25北京數(shù)字世界咨詢有限公司&上海觀安信息技術(shù)股份有限公司置觀安 3 3 5第2章數(shù)智化安全運(yùn)營概念 7 7 7 13第3章數(shù)智化安全運(yùn)營框架 18 22 26 26 28 35 36 36 37 47 48 50 51 52數(shù)智化安全運(yùn)營(2025年6月)安全運(yùn)營,以往通常是具備一定規(guī)模的組織才能承擔(dān)和開展的工作,原因有工作專業(yè)度高,需要數(shù)據(jù)分析、網(wǎng)絡(luò)攻防、管理溝通等專業(yè)和復(fù)合型人才,并且工作壓力大、時間長。但隨著數(shù)字化轉(zhuǎn)型進(jìn)程的不斷深入,組織的核心業(yè)務(wù)與數(shù)字化的依賴程度逐漸走高,組織所擁有和產(chǎn)生的數(shù)據(jù)作為生產(chǎn)要素也在逐漸展現(xiàn)出自身的經(jīng)濟(jì)價的整治力度逐漸加碼,國家和社會層面加大了對網(wǎng)絡(luò)空間安全教育的投入,具備安全專業(yè)技能的復(fù)合型人才需求逐步得到解決。正價值,這是擺在產(chǎn)業(yè)界面前的一道必答題。為了回答這個問題,數(shù)世咨詢對產(chǎn)業(yè)界進(jìn)行了持續(xù)的調(diào)研,對符合數(shù)字中國的安化環(huán)境和業(yè)務(wù)特點(diǎn),開展匹配自身業(yè)務(wù)發(fā)展目標(biāo)的安全運(yùn)營工作。越來越多的組織認(rèn)識到,安全與業(yè)務(wù)不應(yīng)該是割裂的,安全運(yùn)營本質(zhì)上也是源投入s只有具備安全性的數(shù)字化業(yè)務(wù)才能得到良性發(fā)展。作為一項業(yè)務(wù),安全運(yùn)營的數(shù)字化需要從組織經(jīng)營視角,以體系化和管理化思維切入。不單單是一些技術(shù)平臺的上線,更重要的是在組織文化、管理、流程中融入安全。由于大部分安全運(yùn)營工作都具備場景化、流程化的特性,并且執(zhí)行單一性任務(wù)的安全AIAgent已經(jīng)開始應(yīng)用于各類安全工具,安全運(yùn)營與AgenticAl的識別和匯聚,將會大大提升Al應(yīng)用的多樣性以及效果。自1994年我國全功能接入國際互聯(lián)網(wǎng)以來,到現(xiàn)在30多年的時間,網(wǎng)絡(luò)威脅的方式和手段不斷升級,組織對抗網(wǎng)絡(luò)威脅的方法在不斷變化,同時組織對全意識薄弱,缺乏系統(tǒng)化防御體系,個體黑客開始嶄露頭角。網(wǎng)絡(luò)威脅以技術(shù)探測為主,攻擊者多為單純的計算機(jī)極客,主要目標(biāo)是破壞系統(tǒng)或展示技術(shù)能力。絡(luò)黑產(chǎn)開始浮出水面。這一時期網(wǎng)絡(luò)攻擊組織化、商業(yè)化特征凸顯,網(wǎng)絡(luò)釣魚、方面,嚴(yán)格劃分和控制內(nèi)外網(wǎng)界限,以邊界訪問控制設(shè)備作為主要技術(shù)手段。2012年到2022年左右,由"棱鏡門"事件為導(dǎo)火索開啟了全球網(wǎng)絡(luò)空間爭奪的序幕。云計算、移動互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的普及使攻擊面指數(shù)級擴(kuò)大,網(wǎng)絡(luò)攻這一時期,組織的安全運(yùn)營工作開始接收威脅情報對網(wǎng)絡(luò)攻擊進(jìn)行預(yù)警,通過零信任等新概念對技術(shù)手段重新調(diào)整。在網(wǎng)絡(luò)安全體系建設(shè)方面,完善覆蓋資產(chǎn)保u智能威脅的沖擊從2023年開始,由于AIGC、量子計算、太空網(wǎng)絡(luò)等前沿技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)威脅態(tài)勢再一次產(chǎn)生了質(zhì)變,催生出諸多未知風(fēng)險。名特工和兩所美國高校,參與實(shí)施了針對亞冬會的網(wǎng)絡(luò)攻擊活動。國家計算機(jī)病毒應(yīng)急處理中心發(fā)布報告披露了兩組數(shù)字,哈爾濱亞冬會的賽事信息系統(tǒng)和黑龍江省內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施遭到境外網(wǎng)絡(luò)攻擊的次數(shù)分別為27萬次和5000萬次。從攻擊代碼研判來看,此次攻擊采用了智能體技術(shù)進(jìn)行網(wǎng)絡(luò)攻擊,部分代碼明顯由人工智能編制而成。子計算發(fā)展、布局太空網(wǎng)絡(luò)等,充分利用新技術(shù)來對抗新技術(shù)。組織的安全運(yùn)營工作同樣如此,由于業(yè)務(wù)對新技術(shù)的引入,從而產(chǎn)生了新的新一輪科技革命和產(chǎn)業(yè)革命將人類帶入數(shù)字時代s數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素的價值日益凸顯,深入滲透到經(jīng)濟(jì)社會各領(lǐng)域全過程。我國數(shù)字經(jīng)濟(jì)蓬勃發(fā)展,已經(jīng)取得了舉世矚目的成就s經(jīng)濟(jì)規(guī)模總量以及數(shù)據(jù)總量和算力總規(guī)模穩(wěn)居全球第達(dá)到13.5萬億。《數(shù)字中國建設(shè)整體布局規(guī)劃》中明確指出,數(shù)字技術(shù)創(chuàng)新體系和數(shù)字安全屏障是兩大支柱。牢筑數(shù)字安全屏障,就是要強(qiáng)化網(wǎng)絡(luò)、數(shù)據(jù)等安全保障體系建設(shè),建立健全數(shù)據(jù)安全治理體系,保障個人信息,強(qiáng)化數(shù)字經(jīng)濟(jì)安全風(fēng)險綜合研判。等法律法規(guī)的相繼出臺,促使我國的安全頂層設(shè)計逐步完善,推動我國安全運(yùn)營體系的建設(shè)過程。隨著數(shù)據(jù)已經(jīng)在我國被確立為生產(chǎn)要素,根據(jù)國務(wù)院《關(guān)于構(gòu)數(shù)據(jù)風(fēng)險,根據(jù)國家發(fā)改委等部門《關(guān)于完善數(shù)據(jù)流通安全治理更好促進(jìn)數(shù)據(jù)要素市場化價值化的實(shí)施方案》,明確到2027年底,規(guī)則明晰、產(chǎn)業(yè)繁榮、多方協(xié)同的數(shù)據(jù)流通安全治理體系基本構(gòu)建,數(shù)據(jù)合規(guī)高效流通機(jī)制更加完善,治理效能顯著提升,為繁榮數(shù)據(jù)市場、釋放數(shù)據(jù)價值提供堅強(qiáng)保障。進(jìn)一步推動了定運(yùn)行,以支持業(yè)務(wù)的正常開展。而數(shù)字化時代的安全運(yùn)營則需要在此基礎(chǔ)之上,同時保障數(shù)據(jù)安全、有效、高效的流動,以起到支撐數(shù)字化業(yè)務(wù)開展的核心數(shù)世咨詢認(rèn)為,在數(shù)字時代,數(shù)據(jù)即業(yè)務(wù)。保障數(shù)據(jù)即發(fā)展業(yè)務(wù),數(shù)據(jù)驅(qū)動第2章數(shù)智化安全運(yùn)營概念2.1概念定義為了保障和支撐組織的數(shù)字化轉(zhuǎn)型,數(shù)智化安全運(yùn)營需要在安全能力統(tǒng)一管理的基礎(chǔ)上,通過安全數(shù)據(jù)互通掌握多源頭、多模態(tài)、多維度的安全數(shù)據(jù),利用Al和大數(shù)據(jù)處理技術(shù),使安全能力匹配業(yè)務(wù)流程,根據(jù)不同安全場景需求做出數(shù)智化安全運(yùn)營是基于數(shù)據(jù)驅(qū)動和智能技術(shù)的融合應(yīng)用,以多來源、多模態(tài)、多維度的安全數(shù)據(jù)為基石,深度融合人工智能技術(shù)以驅(qū)動自動化分析、決戰(zhàn)略發(fā)展。