導讀

歷經八年，聚合行業安全專家智慧，凝練行業安全最佳實踐，《數字時代:基於行業最佳實踐的生態化安全能力基礎庫》于2024年6月22日在第四屆數字安全大會上正式發佈。

該研究成果是在中國資訊協會資訊安全專業委員會的指導下，由PCSA安全研究院、聯盟成員，聯合行業用戶和産業各方，深刻總結提煉安全能力管理與應用面臨的共性問題和頑疾，基於行業最佳實踐提出生態化安全能力基礎庫（以下簡稱“安全能力基礎庫”），旨在為網安産業、行業用戶和安全從業者提供一個安全能力管理與應用方法。

本研究工作自2016年10月開始，歷經八年累積沉澱，在實踐中已完成19大安全領域、43種安全能力、245個安全能力（以API為主）對接，主要實現：

• 安全能力統一納管與實戰驗證

• 安全能力生態閃接與互通互聯

• 安全能力打牢基座與模型固化

緣起

監管單位

長期推動網路安全産品互通互聯、資訊共用，清晰化類別與代碼政策及標準出臺，推動創新發展

運營單位

主要解決網路安全産品統一管理、生態能力聚合、互通互聯、資訊共用、數據品質、實戰效果、自動化/智慧化效能提升、投資有效性等

産業單位

期望有明確的統一互通互聯、資訊共用、能力接入標準，打破行業壁壘，能夠互信互利

歷程

PCSA秉承“質由新生，信仰共造”的理念，聚合中國關鍵安全能力賦能數字智慧時代。

2016年10月，PCSA安全能力者聯盟成立

2016年12月，工作方案通過專家評審會

2018年5月，召開安全能力審核説明會

2020年5月，安全防禦能力全景研究（20年度圖）

2021年3月，安全能力基礎庫定位研究（21年度圖）

2022年6月，網路安全場景應用研究（22年度圖）

2023年6月，數據安全場景應用研究（23年度圖）

能力接入

2019年，完成60+安全能力接入

2020年，完成78安全能力接入

2021年，完成127安全能力接入

2022年，完成180安全能力接入

2023年，完成198安全能力接入

2024年，完成245安全能力接入

申請接入基本原則：

要求為國産原創(非OEM)，至少兩年技術投入，産研技術團隊不低於10人，並且已在實網環境有運作並産生實際效果，接入的介面形式以API為主，通過PCSA安全專家團隊能力評審、技術介面評估、數據品質評估，驗證通過後，面向公眾發佈一圖一描述一評價。

計劃

2024年5月-6月，一年一圖開展專家意見徵求

2024年6月22日，正式公開發佈

後續計劃，多輪研討、持續改進、落地行業

鳴謝

産業研究力量：中國資訊協會資訊安全專業委員會、PCSA安全研究院、數世諮詢、數説安全、CIO時代/安全學院、FREEBUF、特大號、斯元商業、國信政務雲等

行業實踐力量：能源、金融、交通、建築、地方大數據局等眾多行業及安全專家

注：本文約1.6萬字，預計閱讀時間 10 分鐘。歡迎各行業和産業安全專家反饋改進、共同完善、交流合作。

聲 明

本文《數字時代:基於行業最佳實踐的生態化安全能力基礎庫》中涉及的內容，包括但不限于文本、圖片、數據、表格、觀點等各種形式，已取得相關著作權，嚴格遵循國家網路安全法律法規、標準規範，均為網際網路可公開查詢資料，總結凝聚了行業共性經驗，意在開展深度交流、學習及研討。科技創新、學無止境，尊重原創、尊重創新，轉載、摘編使用本文圖片、文字或觀點等的應註明來源。未經授權許可，任何法人單位及個人不得用於商業目的使用。違反上述聲明者，我司可追究其相關法律責任。

一、研究背景

十幾年安全合規建設與近些年攻防實戰演練，數字化組織購買了大量的安全能力，經歷不同歷史時期，呈現出品類眾多、安全異構、孤島式、碎片式等狀態，根據從監管單位、行業用戶、産業領域的眾多調研，共計總結提煉了三大困惑八個關鍵視角，闡述如下：

