五年五圖 ‖ 《數(shù)字時代：基于行業(yè)最佳實踐的生態(tài)化安全能力基礎(chǔ)庫》PCSA2024年度重要

來源：互聯(lián)網(wǎng)   發(fā)布日期：2024-06-24   瀏覽：219次  

導(dǎo)讀

歷經(jīng)八年，聚合行業(yè)安全專家智慧，凝練行業(yè)安全最佳實踐，《數(shù)字時代:基于行業(yè)最佳實踐的生態(tài)化安全能力基礎(chǔ)庫》于2024年6月22日在第四屆數(shù)字安全大會上正式發(fā)布。

該研究成果是在中國信息協(xié)會信息安全專業(yè)委員會的指導(dǎo)下，由PCSA安全研究院、聯(lián)盟成員，聯(lián)合行業(yè)用戶和產(chǎn)業(yè)各方，深刻總結(jié)提煉安全能力管理與應(yīng)用面臨的共性問題和頑疾，基于行業(yè)最佳實踐提出生態(tài)化安全能力基礎(chǔ)庫（以下簡稱“安全能力基礎(chǔ)庫”），旨在為網(wǎng)安產(chǎn)業(yè)、行業(yè)用戶和安全從業(yè)者提供一個安全能力管理與應(yīng)用方法。

本研究工作自2016年10月開始，歷經(jīng)八年累積沉淀，在實踐中已完成19大安全領(lǐng)域、43種安全能力、245個安全能力（以API為主）對接，主要實現(xiàn)：

安全能力統(tǒng)一納管與實戰(zhàn)驗證

安全能力生態(tài)閃接與互通互聯(lián)

安全能力打牢基座與模型固化

緣起

監(jiān)管單位

長期推動網(wǎng)絡(luò)安全產(chǎn)品互通互聯(lián)、信息共享，清晰化類別與代碼政策及標(biāo)準(zhǔn)出臺，推動創(chuàng)新發(fā)展

運營單位

主要解決網(wǎng)絡(luò)安全產(chǎn)品統(tǒng)一管理、生態(tài)能力聚合、互通互聯(lián)、信息共享、數(shù)據(jù)質(zhì)量、實戰(zhàn)效果、自動化/智能化效能提升、投資有效性等

產(chǎn)業(yè)單位

期望有明確的統(tǒng)一互通互聯(lián)、信息共享、能力接入標(biāo)準(zhǔn)，打破行業(yè)壁壘，能夠互信互利

歷程

PCSA秉承“質(zhì)由新生，信仰共造”的理念，聚合中國關(guān)鍵安全能力賦能數(shù)字智能時代。

2016年10月，PCSA安全能力者聯(lián)盟成立

2016年12月，工作方案通過專家評審會

2018年5月，召開安全能力審核說明會

2020年5月，安全防御能力全景研究（20年度圖）

2021年3月，安全能力基礎(chǔ)庫定位研究（21年度圖）

2022年6月，網(wǎng)絡(luò)安全場景應(yīng)用研究（22年度圖）

2023年6月，數(shù)據(jù)安全場景應(yīng)用研究（23年度圖）

能力接入

2019年，完成60+安全能力接入

2020年，完成78安全能力接入

2021年，完成127安全能力接入

2022年，完成180安全能力接入

2023年，完成198安全能力接入

2024年，完成245安全能力接入

申請接入基本原則：

要求為國產(chǎn)原創(chuàng)(非OEM)，至少兩年技術(shù)投入，產(chǎn)研技術(shù)團隊不低于10人，并且已在實網(wǎng)環(huán)境有運行并產(chǎn)生實際效果，接入的接口形式以API為主，通過PCSA安全專家團隊能力評審、技術(shù)接口評估、數(shù)據(jù)質(zhì)量評估，驗證通過后，面向公眾發(fā)布一圖一描述一評價。

計劃

2024年5月-6月，一年一圖開展專家意見征求

2024年6月22日，正式公開發(fā)布

后續(xù)計劃，多輪研討、持續(xù)改進、落地行業(yè)