在安全運(yùn)營為組織數(shù)字化業(yè)務(wù)筑盾護(hù)航的同時,數(shù)智化安全運(yùn)營自身也是一項重要數(shù)字化業(yè)務(wù)其核心目標(biāo)是將安全能力從防御工具升級為驅(qū)動業(yè)務(wù)數(shù)智化安全運(yùn)營的核心是數(shù)智化,即Al賦能、數(shù)據(jù)驅(qū)動,也就是將各類安全運(yùn)營平臺和安全能力(安全產(chǎn)品、服務(wù))與Al技術(shù)相結(jié)合使其具備更深度的智能化,然后利用多來源、多模態(tài)、多維度安全數(shù)據(jù)的匯聚和分析能力驅(qū)動具備Al賦能以深度學(xué)習(xí)、自然語言處理、計算機(jī)視覺等人工智能技術(shù)為基礎(chǔ),數(shù)據(jù)驅(qū)動以大數(shù)據(jù)處理為底座、大數(shù)據(jù)分析為內(nèi)涵。Al賦能、數(shù)據(jù)驅(qū)動可充分釋放安全數(shù)據(jù)的潛在價值,準(zhǔn)確去除告警中的噪聲干擾、快速鎖定威脅源頭、高質(zhì)數(shù)智化安全運(yùn)營通過Al賦能數(shù)據(jù)驅(qū)動的方式,可極大增強(qiáng)安全運(yùn)營平臺和安全能力的數(shù)據(jù)分析能力、模式識別能力和自動化能力,從數(shù)據(jù)匯聚、AI應(yīng)全運(yùn)營的重點(diǎn)在于Al的智能化應(yīng)用效果,而這一目標(biāo)是由多來源、多模態(tài)、多維度安全數(shù)據(jù)的匯聚作為基礎(chǔ)實(shí)現(xiàn)的。據(jù)預(yù)處理、特征提取、跨模態(tài)映射、融合推理等步驟進(jìn)行匯聚,來增強(qiáng)數(shù)據(jù)處理能力的魯棒性和準(zhǔn)確性。2.多源頭安全數(shù)據(jù):將組織內(nèi)所屬的數(shù)字資產(chǎn)(如操作系統(tǒng)、應(yīng)用軟件、IP地址、API接口等)、安全日志以及全網(wǎng)威脅情報(如傳統(tǒng)威脅情報、開源威脅3.多維度安全數(shù)據(jù):針對每一種數(shù)字資產(chǎn),從不同維度(如訪問時間、身份認(rèn)證次數(shù)、登錄地址等)整合匯聚,形成全方位的可觀測安全姿態(tài),增強(qiáng)分析數(shù)據(jù)的多樣性。型,并持續(xù)優(yōu)化安全大模型的應(yīng)用效果。安全供應(yīng)商為組織提供了基礎(chǔ)的安全大模型,組織可通過數(shù)智化安全運(yùn)營將內(nèi)容,提升大模型的應(yīng)用效果。除此之外,通過外掛安全數(shù)據(jù)庫的RAG(檢索增強(qiáng))技術(shù),可以使安全大模環(huán)境與業(yè)務(wù)動態(tài)需求s進(jìn)一步提升安全大模型應(yīng)用效果。u更智能的安全運(yùn)營大模型的應(yīng)用快速進(jìn)化,從GenAI、AlAgent到AgenticAl。現(xiàn)階段的創(chuàng)大模型的專業(yè)知識和AlAgent的執(zhí)行能力,根據(jù)不同場景需求結(jié)合安全現(xiàn)狀,通過多步驟推理和工具調(diào)用實(shí)現(xiàn)安全運(yùn)營操作,可解決不同種類、不同場景下的不同安全問題。據(jù)不同的安全需求將相應(yīng)的安全能力作用到對應(yīng)的控制點(diǎn)上。并且在這種自動化每一個輸入、輸出都具備精確性、準(zhǔn)確性,最終得到可靠的處置結(jié)果,為安全運(yùn)傳統(tǒng)的威脅檢測技術(shù)主要依賴預(yù)定義的規(guī)則和簽名庫,難以應(yīng)對新型攻擊和高級持續(xù)性威脅。融合Al技術(shù)的安全能力可以從海量安全數(shù)據(jù)中識別異常行融合Al技術(shù)的安全能力通過監(jiān)督學(xué)習(xí)與無監(jiān)督學(xué)習(xí)的混合建模,可以構(gòu)建網(wǎng)絡(luò)流量與用戶行為基線。基于LSTM(長短期記憶網(wǎng)絡(luò))的時序特征提取技術(shù),可識別流量中的時間序列異常。采用隨機(jī)森林和XGBoost算法對多維日志u更高效的資源分配安全運(yùn)營工作需要處理大量的安全告警,而且安全運(yùn)營平臺通常需要檢測、告警,然而其中許多是誤報或低優(yōu)先級的。Al賦能的安全運(yùn)營平臺則可以有效解決這一問題。通過機(jī)器學(xué)習(xí)可以分析大進(jìn)行分類時,安全運(yùn)營人員可以更方便地做出關(guān)于資源分配的決策,從而提高他們應(yīng)對威脅和保護(hù)組織的能力。安全運(yùn)營人員可以通過安全運(yùn)營平臺的Al能力為事件響應(yīng)決策提質(zhì)增效。使用Al能力來分析告警上下文信息來確定威脅類型,并且還可以快速自動化的這樣就可以解放安全運(yùn)營人員使他們能夠?qū)r間用于更具戰(zhàn)略性和細(xì)微差別的決策任務(wù)。而且,還可以通過Al能力使安全運(yùn)營平臺持續(xù)從過往的研判事件傳統(tǒng)的安全防御往往是基于已知威脅的被動響應(yīng),而Al賦能的安全運(yùn)營平臺可以通過預(yù)測性分析技術(shù)提前識別潛在威脅,并推薦生成相對應(yīng)的安全防護(hù)措施。洞預(yù)測,預(yù)測系統(tǒng)中可能存在的漏洞。可以利用Al能力進(jìn)行攻擊模擬,模擬攻擊者的行為路徑,以便識別防御體系中的薄弱環(huán)節(jié)。數(shù)智化安全運(yùn)營通過Al技術(shù)持續(xù)學(xué)習(xí)并且動態(tài)優(yōu)化安全能力,實(shí)現(xiàn)推動安全體系從靜態(tài)防御向自適應(yīng)安全的轉(zhuǎn)變。新型攻擊手法時,可以自動更新防火墻規(guī)則或調(diào)整訪問控制策略。處置結(jié)束后通過事后分析和復(fù)盤,以不斷改進(jìn)檢測和響應(yīng)機(jī)制優(yōu)化安全策略和流程。數(shù)智化安全運(yùn)營不僅具備原有的安全價值,即保障業(yè)務(wù)連續(xù)性、維持安全能力的有效性、滿足合規(guī)監(jiān)管的要求,同時也是組織的一項重要數(shù)字化業(yè)務(wù),本質(zhì)數(shù)智化安全運(yùn)營的落腳點(diǎn)和價值體現(xiàn)是安全運(yùn)營。關(guān)鍵所在,是利用AI賦能、數(shù)據(jù)驅(qū)動的方式升級安全運(yùn)營5要素(平臺、能力、管理、流程、人員),平臺是為多系統(tǒng)提供支撐的框架或環(huán)境,使多系統(tǒng)可以進(jìn)行相互協(xié)作。安全運(yùn)營涉及多種類工作,需要不同的平臺予以支撐。如身份認(rèn)證平臺,可以對接不能,適應(yīng)不同的業(yè)務(wù)環(huán)境。安全管理類平臺需要具備對接和管控各品牌各品類安全產(chǎn)品的能力s安全分析類平臺需要將運(yùn)營過程中產(chǎn)生的有效數(shù)據(jù)以用戶便于接受的形式展現(xiàn)。及的各類平臺的數(shù)智化升級需要從數(shù)據(jù)采集、分析、利用等全方位進(jìn)行,使用支持實(shí)時流處理和分布式系統(tǒng)復(fù)雜性的大數(shù)據(jù)處理方式,才能將多來源、多模態(tài)、為后續(xù)分析奠定基礎(chǔ)。還有安全數(shù)據(jù)的標(biāo)準(zhǔn)化需求,原始數(shù)據(jù)往往包含噪聲、缺失值或異常值,因此需要通過數(shù)據(jù)清洗與預(yù)處理技術(shù),確保數(shù)據(jù)的準(zhǔn)確性和一致數(shù)據(jù)分析方面,需要利用Al機(jī)器學(xué)習(xí)算法和深度學(xué)習(xí)模型對數(shù)據(jù)進(jìn)行分析。例如通過時間序列分析,可以增強(qiáng)預(yù)測網(wǎng)絡(luò)流量趨勢或設(shè)備故障概率;通過聚類算法,能夠識別用戶群體的行為模式;通過分類算法,可以判斷潛在的安全風(fēng)險;這些數(shù)據(jù)分析的能力和結(jié)果不僅可以揭示安全數(shù)據(jù)背后的規(guī)律,還為趨勢預(yù)測提供了科學(xué)依據(jù)。