聚焦安全基礎設施、政務云安全、網絡與邊界安全、終端安全、數據安全、應用安全、異常行為、安全管理中心等八個方面，

232、完善構建“云、網、端、數據、應用、行為”全鏈路全方位技術體系，做到安全隱患防控縱向到底、橫向到邊。80企業安全運營的落地實踐五是風險不外溢：聚焦預警通報、檢查處置等多跨業務，統一標準和通報渠道，對安全風險隱患進行自動識別、抓取、預警、阻斷，做到全時段監測、全領域覆蓋、全過程可溯。重塑網絡安全風險隱患處置機制，實施分級分類處理，確保風險隱患網格閉環處置不擴散。六是服務不缺位：組建政企聯合安全運營團隊，定期開展網絡安全意識和技術培訓，常態化閉環開展合規建設、資產管理、監測預警、通報處置、安全檢測、整改加固、考核評價安全工作全流程，強化重大事件協調處置、重大活動聯合保障能力。關鍵挑戰：本案例緊緊圍繞

233、省委數字化改革工作要求，以一體化智能化公共數據平臺網絡安全體系建設和能力提升重大需求為突破口，聚焦“云、網、端、數據、應用、行為”全鏈路，構建“組織、人員、資產、隱患、事件、流程”相融合的網絡安全防控運營體系，上線縣域政務網絡安全運營場景應用，創新體系化建設思路，推動形成縱向貫通、橫向協同、條塊結合、群防群控的網絡安全工作模式。項目橫向覆蓋縣級局委辦單位、縱行貫穿“市-鎮-村”三級，目前已涵蓋全縣域 100 余個安全網格單位，梳理登記設備 2 萬余臺，注冊應用系統 100 多個；共發現低危風險隱患近 5 萬個，處置率達 93%；發現中高危風險隱患 400 余個，成功處置率達 100%，有效提升

234、政務網絡統籌規劃、協同處置、網絡防護能力。自 2021 年以來，共發現低危風險隱患 43097 個，已處置率達 92%；發現中高危風險隱患 412 個，成功處置率達 100%。實現“三清三不”創新縣域網絡安全治理模式：項目建設根據“體系推進，平臺統一，能力融合”的設計原則，聚焦關鍵信息基礎設施安全、政務數據安全和個人信息保護，運用系統工程體系化設計思路，實現了“三清三不”（即職責清、資產清、人員清；防控不遺漏、風險不外溢、平安不出事）的創新縣域網絡安全治理模式。1.安全底數“三清”：職責清、資產清、人員清：一是職責清：堅持誰主管誰負責、誰建設誰負責、誰運行誰負責、誰使用誰負責、管業務必須管安全

235、，按行業職能部門和屬地單位劃分安全責任網格，設立首席網絡安全官和聯絡員，組建技術支撐隊伍，常態化組織風險隱患排查、評估和處置工作，做到安全隱患快速處置、安全事件立即上報、應急聯動及時響應。截至目前，已設置安全責任網格 111 個，配備首席網絡安全官 111 名、聯絡員 637 名。二是資產清：通過網絡掃描、流量分析和終端監測等方式，主動識別全市政務外網軟硬件設備及其歸屬單位，按 8 大類、51 小類梳理網絡和數據資產清單。依據統一 IP 地址建立關鍵資產和所屬單位、使用人員之間的ISC 2023 安全運營市場洞察81關聯責任，形成資產管理庫。實行入網資產審批及變更監測管理，通過資產特征監測識別

236、技術，實現資產信息早更新、風險源頭可追溯。截至目前，累計發現識別硬件設備 22628 臺（子網內設備 8968 臺）、政務信息軟件系統 114 個，其中違規接入視頻監控、門禁、食堂消費機等設備 632 臺。三是人員清：采用“浙政釘”身份驗證開展硬件資產、軟件資產實名注冊管理，對發現識別的資產按 IP 地址規劃進行歸屬劃分，明確資產安全管理責任人，做到資產使用“定崗、定人、定責”；對未認領或不明確責任人的資產，通過入網管控技術手段，限制其訪問網絡，確保資產實名化工作落地落實。借助“浙政釘”身份認證機制，及時開展動態督查，清退非必要在網人員，確保業務系統安全運營。目前，全市政務網絡實名認證管理近