鳴謝

產(chǎn)業(yè)研究力量：中國信息協(xié)會信息安全專業(yè)委員會、PCSA安全研究院、數(shù)世咨詢、數(shù)說安全、CIO時代/安全學(xué)院、FREEBUF、特大號、斯元商業(yè)、國信政務(wù)云等

行業(yè)實踐力量：能源、金融、交通、建筑、地方大數(shù)據(jù)局等眾多行業(yè)及安全專家

注：本文約1.6萬字，預(yù)計閱讀時間 10 分鐘。歡迎各行業(yè)和產(chǎn)業(yè)安全專家反饋改進、共同完善、交流合作。

聲 明

本文《數(shù)字時代:基于行業(yè)最佳實踐的生態(tài)化安全能力基礎(chǔ)庫》中涉及的內(nèi)容，包括但不限于文本、圖片、數(shù)據(jù)、表格、觀點等各種形式，已取得相關(guān)著作權(quán)，嚴格遵循國家網(wǎng)絡(luò)安全法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，均為互聯(lián)網(wǎng)可公開查詢資料，總結(jié)凝聚了行業(yè)共性經(jīng)驗，意在開展深度交流、學(xué)習(xí)及研討。科技創(chuàng)新、學(xué)無止境，尊重原創(chuàng)、尊重創(chuàng)新，轉(zhuǎn)載、摘編使用本文圖片、文字或觀點等的應(yīng)注明來源。未經(jīng)授權(quán)許可，任何法人單位及個人不得用于商業(yè)目的使用。違反上述聲明者，我司可追究其相關(guān)法律責(zé)任。

一、研究背景

十幾年安全合規(guī)建設(shè)與近些年攻防實戰(zhàn)演練，數(shù)字化組織購買了大量的安全能力，經(jīng)歷不同歷史時期，呈現(xiàn)出品類眾多、安全異構(gòu)、孤島式、碎片式等狀態(tài)，根據(jù)從監(jiān)管單位、行業(yè)用戶、產(chǎn)業(yè)領(lǐng)域的眾多調(diào)研，共計總結(jié)提煉了三大困惑八個關(guān)鍵視角，闡述如下：

困惑一：安全能力買了很多，用的如何？效果如何？是否持續(xù)投入？

從調(diào)研情況來看，眾多行業(yè)用戶的安全決策者、管理者和運營人員安全能力管理工作缺乏全局視角，無法快速掌握與評價安全能力應(yīng)用效果，無法高效決策安全能力投資需求，在面對安全實戰(zhàn)與日常運營工作時，面臨諸多挑戰(zhàn)。

01、安全決策者視角

安全決策者在數(shù)字化組織中通常負責(zé)整個安全戰(zhàn)略方向和投資決策的制定。

面臨安全能力效果作用評估難：隨著數(shù)字化組織購買的安全產(chǎn)品和服務(wù)日益增多，安全決策者需要評估這些安全能力在實際應(yīng)用中的效果。然而，由于安全能力的多樣性和復(fù)雜性，很難準(zhǔn)確衡量它們對企業(yè)整體安全狀況的貢獻。

面臨是否持續(xù)投入決策難：在安全領(lǐng)域，持續(xù)投入是必不可少的。然而，如何確定哪些安全能力值得長期投入，哪些需要調(diào)整或替換，是安全決策者面臨的難題。

02、安全管理者視角

安全管理者負責(zé)整個網(wǎng)絡(luò)安全防御體系架構(gòu)，負責(zé)組織隊伍應(yīng)用安全能力開展網(wǎng)絡(luò)安全工作。

面臨安全能力供應(yīng)商多：隨著安全市場的快速發(fā)展，安全能力供應(yīng)商如雨后春筍般涌現(xiàn)。這些供應(yīng)商提供的安全產(chǎn)品和服務(wù)種類繁多，功能各異。對于安全管理者來說，選擇合適的供應(yīng)商和產(chǎn)品成為很重要的工作。