困惑一：安全能力買了很多，用的如何？效果如何？是否持續投入？

從調研情況來看，眾多行業用戶的安全決策者、管理者和運營人員安全能力管理工作缺乏全局視角，無法快速掌握與評價安全能力應用效果，無法高效決策安全能力投資需求，在面對安全實戰與日常運營工作時，面臨諸多挑戰。

01、安全決策者視角

安全決策者在數字化組織中通常負責整個安全戰略方向和投資決策的制定。

面臨安全能力效果作用評估難：隨著數字化組織購買的安全産品和服務日益增多，安全決策者需要評估這些安全能力在實際應用中的效果。然而，由於安全能力的多樣性和複雜性，很難準確衡量它們對企業整體安全狀況的貢獻。

面臨是否持續投入決策難：在安全領域，持續投入是必不可少的。然而，如何確定哪些安全能力值得長期投入，哪些需要調整或替換，是安全決策者面臨的難題。

02、安全管理者視角

安全管理者負責整個網路安全防禦體系架構，負責組織隊伍應用安全能力開展網路安全工作。

面臨安全能力供應商多：隨著安全市場的快速發展，安全能力供應商如雨後春筍般涌現。這些供應商提供的安全産品和服務種類繁多，功能各異。對於安全管理者來説，選擇合適的供應商和産品成為很重要的工作。

面臨安全能力層次不齊：不同的安全能力供應商提供的産品和服務在技術水準、功能覆蓋和效果表現上存在差異。這種能力層次的不齊需要花費大量的時間和精力去評估和篩選合適的安全能力。

面臨安全能力成熟度不易評價：安全能力的成熟度評價沒有統一的標準，更多基於實際環境和實戰應用效果，很難用具體的指標來衡量。不同的能力大部分是基於在數字化組織的實際應用情況來進行評價。

面臨分類不清、數量不清、部署不清：隨著安全能力的不斷增加和更新，安全管理者需要建立一套完善的管理體系，用來對各種安全能力清晰的分類和標識。在實際操作中，由於安全能力的多樣性和複雜性，使得分類和統計變得十分困難。同時，部署安全能力也需要考慮多個因素，如網路環境、硬體設備、人員配置等，這些都會影響到安全能力的部署效果和效率。

03、安全運營人員視角

安全運營人員負責安全能力的日常運營和維護，負責實戰攻防監測、分析、研判、防禦。

面臨安全能力煙囪式狀態：由於歷史原因和業務需求的不同，安全能力往往呈現出煙囪式的分佈狀態。導致需要很多的安全運營人員管理多個獨立的安全系統。

面臨安全能力線上運作情況不明：安全運營人員需要實時了解安全能力的線上運作情況，以便及時發現和處理安全問題。由於安全能力的多樣性和複雜性，很難準確掌握它們的實時狀態。

面臨安全能力策略執行效果不清：安全策略是安全防禦體系的核心組成部分。在實際執行過程中，由於各種因素的影響，安全策略的執行效果往往難以達到預期。

面臨安全能力實戰效果不佳：能力分散反應不及時，在面對真實的安全威脅時，安全能力的實戰表現較差。

困惑二：互通互聯本是剛需，實現之路困難重重

實戰化檢驗下，通過技術層面實現安全能力的互通互聯，形成高效的整體防護，已是運營單位安全工作的基礎要求，更是真實剛需。安全産業呼籲十餘年，但仍未突破“互通互聯”壁壘，持續困擾著眾多數字化組織。

01、政策標準視角

政策標準的制定是一個複雜而漫長的過程，標準的制定者通常是監管機構、行業專家、院校學者以及産業單位，基於對整個行業的理解和判斷，提出相應的標準和規範。然而，這些標準和規範往往滯後於實際的安全需求和技術發展，因為它們需要經過長時間的討論、修改和批准過程。同時，標準制定者和實際應用者之間也存在一定的行業的群體性差異，標準制定者可能更注重整體性和規範性，而實際應用者則更關注具體性和實用性。這種差異導致標準制定與實際需求之間存在一定的偏差。