237、2 萬人，銷除非必要賬號 1000 余個。2.安全運營“三不”：一是防控不遺漏。聚焦安全基礎設施、政務云安全、網絡與邊界安全、終端安全、數據安全、應用安全、異常行為、安全管理中心等八個方面，構建“云、網、端、數、應用、行為”全鏈路全方位技術體系，做到安全隱患防控市鎮村縱向到底、行業部門間橫向到邊。如網絡邊界安全方面，整治不合規互聯網出口 IP 地址 154 個、私搭無線網絡設備 188 臺；終端安全方面，對全網 12008 臺辦公終端實施弱口令、防病毒等入網安全體檢管理；在應用安全方面，對全網 114 個政務信息系統實施漏洞、源代碼等上線安全檢測。二是風險不外溢。聚焦預警通報、檢查處置等多跨業

238、務，統一標準和通報渠道，對 4 大類 82 項安全風險隱患進行自動識別、抓取、預警、阻斷，做到全時段監測、全領域覆蓋、全過程可溯。重塑網絡安全風險隱患處置機制，明確“派單-整改-反饋-審核-歸檔”等標準化流程，強化大數據中心、網信辦、公安局、保密局、行業部門、屬地鎮街等多元主體協同，實施分級分類處理，抓早抓小抓苗頭，確保風險隱患網格閉環處置不擴散。截至目前，縣域內自主通報并處置安全基線不合規、敏感文件存儲、未脫敏數據流轉等低危風險隱患39649 個，挖礦/勒索病毒、應用系統漏洞、違規外聯等中高危風險隱患 412 個。三是平安不出事。聚焦浙江省數字化改革“1+6+1”和關鍵信息基礎設施安全保障等

239、重要節點，集成應急指揮、制度規范、安全運營、安全監管等服務能力，構建“組織、人員、資產、隱患、事件、流程”六大要素融合的縣域網絡安全防控運營體系，實現縣域政務網絡安全縱向貫通、橫向協同、條塊結合、群防群控的治理模式，切實提升網絡安全整體智治水平。自體系運營以來，網絡安全防護水平明顯提升，未發生有影響的安全事件。構建起“五大體系”、“三位一體”的網絡安全管控體系：82企業安全運營的落地實踐構建起以“制度體系、指揮體系、監管體系、技術體系和運營體系”為主要內容，集“管理、技術、運營”于一體的政務網絡安全管控體系，達成“資產清晰，邊界完整，風險亮化，數據可控，處置高效“的管控效果。全面提升了某縣域政

240、務網絡安全的整體防護能力和智治水平。屢獲浙江省領導、中央及省委網信辦批示及肯定：2022 年以來，該案例屢受中央網信辦、浙江省委網信辦、浙江省委主要領導高度認可：1.浙江省委網信辦、省大數據局考察：2022 年 2 月，浙江省委網信辦副主任馬曉軍一行到某縣調研政務網絡安全管控體系建設情況。2.浙江省委網信辦?？茝V：2022 年 2 月，浙江省委網信辦發?？蛉「魇锌h、各行業，推介某縣域政務網絡安全體系化治理新模式。3.中央網信辦?？茝V：2022 年 5 月，中央網信辦發?？掳l至各省網絡安全和信息化委員會及各省委網信辦，推介某縣域網絡安全體系化治理工作經驗。4.浙江省委書記批示：2022

241、 年 6 月，時任浙江省委書記袁家軍作出重要批示：某縣域抓網絡安全保障體系和能力建設，謀劃深，舉措實。5.某縣域在浙江全省數字化改革推進會上發言：2022 年 8 月，浙江省委召開全省數字化改革推進會，某縣市委書記在會上做了專題經驗匯報，并獲省委書記充分肯定。6.納入浙江“一地創新，全省共享”一本賬：2022 年 8 月，案例納入浙江省“一地創新，全省共享”（一本賬 S0）。7.榮獲浙江省數字化改革網絡安全優秀案例：2022 年 9 月，案例榮獲“2022 年浙江省數字化改革網絡安全優秀案例”獎。8.入選浙江數字化改革最高內刊：2022 年 10 月，入選浙江數字化改革最高內刊“領跑者”。9.