面臨安全能力層次不齊：不同的安全能力供應(yīng)商提供的產(chǎn)品和服務(wù)在技術(shù)水平、功能覆蓋和效果表現(xiàn)上存在差異。這種能力層次的不齊需要花費大量的時間和精力去評估和篩選合適的安全能力。

面臨安全能力成熟度不易評價：安全能力的成熟度評價沒有統(tǒng)一的標(biāo)準(zhǔn)，更多基于實際環(huán)境和實戰(zhàn)應(yīng)用效果，很難用具體的指標(biāo)來衡量。不同的能力大部分是基于在數(shù)字化組織的實際應(yīng)用情況來進行評價。

面臨分類不清、數(shù)量不清、部署不清：隨著安全能力的不斷增加和更新，安全管理者需要建立一套完善的管理體系，用來對各種安全能力清晰的分類和標(biāo)識。在實際操作中，由于安全能力的多樣性和復(fù)雜性，使得分類和統(tǒng)計變得十分困難。同時，部署安全能力也需要考慮多個因素，如網(wǎng)絡(luò)環(huán)境、硬件設(shè)備、人員配置等，這些都會影響到安全能力的部署效果和效率。

03、安全運營人員視角

安全運營人員負責(zé)安全能力的日常運營和維護，負責(zé)實戰(zhàn)攻防監(jiān)測、分析、研判、防御。

面臨安全能力煙囪式狀態(tài)：由于歷史原因和業(yè)務(wù)需求的不同，安全能力往往呈現(xiàn)出煙囪式的分布狀態(tài)。導(dǎo)致需要很多的安全運營人員管理多個獨立的安全系統(tǒng)。

面臨安全能力在線運行情況不明：安全運營人員需要實時了解安全能力的在線運行情況，以便及時發(fā)現(xiàn)和處理安全問題。由于安全能力的多樣性和復(fù)雜性，很難準(zhǔn)確掌握它們的實時狀態(tài)。

面臨安全能力策略執(zhí)行效果不清：安全策略是安全防御體系的核心組成部分。在實際執(zhí)行過程中，由于各種因素的影響，安全策略的執(zhí)行效果往往難以達到預(yù)期。

面臨安全能力實戰(zhàn)效果不佳：能力分散反應(yīng)不及時，在面對真實的安全威脅時，安全能力的實戰(zhàn)表現(xiàn)較差。

困惑二：互通互聯(lián)本是剛需，實現(xiàn)之路困難重重

實戰(zhàn)化檢驗下，通過技術(shù)層面實現(xiàn)安全能力的互通互聯(lián)，形成高效的整體防護，已是運營單位安全工作的基礎(chǔ)要求，更是真實剛需。安全產(chǎn)業(yè)呼吁十余年，但仍未突破“互通互聯(lián)”壁壘，持續(xù)困擾著眾多數(shù)字化組織。

01、政策標(biāo)準(zhǔn)視角

政策標(biāo)準(zhǔn)的制定是一個復(fù)雜而漫長的過程，標(biāo)準(zhǔn)的制定者通常是監(jiān)管機構(gòu)、行業(yè)專家、院校學(xué)者以及產(chǎn)業(yè)單位，基于對整個行業(yè)的理解和判斷，提出相應(yīng)的標(biāo)準(zhǔn)和規(guī)范。然而，這些標(biāo)準(zhǔn)和規(guī)范往往滯后于實際的安全需求和技術(shù)發(fā)展，因為它們需要經(jīng)過長時間的討論、修改和批準(zhǔn)過程。同時，標(biāo)準(zhǔn)制定者和實際應(yīng)用者之間也存在一定的行業(yè)的群體性差異，標(biāo)準(zhǔn)制定者可能更注重整體性和規(guī)范性，而實際應(yīng)用者則更關(guān)注具體性和實用性。這種差異導(dǎo)致標(biāo)準(zhǔn)制定與實際需求之間存在一定的偏差。