以及對組織可能造成的真實(shí)危害,做到事前預(yù)警(如確認(rèn)該漏洞對組織的真實(shí)影響范圍等)、事中處置(如對哪些數(shù)字資產(chǎn)進(jìn)行處置、利用哪些安全工具和能力、執(zhí)行哪些具體措施等)、事后恢復(fù)(如數(shù)字化業(yè)務(wù)恢復(fù)順序、程度等)、持?jǐn)?shù)字時代,安全運(yùn)營已經(jīng)可以稱之為組織的一種數(shù)字化業(yè)務(wù),為了更好的保障其他數(shù)字化業(yè)務(wù),安全運(yùn)營自身也需要數(shù)字化轉(zhuǎn)型。并且安全運(yùn)營的數(shù)字化一安全運(yùn)營流程與數(shù)字化業(yè)務(wù)流程深度匹配,使安全管理融入經(jīng)營管理,根據(jù)不同數(shù)字化業(yè)務(wù)的針對性場景提供分門別類的安全應(yīng)對措施,真正體現(xiàn)保障和促進(jìn)組織發(fā)展的價值。技術(shù)支持人員以及這些人員的安全工作經(jīng)驗(yàn)還有企業(yè)自身或者通過安全服務(wù)可以聯(lián)系到的生態(tài)合作伙伴以及可協(xié)調(diào)的非自身安全人員。對安全運(yùn)營時效性的升級,就是要從繁復(fù)的工作中徹底解放安全運(yùn)營人員,使安全運(yùn)營人員將更多的精力和時間投入到更具戰(zhàn)略性和高質(zhì)量要求的高優(yōu)先級第3章數(shù)智化安全運(yùn)營框架營中涉及的平臺、能力、管理、流程、人員,提升安全運(yùn)營的整體協(xié)同性和工作效率,最終達(dá)成滿足監(jiān)管合規(guī)要求和有效促進(jìn)組織持續(xù)發(fā)展的目的),結(jié)合安全化的安全運(yùn)營方式,以匹配數(shù)字化環(huán)境的安全運(yùn)營場景為價值體現(xiàn),最終達(dá)成滿足監(jiān)管合規(guī)要求、促進(jìn)組織發(fā)展的目標(biāo)。數(shù)智化安全運(yùn)營"l+l+l+N"框架,由1種運(yùn)營環(huán)境、1組安全運(yùn)營能力數(shù)智化安全運(yùn)營框架如上圖所示,當(dāng)前版本為V3.0,框架會持續(xù)優(yōu)化以匹配更多實(shí)際應(yīng)用情況。組織的數(shù)字化業(yè)務(wù)依托于數(shù)字化環(huán)境開展數(shù)智化安全運(yùn)營的基礎(chǔ)和對象也是同樣的數(shù)字化環(huán)境。數(shù)智化安全運(yùn)營環(huán)境主要包括組織的數(shù)字化基礎(chǔ)設(shè)施(網(wǎng)產(chǎn)、數(shù)據(jù)資產(chǎn)等)。于自身的保護(hù)對象,其同樣需要運(yùn)維、管理,屬于數(shù)字化安全運(yùn)營的對象。與此同時,安全工具還主要負(fù)責(zé)多來源、多模態(tài)、多維度安全數(shù)據(jù)的采集工作并提供安全工具接受數(shù)智化安全運(yùn)營的統(tǒng)一管理,執(zhí)行相應(yīng)安全運(yùn)營場景的安全策略,在基礎(chǔ)設(shè)施和數(shù)字資產(chǎn)上實(shí)現(xiàn)具體控制能力。ffAI*數(shù)據(jù)"雙底座數(shù)智化安全運(yùn)營能力的核心是Al應(yīng)用和大數(shù)據(jù)處理能力,二者缺一不可、是相乘的關(guān)系,任何一方面的能力欠缺都會造成實(shí)際應(yīng)用效果的極大下降。力為整個安全運(yùn)營工作服務(wù)。五大基礎(chǔ)能力安全管理&管控、安全態(tài)勢&可視化和智能決策&處置,五大基礎(chǔ)能力均由"AI*運(yùn)營方式。風(fēng)險預(yù)防&信息通報能力的主要任務(wù)是根據(jù)全網(wǎng)威脅情報對組織自身的影響作出風(fēng)險預(yù)警。通過置信度評價利用可信度高的威脅情報對組織進(jìn)行模擬攻擊,安全監(jiān)測&信息通報能力的主要任務(wù)是從內(nèi)部安全動態(tài)的變化中分析出安全風(fēng)險并預(yù)警。持續(xù)對組織網(wǎng)絡(luò)、數(shù)據(jù)、用戶行為、合規(guī)制度的基線和特定閾值進(jìn)管控下實(shí)現(xiàn)整體性、系統(tǒng)性的防護(hù)水平。將組織面臨的威脅和可能的風(fēng)險所涉及的信息整合管理、分析,動態(tài)調(diào)整安全策略以持續(xù)維持整體性安全水平。出相應(yīng)預(yù)測為組織的整體風(fēng)險決策提供參考。態(tài)勢感知在組織整體風(fēng)險策略框架析,構(gòu)建出動態(tài)化、可視化的風(fēng)險特征模型。智能決策&處置能力的主要任務(wù)是匯聚外部與內(nèi)部安全風(fēng)險,結(jié)合組織安全不斷優(yōu)化決策結(jié)果。u數(shù)智化安全運(yùn)營場景數(shù)智化安全運(yùn)營場景是根據(jù)組織的數(shù)字化業(yè)務(wù)和經(jīng)營發(fā)展的需求,通過數(shù)智合規(guī)場景主要包括監(jiān)管合規(guī)的制度要求以及例行和突擊檢查所覆蓋的安全控制點(diǎn),將合規(guī)需求轉(zhuǎn)化成對應(yīng)的處置流程和安全基線進(jìn)行自動化管理。如等保2.0、內(nèi)部敏感數(shù)據(jù)訪問制度等。數(shù)安場景主要包括組織內(nèi)部數(shù)據(jù)處理全生命周期安全需求,以數(shù)據(jù)為核心圍繞數(shù)據(jù)處理全流程形成針對性保障,促進(jìn)組織內(nèi)部數(shù)據(jù)流動和外部數(shù)據(jù)流通。如可信數(shù)據(jù)空間、數(shù)據(jù)防勒索等。演練場景主要包括組織為應(yīng)對網(wǎng)絡(luò)攻擊和提升安全保障水平所涉及的能力培業(yè)務(wù)場景主要針對組織的數(shù)字化業(yè)務(wù)在開展過程中可能被利用的業(yè)務(wù)邏輯和安全漏洞,從軟件開發(fā)到業(yè)務(wù)系統(tǒng)運(yùn)營形成全方位保障。如開發(fā)安全、促銷活動防蘿羊毛等。全運(yùn)營場景,通過技術(shù)和管理雙循環(huán)的管理和流程將整個數(shù)智化安全運(yùn)營框架貫通,發(fā)揮出應(yīng)有的安全效果。技術(shù)方面,主要根據(jù)數(shù)智化安全運(yùn)營平臺的三大核心能力梳理出預(yù)防預(yù)警、健康監(jiān)測、決策處置、策略優(yōu)化的安全風(fēng)險控制與處置體系,形成從預(yù)測到處置運(yùn)營整體工作,設(shè)立評價和評估指標(biāo),使安全運(yùn)營工作效果可考量、價值可呈全運(yùn)營只對合規(guī)要求負(fù)責(zé),工作績效難以考量并且不會產(chǎn)生直觀的收益,是一個純粹的成本部分,這就導(dǎo)致了安全運(yùn)營和業(yè)務(wù)"兩張皮"的現(xiàn)象。業(yè)務(wù)融合提出了明確要求。一是合規(guī)監(jiān)管不再只針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施,而是更加關(guān)用、不良信息和內(nèi)容傳播等。二是數(shù)字化業(yè)務(wù)深度滲透到了社會與經(jīng)濟(jì)的各方面,數(shù)字化業(yè)務(wù)出現(xiàn)安全事件會造成人身和經(jīng)濟(jì)的直接損失,比如智能駕駛被攻須更加關(guān)注數(shù)字化業(yè)務(wù)流程與真實(shí)需求。數(shù)智化安全運(yùn)營就是要使用安全運(yùn)營平臺的Al應(yīng)用能力來自動化的對接、匹配業(yè)務(wù)流程,并且在安全運(yùn)營的過程中通過AI應(yīng)用能力持續(xù)的學(xué)習(xí),達(dá)到不果已經(jīng)變成組織最關(guān)心的問題之一,即從"有沒有"到"行不行"、再到"好不好"。是一種健康的狀態(tài)。為了達(dá)到這種健康狀態(tài),對安全能力的評估與驗(yàn)證就成為了組織對安全能力的新要求。