242、上榜數字化改革最佳應用：2022 年 10 月，案例上榜浙江省數字化改革“最系列”成果之最佳應用。10.榮獲“2022 年度浙江省改革突破銀獎”：2023 年 1 月，案例榮獲由中共浙江省委全面深化改革委員會評選的“2022 年度浙江省改革突破銀獎”。11.榮獲“2022 年浙江省網絡安全行業優秀案例”獎。ISC 2023 安全運營市場洞察83案例提供方：國舜股份案例背景：為了切實提高某銀行信息安全的主動防御和動態防護能力，基于 SOAR 技術研究、設計、研發自動化安全響應分析平臺，讓企業的安全專家從繁重的重復勞動中釋放出來，將事件應急響應的經驗轉化為劇本，將企業的安全運營流程數字化管理起來，

243、每一次安全事件的對應處置過程都在統一標準，統一步驟下執行，有跡可循。避免人員能力的差距導致的處置實際效果不可控。從而極大程度的降低了 MTTD（平均檢測時間），能夠更快更準確地檢測出攻擊和入侵。同時基于 SOAR 技術可以將處置過程編制成劇本，降低 MTTR（平均響應時間），從而提升企業整體網絡安全運營效率。在自動化安全響應分析平臺中運營流程具備數字化管理能力，每一次的執行過程都記錄在案，因此劇本流程的 KPI 如 MTTD、MTTR、召回率、準確率、覆蓋率等全部可評估、可度量、可追蹤。關鍵挑戰：某銀行網絡安全聯合實驗室項目，基于當前中小銀行網絡安全應急響應運營中的痛點，建設自動化安全響應分析

244、平臺，切實提高中小銀行信息安全的主動防御和動態防護能力。7.9 I 某銀行自動化安全響應分析平臺項目84企業安全運營的落地實踐國舜北斗網絡安全運營平臺以資產管理為基礎，以風險管理為核心，以事件管理為主線，通過數據挖掘、關聯分析等技術，輔以有效的安全策略、安全監測、安全預警、分析研判、調查取證、處置響應、復盤分析等功能，并結合 SOAR 技術固化安全專家知識，實現自動化調查取證和處置響應提升企業網絡安全運營效率。結合ATT&CK 知識庫不斷提升和完善企業的網絡安全防御體系。國舜北斗網絡安全運營平臺輔助客戶建設可持續迭代的安全運營體系，為網絡安全運營中的每個環節提供標準化框架，降低運營門檻、提升運

245、營效率、以事件反饋和促進企業網絡安全的正向建設，不斷提升企業網絡安全縱深防御體系的可感、可知、可控、可反擊網絡安全能力。創新性與優勢：面向業務安全管理：系統內置業務建模工具，反映業務支撐系統的資產構成，并自動構建業務健康指標體系，從業務的性能與可用性、業務的脆弱性和業務的威脅三個維度分析業務的健康度，協助用戶從業務的角度去分析業務可用性、業務安全事件和業務告警。全面的數據采集：可以通過多種方式來收集設備和業務系統的日志，例如 Syslog、SNMP、FTP、NETBIOS、ODBC、WMI、Shell、PowerShell 等。從實戰出發的調查取證和自動化處置：平臺支持利用 SOAR 引擎提供

246、的劇本能力實現自動化取證能力，并提供取證工具可線上或線下輔助安全運營人員完成取證工作，并通過系統系統的分析研判工作臺完成證據鏈梳理，線索拓線、溯源分析，提升安全運營人員分析研判效率，并借助 SOAR 劇本引擎實現自動處置實現快速止損。全面提升安全運營的分析研判和處置響應效率。全面的威脅情報管理：系統支持通過 API 或人工方式維護外部威脅情報，并且支持通過內部的安全事件利用系統提供的調查取證、事件復盤功能生成內部威脅情報，并支持威脅情報的共享。系統支持基于威脅情報的預警分析、漏洞快速篩查、溯源分析等功能。應用效果：風險的全面感知：通過采集全量的安全要素，優先分析和攻擊行為相關的數據，做到不誤報