02、行業(yè)視角

從行業(yè)視角來看，實現(xiàn)安全能力的快速生態(tài)聚合與互通互聯(lián)已經(jīng)成為迫切剛需。在實戰(zhàn)化、體系化、常態(tài)化的背景下，數(shù)字化組織需要構(gòu)建一個全面的、多層次的安全防護體系，方可應(yīng)對各種復(fù)雜的安全威脅，做到迅速響應(yīng)并有效應(yīng)對。

03、產(chǎn)業(yè)視角

從產(chǎn)業(yè)視角來看，安全能力互通互聯(lián)需要建立在相互信任的基礎(chǔ)上。然而當(dāng)前安全產(chǎn)業(yè)之間存在天然的信任鴻溝，這是由于不同的安全廠商、服務(wù)提供商和運營商之間在技術(shù)標(biāo)準(zhǔn)、產(chǎn)品性能、服務(wù)質(zhì)量等方面存在差異和競爭關(guān)系所導(dǎo)致的。這種信任鴻溝不僅影響了安全能力的互通互聯(lián)效果，還增加了整個安全生態(tài)的復(fù)雜性和不確定性。

困惑三：安全能力數(shù)據(jù)聚合難，安全數(shù)據(jù)治理難，安全經(jīng)驗固化難

安全業(yè)務(wù)平臺化已是業(yè)內(nèi)共識，無論是SOC、SIEM、XDR、態(tài)勢感知，還是安全中樞/安全大腦，都依賴于“可信數(shù)據(jù)”、“黃金數(shù)據(jù)”，但現(xiàn)實情況下，安全能力數(shù)據(jù)聚合難、安全數(shù)據(jù)治理難、安全經(jīng)驗固化難已經(jīng)成為行業(yè)用戶面臨的三座大山。

01、安全能力數(shù)據(jù)聚合視角

在安全業(yè)務(wù)平臺化的趨勢中，數(shù)據(jù)聚合是構(gòu)建有效安全防護體系的關(guān)鍵環(huán)節(jié)。然而，現(xiàn)實情況下，安全能力數(shù)據(jù)聚合面臨多重挑戰(zhàn)。

1）線路選擇的挑戰(zhàn)

a. 大而全的策略

選擇大而全的數(shù)據(jù)聚合策略意味著嘗試收集所有可能相關(guān)的安全數(shù)據(jù)。這種做法看似全面，但實踐中往往存在“臟數(shù)據(jù)”的問題。由于數(shù)據(jù)來源廣泛、格式不一、質(zhì)量參差不齊，大量的無效、冗余甚至錯誤數(shù)據(jù)會被引入，給后續(xù)的數(shù)據(jù)分析和處理帶來極大困難。此外，存儲這些龐大且復(fù)雜的數(shù)據(jù)集也需要高昂的成本。

b. 精而細的策略

選擇精而細的策略則注重選擇高質(zhì)量、關(guān)鍵性的數(shù)據(jù)進行聚合。這種策略能夠在很大程度上避免“臟數(shù)據(jù)”的問題，但需要專業(yè)人員對數(shù)據(jù)源進行精心篩選和評估，并對數(shù)據(jù)進行專項治理。此外，由于數(shù)據(jù)精細化程度高，對人員的要求也相應(yīng)提高，需要具備深厚的安全知識背景和豐富的實踐經(jīng)驗。

2）共性挑戰(zhàn)

a. 安全能力效果評估

在聚合安全能力數(shù)據(jù)之前，需要對各種安全能力進行評估，確定其適用范圍、有效性以及與其他能力的兼容性。這個過程需要深入理解各種安全技術(shù)的原理和特點，并結(jié)合實際的安全需求進行綜合分析。

b. 安全能力接口開發(fā)及上線驗證周期長

由于安全能力數(shù)據(jù)通常來自不同的系統(tǒng)和設(shè)備，需要開發(fā)相應(yīng)的接口來實現(xiàn)數(shù)據(jù)的互聯(lián)互通。然而，由于不同系統(tǒng)和設(shè)備的技術(shù)差異和接口標(biāo)準(zhǔn)不一，接口開發(fā)往往需要耗費大量的時間和精力。同時，為了保證數(shù)據(jù)的準(zhǔn)確性和可靠性，還需要進行嚴格的上線驗證測試，這也進一步延長了數(shù)據(jù)聚合的周期。