打造一套可持續(xù)評估的健康運(yùn)營體系實(shí)現(xiàn)數(shù)字化業(yè)務(wù)持續(xù)、健康的開有效,通過入侵攻擊模擬(BreachAttacksimulation-BAS)、安全有效性驗(yàn)證(cybersecurityvalidation-cv)、持續(xù)自動化紅隊(continuous可持續(xù)評估的健康運(yùn)營體系,是在預(yù)防預(yù)警、健康監(jiān)測、決策處置、策略優(yōu)化等技術(shù)能力的基礎(chǔ)之上建立的新型安全威脅管控方法,它通過系統(tǒng)性的方式,是系統(tǒng)全面性,涵蓋了安全能力的各個環(huán)節(jié),確保沒有遺漏的安全盲區(qū)。二是主動智能性,通過Al能力和安全實(shí)戰(zhàn)經(jīng)驗(yàn)的加持,提升威脅管控能力和準(zhǔn)確性。三是動態(tài)持續(xù)性,持續(xù)的評估、調(diào)整、優(yōu)化,確保安全能力能夠適應(yīng)不斷變化的保障、促進(jìn)業(yè)務(wù)發(fā)展。u通過安全場景轉(zhuǎn)化安全價值數(shù)智化安全運(yùn)營的實(shí)際價值主要體現(xiàn)在監(jiān)管合規(guī)與組織發(fā)展兩大層面。一是使組織滿足監(jiān)管合規(guī)要求,達(dá)成合法經(jīng)營的先決條件,避免監(jiān)管處罰導(dǎo)致的經(jīng)營數(shù)據(jù)安全、有效、高效流動。級保護(hù)年檢、主管部門專項檢查、重大活動安全保障,節(jié)日促銷安全保障、數(shù)據(jù)防泄漏、數(shù)據(jù)防勒索等,每一個安全場景都有其特殊的安全要求,需要不同的處置與應(yīng)急流程。一方面可以提高工作效率,更重要的是可以直觀展現(xiàn)安全運(yùn)營的工作效果。安全運(yùn)營重在安全能力、難在運(yùn)營效果,以有效性作為結(jié)果導(dǎo)向,才能凸顯出安全運(yùn)多方人員共同開展工作,如策略核查、違規(guī)阻斷、系統(tǒng)恢復(fù)、安全加固、最小授權(quán)等聯(lián)合處置流程發(fā)現(xiàn)數(shù)據(jù)泄露、數(shù)據(jù)勒索、用戶異常行為等根本原因,還可以有效應(yīng)對暴露面收斂、攻擊發(fā)現(xiàn)與阻斷、日常攻防演練、威脅情報處置等安全應(yīng)用場景為后續(xù)組織的安全風(fēng)險預(yù)測、研判、分析、預(yù)警夯實(shí)基礎(chǔ),真正形成第4章數(shù)智化安全運(yùn)營最佳實(shí)踐現(xiàn)對企業(yè)全域安全風(fēng)險的實(shí)時感知、精準(zhǔn)研判與高效處置,在保障數(shù)據(jù)資產(chǎn)安全合規(guī)的基礎(chǔ)上,顯著提升風(fēng)險防控能力,優(yōu)化安全資源配置效率,推動安全策略準(zhǔn)度不足、處置及時性低"等核心挑戰(zhàn)。通過構(gòu)建數(shù)據(jù)驅(qū)動的安全運(yùn)營中心,整合安全資產(chǎn)、運(yùn)營流程及關(guān)鍵指標(biāo),產(chǎn),通過自動化手段實(shí)時感知增量風(fēng)險并阻斷,避免ff風(fēng)險窗口期n;另一方u經(jīng)驗(yàn)驅(qū)動轉(zhuǎn)向u數(shù)據(jù)驅(qū)動,確保防御體系對真實(shí)威脅的持續(xù)有效應(yīng)對。下面以某電子政務(wù)一體化網(wǎng)絡(luò)安全運(yùn)營建設(shè)和運(yùn)營商行業(yè)一體化網(wǎng)絡(luò)安全運(yùn)營為兩路以及其成效。4.1.1背景與挑戰(zhàn)2002年《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》中正式提于通過信息技術(shù)重構(gòu)政府服務(wù)與治理模式(政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)),實(shí)現(xiàn)行政效能與公共服務(wù)的雙重提升。站)提供7x24小時政務(wù)服務(wù),覆蓋社保、醫(yī)療、教育等民生領(lǐng)域,減少群眾辦事跑動次數(shù);增強(qiáng)治理能力,通過大數(shù)據(jù)(四庫)分析輔助政策制定,同時利用人工智能等新技術(shù)實(shí)現(xiàn)精準(zhǔn)監(jiān)管與風(fēng)險預(yù)警;優(yōu)化資源配置,通過整合跨層級、跨部門、跨系統(tǒng)數(shù)據(jù)與業(yè)務(wù)流程(十二金),打破傳統(tǒng)層級壁壘,實(shí)現(xiàn)高效服務(wù)施"轉(zhuǎn)型,亟需在數(shù)據(jù)融通、安全保障、服務(wù)普惠等方面持續(xù)突破,以實(shí)現(xiàn)"用數(shù)據(jù)決策、用數(shù)據(jù)創(chuàng)新"的現(xiàn)代化治理目標(biāo)。安全運(yùn)營全局規(guī)劃建設(shè)在電子政務(wù)的應(yīng)用面臨著行業(yè)特有難點(diǎn)。一體化政務(wù)大數(shù)據(jù)體系建設(shè)要求數(shù)據(jù)跨部門流通,但早期政務(wù)系統(tǒng)以垂直部門為中心進(jìn)行建完善可能導(dǎo)致泄露風(fēng)險導(dǎo)致跨部門協(xié)作開展困難、群眾公共服務(wù)相關(guān)辦理效率低下。近年來通過政務(wù)云進(jìn)行資源整合信息孤島現(xiàn)象得到極大改善,中共中央22年發(fā)布的"數(shù)據(jù)二十條"也對數(shù)據(jù)確權(quán)問題做了一定高度的指導(dǎo),但在實(shí)際落地過程中,仍存在跨層級、跨區(qū)域、跨系統(tǒng)數(shù)據(jù)共享不及時s跨部門協(xié)同效率協(xié)同治理,建立數(shù)據(jù)共享流通制度、構(gòu)建完善安全大數(shù)據(jù)底座平臺,為各層級提供合規(guī)安全原子能力。隨著政務(wù)云、大數(shù)據(jù)平臺、移動政務(wù)等新技術(shù)的普及應(yīng)用,系統(tǒng)架構(gòu)從傳統(tǒng)本地化部署轉(zhuǎn)向"云、網(wǎng)、端"融合架構(gòu),定義了"云、網(wǎng)、數(shù)、用、端"的新安全防護(hù)目標(biāo)。而多云環(huán)境、微服務(wù)、容器化應(yīng)用等技術(shù)棧的融入,使安全防護(hù)邊界變得模糊,傳統(tǒng)基于邊界的安全防護(hù)體系難以覆蓋全制,同時建立安全縱深防護(hù)體系規(guī)避運(yùn)行時風(fēng)險事件的發(fā)生。政務(wù)數(shù)據(jù)涵蓋公民個人信息、地理信息、行業(yè)監(jiān)管數(shù)據(jù)等敏感內(nèi)容(四庫),需滿足《數(shù)據(jù)安全法》《個人信息保護(hù)法》及等級保護(hù)2.0等法規(guī)要求,然而部分系統(tǒng)因歷史遺留問題難以滿足合規(guī)標(biāo)準(zhǔn),因此數(shù)據(jù)資產(chǎn)治理和數(shù)據(jù)流轉(zhuǎn)安全管控成為政務(wù)系統(tǒng)安可信"為目標(biāo),統(tǒng)籌建設(shè)"制度、管理、技術(shù)"三道防火墻:制度上保障各部門的網(wǎng)絡(luò)和數(shù)據(jù)安全工作有章可循;管理上深化安全管理工作機(jī)制,加強(qiáng)組織內(nèi)各發(fā)、統(tǒng)一流程總線服務(wù)、統(tǒng)一資產(chǎn)運(yùn)營、統(tǒng)一運(yùn)營數(shù)據(jù)入湖和統(tǒng)一運(yùn)營數(shù)據(jù)分析;技術(shù)上建立"云、網(wǎng)、數(shù)、用、端"安全縱深防護(hù)體系,實(shí)現(xiàn)安全整體可控。通過整合策略、技術(shù)、人員和外部資源等多個維度,構(gòu)建全方位、多層次、(一)制度一把握建立網(wǎng)絡(luò)和數(shù)據(jù)安全組織架構(gòu),以數(shù)據(jù)防護(hù)為重心,建立健全網(wǎng)絡(luò)和數(shù)據(jù)安全制度體系運(yùn)行機(jī)制,保障集團(tuán)安全工作有章可循是"制度一把握"的重心。