247、，不漏報。ISC 2023 安全運營市場洞察85 層層告警降噪：通過預置三層告警降噪模型，大大減少了告警誤報，護網某日 20 多萬條告警，壓制到 1009 條，其中 95%通過誤報檢測劇本梳理為誤報，50 條動過自動化劇本完成處置。日常安全運營能力提升：結合實際使用場景，提供人工、實時、定時、處置四大類別，劇本將各類分析處置動作拆分成一個可復用的子劇本或節點，包括：情報分析、線索取證、誤報分析、威脅識別、聯動處置等。最終交付自動化研判、集成聯動、日常事務、綜合安全運營四大劇本能力，將安全運營能力流程化、標準化、自動化，單條事件，以現場安全事件：挖礦木馬為例，單條威脅處置效率從 20 小時 25

248、 分降低到 27 分鐘，效率提升 45 倍。經驗總結：平臺的建設可切實提高銀行信息安全的主動防御和動態防護能力。通過結合網絡安全、應用安全、數據安全相關的設備與平臺，采集告警數據、流量數據、日志數據及底層基礎數據，基于 SOAR 劇本技術實現固化專家經驗、避免人員能力斷層、縮短應急響應時間、標準化安全運營流程，整體提升對網絡安全告警事件的分析研判和處置響應效率，并結合告警事件數據進行攻擊溯源、提升對潛在威脅的預警等能力。為了真正實現自動化安全響應分析在實時過程中需要注意以下幾點：威脅情報效能放大：需要采集全量的安全要素，包括網絡安全、應用安全、數據安全的設備日志，其中威脅情報的作用也在威脅研判

249、和處置過程中作用將被放大。貼近場景的策略模型：結合客戶業務場景、網絡拓撲制定相關分析模型策略，達到告警降噪的實效，不誤報，不漏報。自動處置要防止誤傷：需要應精細化梳理業務場景中的白名單，防止聯動處置對業務的誤傷。安全運營標準化：對于平臺的自動化安全運營能力，需要結合攻防場景、業務特色，將安全事件運營的整個流程在平臺中逐步完善，才能真正做到自動化安全運營。86企業安全運營的落地實踐網絡協議仿真挑戰：需要實現對 OSPF、BGP、MPLS VPN、SD WAN 等協議進行混個組網復現。典型設備模擬挑戰：需要實 Cisco、Juniper、Fortinet、PaloAlto、Splunk、Check

250、point、WatchGuard、Sophos、Soc 等軟件系統的高度兼容。網絡架構復現挑戰：需要根據客戶網絡環境進行 1:1 網絡架構復現和應用服務復現。案例提供方：丈八網安案例背景：某安全廠商擁有安全運營類產品 soc 系統（協同響應平臺），它通過搜集所有網內資產的安全信息，并對收集到的各種安全事件進行深層的分析，及時反映被管理資產的安全情況，定位安全風險，從而為客戶提供資產統一管理。目前，某安全廠商需要高仿真的網絡靶場環境作為基礎平臺，融入自身產品 soc 系統（協同響應平臺），為客戶提供一個接近實網的攻防演練環境。幫助客戶在仿真環境中利用 soc 系統實現對安全事件的分析、安全資產的

251、管理，從而測試驗證其網絡攻防技戰法的有效性，以及分析網絡環境中網絡資產的安全性，進而為客戶進行風險分析、預警管理，并打造為安全運營標桿解決方案在行業中宣傳推廣。關鍵挑戰：此案例挑戰在于，需要 1：1 完整復現對方客戶的網絡，包括對標現實的背景流量、網絡設備、防御設備、認證設備等，建設與實網完全平行的仿真環境，供客戶進行攻防實訓、測試驗證。對仿真平臺（網絡靶場）的仿真能力、智能化，以及底層架構對安全設備的兼容性要求極高。解決方案：丈八網安“火天網境”原生網絡靶場結合某安全廠商 soc 系統(協同響應平臺)，構建模擬真實網絡環境的實戰攻防演練模型，并實現了多個場景的攻防聯動，通過“實戰化、智能化、