02、安全能力數(shù)據(jù)治理視角

安全能力數(shù)據(jù)治理是確保安全數(shù)據(jù)質(zhì)量、提升數(shù)據(jù)價值的關(guān)鍵環(huán)節(jié)。在現(xiàn)實中，安全能力數(shù)據(jù)治理面臨諸多挑戰(zhàn)。

1）安全能力數(shù)據(jù)治理持續(xù)性工作

安全能力數(shù)據(jù)治理是一個持續(xù)性的工作過程，需要定期對數(shù)據(jù)進行清洗、整合、分析和評估。同時，由于安全威脅的不斷變化和數(shù)據(jù)量的不斷增長，數(shù)據(jù)治理的工作量也會相應(yīng)增加，需要固定的團隊、人員和工作環(huán)境以及平臺固化，形成自動化；

2）需要“結(jié)硬寨，打呆仗”精神

安全能力數(shù)據(jù)治理需要投入大量的人力、物力和財力，而且效果往往不是立竿見影的。這要求數(shù)字化組織具備堅定的決心和持久的耐心，以結(jié)硬寨打呆仗的精神來推進安全能力數(shù)據(jù)治理工作。只有持之以恒地投入和努力，才能逐步改善數(shù)據(jù)質(zhì)量、提升數(shù)據(jù)價值。

3）安全能力數(shù)據(jù)治理高級人才短缺

安全能力數(shù)據(jù)治理需要具備深厚的數(shù)據(jù)分析能力和安全專業(yè)知識的高級人才來支持。然而，在現(xiàn)實中，這類人才往往供不應(yīng)求。缺乏算法工程師、高級別分析工程師等高級人才將嚴重影響數(shù)據(jù)治理的效果和效率。

4）安全能力數(shù)據(jù)模型固化機制缺失

即使已經(jīng)產(chǎn)生了一定的數(shù)據(jù)集，但由于缺乏有效的模型固化機制，這些數(shù)據(jù)往往難以形成有效的安全防御模型。

二、核心思想解讀

總體架構(gòu)

《數(shù)字時代：基于行業(yè)最佳實踐的生態(tài)化安全能力基礎(chǔ)庫》的核心思想總結(jié)為“6-1-3-N”架構(gòu)

“6”大核心目標(biāo)

統(tǒng)一納管、生態(tài)閃接、打牢基座互通互聯(lián)、模型固化、實戰(zhàn)驗證

“1”套聚合機制

以API方式為主進行安全能力對接；持續(xù)建立多品類、多生態(tài)的安全能力互通互聯(lián)服務(wù)模式

“3”層關(guān)鍵要點

能力一體管理、能力數(shù)據(jù)工程、能力服務(wù)門戶

“N”個賦能場景

全維全域監(jiān)測中心、快速持續(xù)響應(yīng)中心、智能分析算法對抗、精準(zhǔn)研判預(yù)測中心、動態(tài)縱深防御中心、戰(zhàn)略決策指揮協(xié)同……

架構(gòu)解讀

“6”大核心目標(biāo)

01、統(tǒng)一納管

統(tǒng)一管理不同來源、不同分類、不同廠商的安全能力，實現(xiàn)安全能力“看得清、管的住、實時監(jiān)控”

02、生態(tài)閃接

內(nèi)置標(biāo)準(zhǔn)的安全能力對接機制，提供200+生態(tài)化能力對接模板，實現(xiàn)安全能力“秒級接入、精準(zhǔn)采集、高效服務(wù)”

03、打牢基座

通過能力一體管理和能力數(shù)據(jù)工程，構(gòu)建安全能力管理和評價機制，落實安全數(shù)據(jù)治理，形成高質(zhì)量安全數(shù)據(jù)集，為打牢安全工作基座提供有效支撐