安全制度建設(shè)以支撐業(yè)務(wù)良好運(yùn)轉(zhuǎn)為核心,通過"合規(guī)監(jiān)管規(guī)范化、制度流程落地化、組織職責(zé)明確化、檢查評價常態(tài)化"四步強(qiáng)化管理整合,依托多級安全組織與多層制度規(guī)范,推進(jìn)"跨層級、跨部門、跨系統(tǒng)"安全工作,以PDCA循環(huán)法組織架構(gòu)上實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理、逐級負(fù)責(zé),建設(shè)有效安全工作機(jī)構(gòu)并明確機(jī)構(gòu)與關(guān)鍵崗位安全職責(zé)。建立決策層、管理層、執(zhí)行層三層制度體系:決策層大環(huán)節(jié)做好工作分配與制度建立。制度文件采用四級體系:一級為頂層方針政策,是信息安全工作的綱領(lǐng)性文件;二級為管理辦法,在安全策略指導(dǎo)下規(guī)范各項安全管理與技術(shù)制度、辦法和準(zhǔn)則;三級為實(shí)施細(xì)則與流程,包含實(shí)施細(xì)則、管理技術(shù)標(biāo)準(zhǔn)等內(nèi)容以支撐二級文件實(shí)施;四級為記錄表單,作為符合一、二、能力,涵蓋政策法規(guī)及指南解讀、安全意識與技能培訓(xùn),開展"網(wǎng)絡(luò)安全周"活動,并設(shè)置靶場及培訓(xùn)考試模塊。同時強(qiáng)化安全工作評估機(jī)制,優(yōu)化安全績效考核,確保安全制度有效落實(shí)與持續(xù)改進(jìn)。與依賴關(guān)系。其次,橫向分析數(shù)據(jù)在業(yè)務(wù)系統(tǒng)間的流動路徑(如用戶數(shù)據(jù)從前端采集到后端數(shù)據(jù)庫存儲、分析的軌跡),識別數(shù)據(jù)交互的節(jié)點(diǎn)與格式。還需厘清不同角色在業(yè)務(wù)中的權(quán)責(zé)邊界及協(xié)作流程,形成業(yè)務(wù)邏輯圖譜。安全制度的建立與業(yè)務(wù)邏輯呈"鏡像映射"關(guān)系業(yè)務(wù)邏輯中的每個節(jié)點(diǎn)均對應(yīng)潛在安全風(fēng)險,安全制度需針對這些風(fēng)險點(diǎn)設(shè)計控制措施。電子政務(wù)安全制度需圍繞ff公共信息服務(wù)"、"電子身份認(rèn)證"、"電子稅務(wù)"、"電子社會保障服務(wù)"、"電子民主管理"、"電子醫(yī)療服務(wù)"、"電子就業(yè)服務(wù)"、"電子教育和培訓(xùn)服務(wù)"、u電子交通管理n的核心業(yè)務(wù)邏輯,制定加密標(biāo)準(zhǔn)、權(quán)限管理辦法身份認(rèn)證管理辦法、數(shù)據(jù)共享管理辦法及運(yùn)營流程制定等安全制度,使安全要求嵌入業(yè)務(wù)操叉處需建立特權(quán)訪問管理制度。從而形成業(yè)務(wù)邏輯驅(qū)動安全制度設(shè)計,安全制度規(guī)范業(yè)務(wù)邏輯運(yùn)行的閉環(huán)。當(dāng)業(yè)務(wù)邏輯因需求迭代時,安全制度需同步更新,確保安全與業(yè)務(wù)始終同頻共振。(二)管理一手抓支撐政務(wù)內(nèi)外網(wǎng)建設(shè)穩(wěn)定運(yùn)行。在網(wǎng)絡(luò)安全發(fā)展初期,各政府企業(yè)常以滿足基本合規(guī)為目標(biāo)進(jìn)行安全工具選型,導(dǎo)致實(shí)際防護(hù)效能與業(yè)務(wù)需求存在偏差。后期雖術(shù)主導(dǎo)采購,但部分政務(wù)云平臺仍存在安全產(chǎn)品授權(quán)過期、規(guī)則配置不合理、審?fù)ㄟ^人和工具(平臺、設(shè)備)發(fā)現(xiàn)安全問題、驗(yàn)證問題、分析問題、響應(yīng)處置、解決問題并持續(xù)迭代優(yōu)化。在這一過程中,需明確安全責(zé)任范圍、安全體系的合理性與完備性、安全資源投入度與重點(diǎn)風(fēng)險的匹配度、安全能力與風(fēng)險的匹配度以及安全能力覆蓋率。政務(wù)系統(tǒng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施且政務(wù)業(yè)務(wù)涉及大量敏感數(shù)據(jù),是境外產(chǎn)生明顯影響。因此和對安全與效率的兼顧是在進(jìn)行電子政務(wù)一體化安全運(yùn)營建設(shè)的主要挑戰(zhàn),管理構(gòu)建安全體系的目的在于通過系統(tǒng)化和架構(gòu)化的方法實(shí)現(xiàn)電遺漏;通過網(wǎng)端結(jié)合的方式,有效對抗各類風(fēng)險。同時,實(shí)現(xiàn)網(wǎng)數(shù)融合,進(jìn)一步豐富感知能力,以敏銳捕捉潛在的安全威脅。分級安全運(yùn)營實(shí)現(xiàn)集約賦能,能夠1.資產(chǎn)一本賬資產(chǎn)一本賬即全域資產(chǎn)統(tǒng)一管理,依據(jù)資產(chǎn)管理辦法和細(xì)則結(jié)合系統(tǒng)等保級別和數(shù)據(jù)量計算資產(chǎn)價值,并對信息化資產(chǎn)進(jìn)行發(fā)現(xiàn)、識別、入庫、認(rèn)領(lǐng)及審核型,包括信息系統(tǒng)資產(chǎn)、云網(wǎng)主機(jī)資產(chǎn)、組件資產(chǎn)等。數(shù)據(jù)資產(chǎn)識別和治理模塊能夠識別多種資產(chǎn)類型和指紋信息,包括web服務(wù)器、郵件服務(wù)器、數(shù)據(jù)庫、終端等等。本功能不僅提供手動登記,更具備主動掃描、系統(tǒng)同步、流量識別及代理測繪等先進(jìn)技術(shù)。在支持主動探測方式來發(fā)現(xiàn)資產(chǎn)的同時,也能實(shí)現(xiàn)基于流量、日志、脆弱性等數(shù)據(jù)進(jìn)行資產(chǎn)無侵入式被動發(fā)現(xiàn)及納管。新入網(wǎng)終端在30秒內(nèi)即可被識別并加入未納管資產(chǎn)管理。信息化資產(chǎn)(包括主機(jī)及組件資產(chǎn))入性量化評分,同時提供基于設(shè)備、應(yīng)用等多維資產(chǎn)視角。憑借全信息化資產(chǎn)安全管理制度,依托一體化綜合運(yùn)營平臺,能夠高效有序地開展信息化資產(chǎn)生命周期管理,實(shí)現(xiàn)資產(chǎn)識別、審核入庫、狀態(tài)更新、資產(chǎn)脆弱性評估等流程。通過季度2.漏洞一個庫漏洞一個庫即資產(chǎn)漏洞統(tǒng)一管理,憑借資產(chǎn)一本賬的全域資產(chǎn)管理基礎(chǔ),聯(lián)抗、風(fēng)險評估等手段,實(shí)現(xiàn)組織資產(chǎn)漏洞早發(fā)現(xiàn)、早預(yù)警和早處置及網(wǎng)絡(luò)攻擊暴露面的早管控和早收斂。在安全運(yùn)營中結(jié)合資產(chǎn)、責(zé)任人、系統(tǒng)、部門,給出全面的資產(chǎn)風(fēng)險評估、漏洞跟蹤分析。在組件漏洞安全運(yùn)營方面,支持軟件供應(yīng)鏈漏洞掃描、管理,支撐對代碼或二進(jìn)制制品進(jìn)行脆弱性檢測、組件依賴管理并生的下發(fā)、修復(fù)、驗(yàn)證等漏洞運(yùn)營閉環(huán)功能。3.風(fēng)險一屏觀一體化運(yùn)營在數(shù)據(jù)采集接入上,支持多種方式,包括20多種日志數(shù)據(jù)接入、流量數(shù)據(jù)解析、資產(chǎn)數(shù)據(jù)發(fā)現(xiàn)識別和威脅情報第三方對接。其多層次挖掘模型檢測內(nèi)置豐富的安全規(guī)則和算法模型,涵蓋眾多檢測類別。智能安全分析模型模型引擎可自定義探索深度異常威脅行為。基于此,多維安全態(tài)勢呈現(xiàn)通過內(nèi)置多種態(tài)勢大屏,從網(wǎng)絡(luò)安全風(fēng)險監(jiān)測、數(shù)據(jù)安全風(fēng)險監(jiān)測、告警處置情況、資產(chǎn)入庫情況、漏洞管理情況、異常行為、風(fēng)險管理、各分子公司安全風(fēng)險監(jiān)測、風(fēng)險專題等維度對組織安全情況可視化展示。