02、行業視角

從行業視角來看，實現安全能力的快速生態聚合與互通互聯已經成為迫切剛需。在實戰化、體系化、常態化的背景下，數字化組織需要構建一個全面的、多層次的安全防護體系，方可應對各種複雜的安全威脅，做到迅速響應並有效應對。

03、産業視角

從産業視角來看，安全能力互通互聯需要建立在相互信任的基礎上。然而當前安全産業之間存在天然的信任鴻溝，這是由於不同的安全廠商、服務提供商和運營商之間在技術標準、産品性能、服務品質等方面存在差異和競爭關係所導致的。這種信任鴻溝不僅影響了安全能力的互通互聯效果，還增加了整個安全生態的複雜性和不確定性。

困惑三：安全能力數據聚合難，安全數據治理難，安全經驗固化難

安全業務平臺化已是業內共識，無論是SOC、SIEM、XDR、態勢感知，還是安全中樞/安全大腦，都依賴於“可信數據”、“黃金數據”，但現實情況下，安全能力數據聚合難、安全數據治理難、安全經驗固化難已經成為行業用戶面臨的三座大山。

01、安全能力數據聚合視角

在安全業務平臺化的趨勢中，數據聚合是構建有效安全防護體系的關鍵環節。然而，現實情況下，安全能力數據聚合面臨多重挑戰。

1）線路選擇的挑戰

a. 大而全的策略

選擇大而全的數據聚合策略意味著嘗試收集所有可能相關的安全數據。這種做法看似全面，但實踐中往往存在“臟數據”的問題。由於數據來源廣泛、格式不一、品質參差不齊，大量的無效、冗余甚至錯誤數據會被引入，給後續的數據分析和處理帶來極大困難。此外，存儲這些龐大且複雜的數據集也需要高昂的成本。

b. 精而細的策略

選擇精而細的策略則注重選擇高品質、關鍵性的數據進行聚合。這種策略能夠在很大程度上避免“臟數據”的問題，但需要專業人員對數據源進行精心篩選和評估，並對數據進行專項治理。此外，由於數據精細化程度高，對人員的要求也相應提高，需要具備深厚的安全知識背景和豐富的實踐經驗。

2）共性挑戰

a. 安全能力效果評估

在聚合安全能力數據之前，需要對各種安全能力進行評估，確定其適用範圍、有效性以及與其他能力的相容性。這個過程需要深入理解各種安全技術的原理和特點，並結合實際的安全需求進行綜合分析。

b. 安全能力介面開發及上線驗證週期長

由於安全能力數據通常來自不同的系統和設備，需要開發相應的介面來實現數據的互聯互通。然而，由於不同系統和設備的技術差異和介面標準不一，介面開發往往需要耗費大量的時間和精力。同時，為了保證數據的準確性和可靠性，還需要進行嚴格的上線驗證測試，這也進一步延長了數據聚合的週期。

02、安全能力數據治理視角

安全能力數據治理是確保安全數據品質、提升數據價值的關鍵環節。在現實中，安全能力數據治理面臨諸多挑戰。

1）安全能力數據治理持續性工作

安全能力數據治理是一個持續性的工作過程，需要定期對數據進行清洗、整合、分析和評估。同時，由於安全威脅的不斷變化和數據量的不斷增長，數據治理的工作量也會相應增加，需要固定的團隊、人員和工作環境以及平臺固化，形成自動化；

2）需要“結硬寨，打呆仗”精神

安全能力數據治理需要投入大量的人力、物力和財力，而且效果往往不是立竿見影的。這要求數字化組織具備堅定的決心和持久的耐心，以結硬寨打呆仗的精神來推進安全能力數據治理工作。只有持之以恒地投入和努力，才能逐步改善數據品質、提升數據價值。

3）安全能力數據治理高級人才短缺

安全能力數據治理需要具備深厚的數據分析能力和安全專業知識的高級人才來支援。然而，在現實中，這類人才往往供不應求。缺乏演算法工程師、高級別分析工程師等高級人才將嚴重影響數據治理的效果和效率。