04、互通互聯(lián)

建立生態(tài)安全能力互通互聯(lián)模式，有效共享高質(zhì)量安全數(shù)據(jù)，協(xié)同安全產(chǎn)品功能應(yīng)用，提升安全防護能力和網(wǎng)絡(luò)安全事件處置效率

05、模型固化

基于安全數(shù)據(jù)集，結(jié)合特征工程，固化專家經(jīng)驗，形成場景化的數(shù)據(jù)模型，快速從海量數(shù)據(jù)中定位、發(fā)現(xiàn)、感知異常狀態(tài)，為上層系統(tǒng)、專家分析決策提供支撐保障

06、實戰(zhàn)驗證

持續(xù)積累實戰(zhàn)經(jīng)驗，構(gòu)建多類型的安全能力、安全數(shù)據(jù)集的有效工作機制，為用戶挑選、評價與驗證“真”能力，為體系對抗和日常運營提供有力支撐

“1”套聚合機制

以API方式為主進行安全能力對接，實現(xiàn)安全能力的互通互聯(lián)；八年期間（2016年2024年），聚合對接245個安全能力，未來，將繼續(xù)以安全工作需求為導(dǎo)向，持續(xù)對接并強化安全能力管理應(yīng)用

說明：

API：不同應(yīng)用可以共享數(shù)據(jù)，實現(xiàn)無縫集成，允許第三方應(yīng)用通過API接入，擴展應(yīng)用程序的功能和服務(wù)，數(shù)據(jù)質(zhì)量高、結(jié)構(gòu)統(tǒng)一，適用于需要大量、高質(zhì)量數(shù)據(jù)的數(shù)據(jù)分析等領(lǐng)域

Syslog：主要記錄系統(tǒng)或應(yīng)用程序的日志信息，包括錯誤、警告、通知等，適用于系統(tǒng)監(jiān)控、故障排查等場景

“3”層關(guān)鍵要點

01、能力服務(wù)門戶

基于安全數(shù)據(jù)集及能力管控機制，形成能力服務(wù)門戶，涵蓋服務(wù)市場、用戶服務(wù)、系統(tǒng)服務(wù)、服務(wù)流程4類內(nèi)容，為上層應(yīng)用提供一站式服務(wù)。

02、能力數(shù)據(jù)工程

結(jié)合最佳實踐建立能力數(shù)據(jù)工程，涵蓋數(shù)據(jù)基線、數(shù)據(jù)治理、數(shù)據(jù)集、特征工程、數(shù)據(jù)建模、數(shù)據(jù)管理6類內(nèi)容，覆蓋安全能力數(shù)據(jù)收集、存儲、處理、分析、應(yīng)用的全過程，形成高質(zhì)量的安全數(shù)據(jù)集。

03、能力一體管理

通過標(biāo)準(zhǔn)機制形成安全能力一體化管理，涵蓋能力全景、能力分類、能力評估、能力閃接、能力管理、能力畫像和能力監(jiān)測7類內(nèi)容，簡化能力接入、使用、跟蹤、評價的復(fù)雜性，構(gòu)建標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全能力管理機制。

“N”個賦能場景

夯實安全數(shù)字化安全基石，提供高質(zhì)量安全數(shù)據(jù)，在實戰(zhàn)化、常態(tài)化、體系化背景下為各行業(yè)用戶安全運營工作場景有效賦能：

全維全域監(jiān)測中心

快速持續(xù)響應(yīng)中心

智能分析算法對抗

精準(zhǔn)研判預(yù)測中心

動態(tài)縱深防御中心

戰(zhàn)略決策指揮協(xié)同

數(shù)字時代：基于行業(yè)最佳實踐的生態(tài)化安全能力基礎(chǔ)庫編制過程中得到了很多專家意見，詳情請查看https://mp.weixin.qq.com/s/9pq-1AukD6zxynoc_kDVqQ

贊助本站