252、模塊化”的平臺服務，幫助企業組織開展安全能力體系檢驗評估，實現精準挖掘薄弱環節，驗證攻防能力，敏捷迭代防御體系。丈八網安在數字化靶場中引入了人工智能技術，通過自研的“AI 賦能流量發生”技術，高仿真模擬用戶行為及安全事件的流量，如郵件收發、用戶操作等各類噪聲流量，高度還原真實業務場景。創新 AI+自動化協同安全響應平臺技術，兩者聯合可模擬仿真出智能化紅方，作為自動化攻擊對手，有效訓練人員應急響應能力。7.10 I 金融行業背景下的安全運營靶場建設ISC 2023 安全運營市場洞察87創新性與優勢：原生架構支撐下的高仿真能力：“火天網境”系列產品是國內第一套真正意義上全自主可控的網絡仿真靶場類產

253、品，具備強大的模擬仿真能力和靈活性，能夠還原完整的互聯網特性，模擬出幾乎所有已知網絡架構，支持各種型號的“網絡功能虛擬化設備”（NFV），可實現超大規模的網絡節點模擬仿真、特殊設備的模擬仿真、網絡攻防仿真推演。同時基于自主可控的技術將網絡靶場仿真網絡性能提升到了 100Gb 級別，滿足客戶對業務環境 1：1 模擬復現的需求。智能化動態仿真攻防演練：通過在靶場環境中植入人工智能、NFV、事件觸發器等技術，輔助實現模擬真實的攻防事件在靶場中“發生”，從而有針對性的開展防御訓練。人工智能可以還原真實世界里的網絡攻擊行為和安全事件流量，并作為深諳攻防技法的數字人對手在靶場中作為紅隊“陪練”；事件觸發器

254、能夠模擬真實世界中各類安全事件、運維事件的發生方式，讓用戶在一個接近真實的模擬環境中磨練應對各種突發事件的應急響應能力。數字建模仿真技術：除了傳統的虛擬機、容器等模擬仿真技術，丈八網安還支持使用數字建模技術快速構建復雜系統的簡化模型。在通用領域，這項技術能夠支撐更好的開展推演類業務;在工業控制領域，這項技術能夠抽離出網絡安全對生產工藝所造成影響的關鍵環節，實現針對復雜工藝的快速建模，極大的降低工業控制系統的仿真成本。物理設備池化技術：平臺不僅能夠輕松接入以太網、無線、USB 等接口的各類物理設備，還針對構建網絡場景時經常遇到的物88企業安全運營的落地實踐 物理設備池化技術：平臺不僅能夠輕松接入

255、以太網、無線、USB 等接口的各類物理設備，還針對構建網絡場景時經常遇到的物理設備無法在多個仿真場景中共用的情況，通過多臺同型號的設備構建成資源池，可供多個場景調度使用，實現將物理設備當作虛擬機一樣調度和使用，極大拓寬了含物理設備的使用場景。應用效果：為對方客戶提供全自動化場景控制，使用戶在接近真實的模擬環境中開展關鍵攻擊階段的攻防演練。滿足了對方客戶在進行人才培養、應急演練、實戰對抗、系統測試、效能評估等方面的需求。為某安全廠商打造標桿解決方案，便于行業推廣。ISC 2023 安全運營市場洞察89總 結我們發現在數字化時代，企業面臨的網絡安全威脅日益嚴重，安全運營已成為確保信息安全的關鍵環節

256、。報告中針對中小企業、關基行業以及部委客戶在安全運營方面的需求現狀進行了闡述，揭示了當前市場對安全運營的迫切需求。隨著技術的進步，安全運營正朝著更加智能化、自動化的方向發展。未來，人工智能、大數據、機器學習等先進技術將在安全運營領域發揮更大的作用，幫助企業實現更高效、更精確的威脅檢測和應對。此外，跨行業合作和信息共享也將成為安全運營的重要趨勢，有助于形成統一的安全標準和最佳實踐。在展望未來安全運營的發展時，我們認為企業將更加重視以下幾個方面：首先，安全意識培訓將得到加強，提高員工的安全防范意識；其次，企業將加大安全技術和設施投入，確保安全防護能力與威脅挑戰相匹配；最后，持續優化安全運營流程，提升安全事件的應急響應能力?？傊?，安全運營已成為企業發展的關鍵支撐環節，在未來的發展過程中，企業需要關注安全運營的最新發展動態和技術趨勢，不斷提升自身的安全防護能力，以應對日益嚴峻的網絡安全挑戰。同時，行業內部也應共同努力，形成更加成熟、完善的安全運營生態，為全社會的數字安全提供有力保障。90企業安全運營的落地實踐