4）安全能力數據模型固化機制缺失

即使已經産生了一定的數據集，但由於缺乏有效的模型固化機制，這些數據往往難以形成有效的安全防禦模型。

二、核心思想解讀

總體架構

《數字時代：基於行業最佳實踐的生態化安全能力基礎庫》的核心思想總結為“6-1-3-N”架構

“6”大核心目標

統一納管、生態閃接、打牢基座互通互聯、模型固化、實戰驗證

“1”套聚合機制

以API方式為主進行安全能力對接；持續建立多品類、多生態的安全能力互通互聯服務模式

“3”層關鍵要點

能力一體管理、能力數據工程、能力服務門戶

“N”個賦能場景

全維全域監測中心、快速持續響應中心、智慧分析演算法對抗、精準研判預測中心、動態縱深防禦中心、戰略決策指揮協同……

架構解讀

“6”大核心目標

01、統一納管

統一管理不同來源、不同分類、不同廠商的安全能力，實現安全能力“看得清、管的住、實時監控”

02、生態閃接

內置標準的安全能力對接機制，提供200+生態化能力對接模板，實現安全能力“秒級接入、精準採集、高效服務”

03、打牢基座

通過能力一體管理和能力數據工程，構建安全能力管理和評價機制，落實安全數據治理，形成高品質安全數據集，為打牢安全工作基座提供有效支撐

04、互通互聯

建立生態安全能力互通互聯模式，有效共用高品質安全數據，協同安全産品功能應用，提升安全防護能力和網路安全事件處置效率

05、模型固化

基於安全數據集，結合特徵工程，固化專家經驗，形成場景化的數據模型，快速從海量數據中定位、發現、感知異常狀態，為上層系統、專家分析決策提供支撐保障

06、實戰驗證

持續積累實戰經驗，構建多類型的安全能力、安全數據集的有效工作機制，為用戶挑選、評價與驗證“真”能力，為體系對抗和日常運營提供有力支撐

“1”套聚合機制

以API方式為主進行安全能力對接，實現安全能力的互通互聯；八年期間（2016年—2024年），聚合對接245個安全能力，未來，將繼續以安全工作需求為導向，持續對接並強化安全能力管理應用

説明：

API：不同應用可以共用數據，實現無縫整合，允許第三方應用通過API接入，擴展應用程式的功能和服務，數據品質高、結構統一，適用於需要大量、高品質數據的數據分析等領域

Syslog：主要記錄系統或應用程式的日誌資訊，包括錯誤、警告、通知等，適用於系統監控、故障排查等場景

“3”層關鍵要點

01、能力服務門戶

基於安全數據集及能力管控機制，形成能力服務門戶，涵蓋服務市場、用戶服務、系統服務、服務流程4類內容，為上層應用提供一站式服務。

02、能力數據工程

結合最佳實踐建立能力數據工程，涵蓋數據基線、數據治理、數據集、特徵工程、數據建模、數據管理6類內容，覆蓋安全能力數據收集、存儲、處理、分析、應用的全過程，形成高品質的安全數據集。

03、能力一體管理

通過標準機制形成安全能力一體化管理，涵蓋能力全景、能力分類、能力評估、能力閃接、能力管理、能力畫像和能力監測7類內容，簡化能力接入、使用、跟蹤、評價的複雜性，構建標準的網路安全能力管理機制。

“N”個賦能場景

夯實安全數字化安全基石，提供高品質安全數據，在實戰化、常態化、體系化背景下為各行業用戶安全運營工作場景有效賦能：

• 全維全域監測中心

• 快速持續響應中心

• 智慧分析演算法對抗

• 精準研判預測中心

• 動態縱深防禦中心

• 戰略決策指揮協同

數字時代：基於行業最佳實踐的生態化安全能力基礎庫編制過程中得到了很多專家意見。

（推廣）

來源：東方網    | 撰稿：PCSA    | 責編：谷晟    審核：張淵

新聞投稿：184042016@qq.com    新聞熱線：135 8189 2583