(三)技術(shù)一底座電子政務(wù)安全運(yùn)營目前處于"全面防御"與"精準(zhǔn)聚焦"的戰(zhàn)略轉(zhuǎn)型壓力。在安全運(yùn)營剛剛開始建設(shè)的階段,大部分工作可以憑借經(jīng)驗(yàn)構(gòu)建邏輯線條,雖未求與業(yè)務(wù)邏輯脫節(jié)、安全人才儲備不足、供應(yīng)商技術(shù)方案滯后等現(xiàn)實(shí)問題,導(dǎo)致資源分散、響應(yīng)效率低下,反而出現(xiàn)核心風(fēng)險管理不善的困境。部分地區(qū)通過政務(wù)云平臺建設(shè)和安全托管服務(wù)嘗試優(yōu)化風(fēng)險管控模式,但整體仍未擺脫"被動響復(fù)、攻防驗(yàn)證等核心環(huán)節(jié),通過資源分級管理實(shí)現(xiàn)安全效能最大化。電子政務(wù)安程管理中,傳統(tǒng)標(biāo)準(zhǔn)化作業(yè)流程(sop)逐漸失效、完全自動化響應(yīng)轉(zhuǎn)型受阻。由SOP定義的操作規(guī)范標(biāo)準(zhǔn)化強(qiáng),但因安全工作專業(yè)性強(qiáng)、覆蓋范圍廣,導(dǎo)致SOP編寫成本高、執(zhí)行轉(zhuǎn)化層級多,加之安全人員對流程的遵從度和理解度不程度不足,大量非核心流程仍依賴人工協(xié)作,形成核心流程自動化與人工協(xié)作流程并存的過渡態(tài)。后續(xù)的技術(shù)建設(shè)需通過引入具備持續(xù)運(yùn)營能力的供應(yīng)商和融合Al技術(shù)的智能工具,逐步構(gòu)建技術(shù)賦能、動態(tài)迭代、持續(xù)安全的縱深防御體技術(shù)一底座即一體化安全技術(shù)底座以"全場景協(xié)同、集約化賦能"為核心,構(gòu)建覆蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全的通用技術(shù)能力體系,通過統(tǒng)一架構(gòu)設(shè)計與資源整合,為安全運(yùn)營提供標(biāo)準(zhǔn)化支撐。在網(wǎng)絡(luò)安全領(lǐng)域,底座集成蜜罐誘捕、漏洞掃描、下一代防火墻(FW)、網(wǎng)絡(luò)流量分析(NTA)等能力,實(shí)現(xiàn)對據(jù)全生命周期構(gòu)建,通過數(shù)據(jù)分類分級、流轉(zhuǎn)監(jiān)測、脫敏處理、水印溯源、數(shù)據(jù)庫審計(DBA)等技術(shù),實(shí)現(xiàn)重要數(shù)據(jù)從產(chǎn)生、傳輸?shù)酱鎯ΑN毀的全場景管理、API監(jiān)測等模塊,深度融入軟件開發(fā)生命周期(SDLC),從源頭防范注入攻擊、邏輯漏洞等風(fēng)險。底座通過IDaas(身份即服務(wù))、Daas(數(shù)據(jù)即服務(wù))、Eaas(加密平臺即服務(wù))、Alaas(人工智能即服務(wù))的服務(wù)化封裝,實(shí)現(xiàn)能力的標(biāo)準(zhǔn)化輸出與靈活調(diào)用。IDaas統(tǒng)一管理用戶身份認(rèn)證與權(quán)限分配,支撐"最小授權(quán)"原則落地;Daas聚合多源威脅情報(含漏洞情報、APT情報、惡意IP/域名等),通標(biāo)準(zhǔn)化加密能力;Alaas依托機(jī)器學(xué)習(xí)算法,對安全事件進(jìn)行智能分類、風(fēng)險研判與攻擊預(yù)測,提升威脅分析的自動化與精準(zhǔn)度。通過基礎(chǔ)安全技術(shù)平臺的統(tǒng)建模式,一體化底座打破傳統(tǒng)安全能力的碎片化準(zhǔn)化能力輸出與協(xié)同機(jī)制,推動安全防護(hù)水平的整體提升,實(shí)現(xiàn)從"單點(diǎn)防御"向"體系化聯(lián)防"的轉(zhuǎn)型,為數(shù)據(jù)安全事件處置、威脅情報應(yīng)用等場景提供技術(shù)4.1.3成果與價值在制度層面,基于某電子政務(wù)安全頂層規(guī)劃,構(gòu)建了覆蓋一二級核心制度、三門完成配套制度建設(shè),形成頂層設(shè)計、中層管理、基層執(zhí)行的制度閉環(huán),為安全運(yùn)營提供規(guī)范化依據(jù),實(shí)現(xiàn)安全工作從經(jīng)驗(yàn)驅(qū)動向制度驅(qū)動的轉(zhuǎn)型,強(qiáng)化了安全動推進(jìn)資產(chǎn)一本賬工作,完善資產(chǎn)管理流程與考核機(jī)制,形成系統(tǒng)、主機(jī)、組件三級聯(lián)動管理模式,結(jié)合常態(tài)化安全檢查、滲透測試及重保任務(wù)實(shí)施,構(gòu)建"以檢促建、以改促防"的管理閉環(huán),提升資產(chǎn)風(fēng)險管控與應(yīng)急響應(yīng)能力。在技術(shù)層模塊的智能化升級,推動安全運(yùn)營從人工處置向自動化、智能化轉(zhuǎn)型,為政務(wù)系統(tǒng)安全運(yùn)行提供技術(shù)支撐,提升整體安全防護(hù)的精準(zhǔn)性與時效性。4.2.1背景與挑戰(zhàn)境傳輸監(jiān)管強(qiáng)化,監(jiān)管機(jī)構(gòu)對數(shù)據(jù)全生命周期安全管理提出更高要求。運(yùn)營商行業(yè)手握巨量國民個人信息及敏感數(shù)據(jù),又為國家關(guān)鍵信息基礎(chǔ)設(shè)施之一,其面臨的"效率瓶頸"以及新技術(shù)場景的"能力真空"。安全標(biāo)準(zhǔn)化防護(hù)存在結(jié)構(gòu)性短板:流量防護(hù)技術(shù)上存在重復(fù)建設(shè)、告警過載問題,且各模塊技術(shù)標(biāo)準(zhǔn)未完全統(tǒng)一,導(dǎo)致安全防護(hù)效果參差不齊;安全能力模塊間缺乏有效聯(lián)動和防護(hù)效果主動驗(yàn)證機(jī)制,難以形成場景化防護(hù)合力,雖已建設(shè)多層級防護(hù)體系,對難場景新技感數(shù)據(jù)納管不充分,安全數(shù)據(jù)匯聚加工不充分,導(dǎo)致安全分析缺乏有效數(shù)據(jù)支撐,風(fēng)險研判精準(zhǔn)度受限;跨設(shè)備及平臺的安全事件協(xié)同依賴人工介入且通過碎片化接口實(shí)現(xiàn),流程跟蹤控制缺失,難以形成閉環(huán)管理;缺乏業(yè)務(wù)側(cè)資產(chǎn)資源實(shí)時同步機(jī)制,全量資產(chǎn)清單動態(tài)更新困難,導(dǎo)致安全策略與實(shí)際資產(chǎn)狀態(tài)脫節(jié)。智能化安全能力顯著不足:安全監(jiān)測、審計及處置環(huán)節(jié)自動化水平低,人工參與度高,應(yīng)急響應(yīng)效率低下;對Al驅(qū)動的新型攻擊缺乏智能化檢測模型,傳統(tǒng)規(guī)則引擎難以識別復(fù)雜攻擊模式,防護(hù)手段滯后于攻擊技術(shù)迭代。新技術(shù)場景下專項能力缺口突出:數(shù)據(jù)泄露風(fēng)險管控手段不足,難以滿足數(shù)據(jù)安全戰(zhàn)略及監(jiān)管要求;云原生漏洞檢測與修復(fù)能力薄弱,且對供應(yīng)鏈風(fēng)險缺乏全鏈路監(jiān)控,技術(shù)依賴導(dǎo)致系統(tǒng)性風(fēng)險累積。數(shù)智化安全運(yùn)營打破傳統(tǒng)安全運(yùn)營的人力依賴與技術(shù)瓶頸,推動安全防護(hù)從被動應(yīng)對向主動防御轉(zhuǎn)變。在改進(jìn)方向上,一方面利用自動化手段實(shí)時感知增量準(zhǔn)化處理,通過指標(biāo)量化精準(zhǔn)衡量安全效果與風(fēng)險態(tài)勢,從而持續(xù)優(yōu)化存量風(fēng)險治理策略、提升安全防護(hù)策略的精準(zhǔn)度,實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)營效能的全面提升。(一)兩級安全建設(shè)架構(gòu)協(xié)同,同時各安全專業(yè)平臺履行專業(yè)領(lǐng)域內(nèi)的縱向管理職責(zé)。在任務(wù)調(diào)度層面,制定統(tǒng)一的安全工作流兩級接口標(biāo)準(zhǔn),依托安全運(yùn)營中心實(shí)現(xiàn)跨層級工作流的無縫互通,確保安全策略與執(zhí)行任務(wù)的上下對齊。數(shù)據(jù)支撐方面,建立兩級安全數(shù)為風(fēng)險研判與決策提供數(shù)據(jù)基礎(chǔ)。針對安全業(yè)務(wù)協(xié)同,各支撐平臺根據(jù)專業(yè)場景成覆蓋策略制定、執(zhí)行落地、效果反饋的全鏈條縱向協(xié)同體系,有效提升兩級安全運(yùn)營的一致性與聯(lián)動效率。(二)兩中心數(shù)智化橫縱聯(lián)動協(xié)同1.安全數(shù)據(jù)中心計,構(gòu)建全域數(shù)據(jù)治理與服務(wù)中樞,實(shí)現(xiàn)安全數(shù)據(jù)的全域治理與價值釋放。數(shù)據(jù)集中存儲致力于多源異構(gòu)數(shù)據(jù)的統(tǒng)一承載,構(gòu)建標(biāo)準(zhǔn)化存儲體系以解決數(shù)據(jù)分散與格式異構(gòu)問題,整合網(wǎng)絡(luò)流量日志、終端操作記錄、安全設(shè)備日志等多源數(shù)據(jù),支持關(guān)系型、列式、時序及圖數(shù)據(jù)庫等混合存儲架構(gòu),通過分布式集據(jù)集中分類依托基于企業(yè)內(nèi)部標(biāo)準(zhǔn)的精細(xì)化數(shù)據(jù)治理,建立分類分級體系實(shí)現(xiàn)安全數(shù)據(jù)有序管理,進(jìn)行主題分類(用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)等)與安全分級(核心敏感數(shù)據(jù)、重要數(shù)據(jù)等),自動化分類工具結(jié)合人工審核對非結(jié)構(gòu)化、半結(jié)構(gòu)化及結(jié)構(gòu)化數(shù)據(jù)進(jìn)行智能分類,形成數(shù)據(jù)目錄,為數(shù)據(jù)安全策略制定與訪問控制提供基礎(chǔ)憑據(jù)。數(shù)據(jù)集中標(biāo)識聚焦全域數(shù)據(jù)資產(chǎn)的唯一身份體系構(gòu)建,通過統(tǒng)一標(biāo)識機(jī)制解決數(shù)據(jù)關(guān)聯(lián)混亂與溯源難題,為各類數(shù)據(jù)資產(chǎn)分配唯一標(biāo)識并建立"數(shù)據(jù)-資產(chǎn)-業(yè)務(wù)"關(guān)聯(lián)映射實(shí)現(xiàn)全鏈路溯源,為安全事件分析提供精準(zhǔn)數(shù)據(jù)關(guān)聯(lián)能力數(shù)據(jù)集中ETL構(gòu)建一站式接入體系,借助對20+接口種類、100+設(shè)備類型接入,形成全域安全數(shù)據(jù)ff統(tǒng)一入口"。通過標(biāo)準(zhǔn)化處理流水線確保數(shù)據(jù)可用可信,借助ETL工具鏈實(shí)現(xiàn)多源數(shù)據(jù)清洗轉(zhuǎn)換,抽取階段支持多種數(shù)據(jù)源接入,轉(zhuǎn)換階段完成時間格式統(tǒng)一、IP標(biāo)準(zhǔn)化及敏感數(shù)據(jù)掩碼處理S加載階段按主題存入安全數(shù)據(jù)集市(包括資源數(shù)據(jù)集市、安全告警集市、日志數(shù)據(jù)集市和威脅情報融化服務(wù)接口支撐跨層級跨系統(tǒng)數(shù)據(jù)流通,設(shè)計RESTAPI、消息隊列等多模式接 支撐安全可控的數(shù)據(jù)共享體系實(shí)現(xiàn)總部與省公司數(shù)據(jù)雙向同步及安全能力平臺數(shù)據(jù)調(diào)用。同時,在數(shù)據(jù)共享過程中進(jìn)行權(quán)限管控、流量控制及數(shù)據(jù)加密,在化運(yùn)作,實(shí)現(xiàn)全網(wǎng)安全資源統(tǒng)籌與運(yùn)營效能提升,構(gòu)建全要素協(xié)同的立體化運(yùn)營描結(jié)果、訪問日志異常及資產(chǎn)脆弱性,實(shí)時計算資產(chǎn)風(fēng)險指數(shù)并自動生成風(fēng)險資產(chǎn)清單,觸發(fā)后續(xù)加固流程。安全策略運(yùn)營結(jié)合業(yè)務(wù)特性、風(fēng)險場景及合規(guī)要求,構(gòu)建"總部統(tǒng)籌-省公問控制策略)。總部制定基線策略,借助標(biāo)準(zhǔn)化接口將策略下發(fā)至執(zhí)行單元。省公司則通過策略引擎對總部基線策略與場景化策略進(jìn)行沖突檢測與優(yōu)先級判定,確保策略體系的一致性與可執(zhí)行性,并基于本地業(yè)務(wù)特性細(xì)化執(zhí)行策略。最后,力清單并明確各專業(yè)平臺能力邊界,實(shí)現(xiàn)能力按需調(diào)用。對安全數(shù)據(jù)集市、全網(wǎng)威脅情報服務(wù)、告警定位分析、資產(chǎn)智能測繪、數(shù)據(jù)水印溯源及脫敏、數(shù)據(jù)防泄程中,模擬APT攻擊、自動化滲透、數(shù)據(jù)外發(fā)等難場景、新技術(shù),動態(tài)驗(yàn)證安全能力的有效性,同時在攻防實(shí)戰(zhàn)中沉淀威脅特征知識和專家防護(hù)經(jīng)驗(yàn)以反哺安全能力的提升,形成安全能力迭代閉環(huán)。安全流程運(yùn)營。安全流程運(yùn)營通過調(diào)用標(biāo)準(zhǔn)化安全能力實(shí)現(xiàn)重復(fù)性操作自動化高效化、安全態(tài)勢可知可感,最大程度將安全事件從發(fā)現(xiàn)、分析到處置全流程線上化,對劇本、案例進(jìn)行有效性驗(yàn)證和實(shí)戰(zhàn)優(yōu)化管理。安全流程運(yùn)營賦能安全運(yùn)維度考核體系。其過程指標(biāo)覆蓋策略合規(guī)率、資產(chǎn)納管率、流程自動化率等,其結(jié)果指標(biāo)聚焦安全事件MTTD/MTTR、數(shù)據(jù)泄露事件發(fā)生率、高危漏洞修復(fù)率(三)五大安全能力管理支撐1.安全威脅預(yù)警分析安全威脅預(yù)警分析平臺通過威脅分析模塊和威脅處置模塊的系統(tǒng)化構(gòu)建,在能力建設(shè)層面,安全威脅預(yù)警分析平臺構(gòu)建了立體化威脅分析體系圍繞ATT&CK框架14個攻擊階段構(gòu)建關(guān)聯(lián)分析模型,將攻擊路徑拆解為可量化檢測單元,結(jié)合資產(chǎn)權(quán)限推演潛在風(fēng)險路徑,建立包含技術(shù)點(diǎn)覆蓋率、檢測規(guī)則準(zhǔn)確率、事件鏈關(guān)聯(lián)度的三維評估體系,提升技術(shù)點(diǎn)覆蓋面至50%并新增600個細(xì)粒度分析模型及70個跨階段事件鏈模型,實(shí)現(xiàn)攻擊鏈全流程追溯。引入圖引擎優(yōu)路徑搜索、異常檢測、行為相似度匹配、自定義子圖匹配四大算法,配套長鏈攻擊、相似度攻擊等攻擊模式匹配檢測,解決海量告警關(guān)聯(lián)分析難題并深度檢測復(fù)雜攻擊場景。安全威脅預(yù)警分析平臺構(gòu)建覆蓋"特征識別事件聚合攻擊鏈威脅處置基于威脅預(yù)警分析結(jié)果s以安全事件匹配預(yù)置劇本進(jìn)行安全流程自動化響應(yīng)s劇本編排支持跨平臺聯(lián)動執(zhí)行終端安全策略下發(fā)、異常賬號權(quán)限管控2.數(shù)據(jù)安全技防能力數(shù)據(jù)安全技防能力體系以數(shù)據(jù)安全防護(hù)場景為導(dǎo)向,通過"安全防護(hù)筑基、支撐能力賦能、運(yùn)營治理落地"的三維架構(gòu),構(gòu)建與業(yè)務(wù)深度融合的立體化防護(hù)"識別精準(zhǔn)、管控精細(xì)、審計全面"的立體化數(shù)據(jù)技防體系,實(shí)現(xiàn)數(shù)據(jù)安全與業(yè)務(wù)發(fā)展有機(jī)融合,支撐業(yè)務(wù)創(chuàng)新和數(shù)據(jù)價值釋放。筑基。在數(shù)據(jù)安全資產(chǎn)管理方面,均通過數(shù)據(jù)資產(chǎn)智能測繪及數(shù)據(jù)分類分級引擎能力系統(tǒng)獲取數(shù)據(jù)存儲位置、業(yè)務(wù)關(guān)聯(lián)關(guān)系,為策略制定提供資產(chǎn)上下文。同時,在策略層面根據(jù)場景需求動態(tài)加載脫敏、審計、處置等細(xì)粒度策略,實(shí)現(xiàn)一處配置、多場景復(fù)用。統(tǒng)一提供商用加密密鑰服務(wù),支持不同場景的密鑰生命周期管理(例如,開發(fā)環(huán)境密鑰每日輪換、共享場景密鑰按合作周期銷毀等)。最后,在監(jiān)控審計層統(tǒng)一收口,各場景業(yè)務(wù)日志統(tǒng)一接入安全數(shù)據(jù)中心,實(shí)現(xiàn)多維度檢索,SIEM系統(tǒng)內(nèi)置場景化分析模型賦能跨場景風(fēng)險關(guān)聯(lián)分析(如,開發(fā)環(huán)境數(shù)據(jù)泄露與共享場景異常訪問的聯(lián)動告警)及基礎(chǔ)數(shù)據(jù)安全防護(hù)能力度量優(yōu)于確保共享數(shù)據(jù)在權(quán)限可控、內(nèi)容合規(guī)、流轉(zhuǎn)可追溯的前提下實(shí)現(xiàn)按需開放,避免敏感數(shù)據(jù)過度暴露或違規(guī)使用。在結(jié)算業(yè)務(wù)處理場景中,關(guān)鍵點(diǎn)在于保障交易數(shù)據(jù)從輸入到輸出的完整性、機(jī)密性和一致性,防范數(shù)據(jù)篡改、泄露及異常交易不可見",防止個人信息濫用及分析結(jié)果泄露。最后,在生產(chǎn)開發(fā)維護(hù)場景,重點(diǎn)在保護(hù)開發(fā)測試環(huán)境中的數(shù)據(jù)不被非法獲取,避免生產(chǎn)數(shù)據(jù)因環(huán)境混用或操作不當(dāng)導(dǎo)致泄露。合,實(shí)現(xiàn)數(shù)據(jù)安全的基礎(chǔ)是實(shí)現(xiàn)業(yè)務(wù)安全。數(shù)據(jù)安全技防能力體系是數(shù)智化安全為企業(yè)在數(shù)據(jù)要素市場化配置中構(gòu)建安全競爭力。3.身份權(quán)限安全管控身份權(quán)限安全管控以"身份為錨、權(quán)限為綱",通過賬號統(tǒng)一管理平臺整合認(rèn)證、授權(quán)、審計能力,構(gòu)建覆蓋"訪問前身份校驗(yàn)訪問中權(quán)限控制訪問身份認(rèn)證體系融合聚焦解決身份認(rèn)證碎片化問題,通過FIDO中臺整合無密碼認(rèn)證、生物識別、硬件令牌等多因子認(rèn)證方式,支持終端設(shè)備接入以實(shí)現(xiàn)動態(tài)實(shí)現(xiàn)身份"四照合一",關(guān)鍵場景觸發(fā)二次增強(qiáng)認(rèn)證,推廣無密碼認(rèn)證。訪問控制融合圍繞實(shí)現(xiàn)最小權(quán)限原則精準(zhǔn)落地,依托賬號統(tǒng)一管理平臺打通AD域控、云賬號、第三方系統(tǒng)的賬號生命周期管理,借助自動化流程實(shí)現(xiàn)賬號創(chuàng)建、權(quán)限分配、離職回收全流程線上化,基于ABAC模型結(jié)合用戶角色、數(shù)據(jù)標(biāo)簽、訪問場景動態(tài)生成訪問策略以支持字段級權(quán)限、行級過濾及敏感表操作強(qiáng)制二次審批,對服務(wù)器、虛擬機(jī)實(shí)施文件級權(quán)限控制、命令級黑白名單并結(jié)合UEBA識別合整合分散的身份權(quán)限能力,通過統(tǒng)一身份服務(wù)中臺提供標(biāo)準(zhǔn)化AP接口支持業(yè)務(wù)系統(tǒng)快速接入并對接安全數(shù)據(jù)中心實(shí)現(xiàn)認(rèn)證日志、權(quán)限變更記錄集中存儲與分析,利用策略引擎自動同步總部基線策略與業(yè)務(wù)線個性化策略,在零信任架構(gòu)下結(jié)合終端安全狀態(tài)動態(tài)調(diào)整訪問權(quán)限,使未通過安全檢測的設(shè)備僅能訪問受限資源池、合規(guī)設(shè)備可訪問全量授權(quán)資源,形成統(tǒng)一服務(wù)接口以支撐業(yè)務(wù)快速調(diào)用與安全策略下沉。涉敏行為管控旨在保障核心數(shù)據(jù)安全同時兼顧業(yè)務(wù)靈活性,對涉敏系統(tǒng)采用"訪問申請-分級審批-操作審計"流程,通過堡壘機(jī)錄制特權(quán)操作會話并結(jié)合OCR技術(shù)識別屏幕截圖中的敏感信息以對異常操作自動觸發(fā)熔斷機(jī)制,為涉敏崗位配備專用云桌面實(shí)現(xiàn)"終端設(shè)備與數(shù)據(jù)存儲分離"并在云桌面內(nèi)啟用動態(tài)水印,借助機(jī)器學(xué)習(xí)分析涉敏操作模式以對低概率高風(fēng)險行為觸發(fā)增強(qiáng)4.安全審計安全審計以安全數(shù)據(jù)中心(SDC)為底座,構(gòu)建分析層、管理層、智能應(yīng)用層與運(yùn)營層協(xié)同的立體化架構(gòu),通過數(shù)據(jù)驅(qū)動、Al賦能實(shí)現(xiàn)審計場景的全域覆數(shù)據(jù),通過自然語言處理、詞嵌入聚類等技術(shù)提取業(yè)務(wù)關(guān)鍵特征,并按照業(yè)務(wù)屬性、風(fēng)險等級進(jìn)行標(biāo)簽化處理,形成業(yè)務(wù)特征庫與標(biāo)準(zhǔn)化業(yè)務(wù)規(guī)則庫。在此基礎(chǔ)上抽象典型審計場景(如特權(quán)賬號異常登錄、敏感數(shù)據(jù)跨域流轉(zhuǎn)),利用業(yè)務(wù)特征與標(biāo)簽對日志、操作記錄等數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,實(shí)現(xiàn)審計對象的精準(zhǔn)定位與風(fēng)應(yīng)安全平臺;審計報表生成模塊根據(jù)預(yù)設(shè)模板(如合規(guī)報告等)自動匯聚審計結(jié)果,支持多維度查詢與可視化展示,為管理決策提供數(shù)據(jù)支撐。智能應(yīng)用層通過三大模型實(shí)現(xiàn)審計能力智能化升級,基于數(shù)據(jù)泄露行為模型對文件外發(fā)、API調(diào)用等行為進(jìn)行建模,結(jié)合流量特征識別潛在泄露風(fēng)險;基于賬號權(quán)限操作模型分析特權(quán)賬號登錄時間、操作指令,通過行為基線檢測越權(quán)訪問、權(quán)限濫用等異常操作;基于訪問風(fēng)險研判模型整合設(shè)備指紋、地理位置、時間窗口等多維屬性,動態(tài)評估訪問請求風(fēng)險。三大模型通過在線學(xué)習(xí)持續(xù)優(yōu)化,實(shí)現(xiàn)對新增審計場景的自適應(yīng)檢測。運(yùn)營層通過人員畫像整合員工崗位權(quán)限、操作習(xí)慣、歷史風(fēng)險記錄,通過賬號畫像關(guān)聯(lián)賬號生命周期與權(quán)限分配記錄,通過資產(chǎn)畫像匯聚資產(chǎn)類等核心指標(biāo),為審計能力評估提供量化依據(jù)和優(yōu)化方向。安全審計發(fā)展目標(biāo)圍繞"場景化、智能化、一體化"持續(xù)演進(jìn),基于SDC驅(qū)動轉(zhuǎn)型。同時,審計運(yùn)營能力全面融入數(shù)智化安全運(yùn)營,實(shí)現(xiàn)審計任務(wù)從"人工觸發(fā)"到"自動化分派"的升級,最終形成數(shù)據(jù)貫通、模型智能、流程自動的5.安全評估檢測安全評估檢測體系以基礎(chǔ)能力協(xié)同為支撐底座,通過封裝合規(guī)服務(wù)化能力形成標(biāo)準(zhǔn)化接口,供各個支撐平臺調(diào)用,實(shí)現(xiàn)總公司與省公司在檢測標(biāo)準(zhǔn)、基礎(chǔ)數(shù)據(jù)(威脅情報、資產(chǎn)清單、策略模板)的兩級協(xié)同。總公司統(tǒng)一制定安全評估檢測規(guī)則框架,省公司基于本地業(yè)務(wù)特性補(bǔ)充細(xì)化,共享資產(chǎn)指紋庫、漏洞知識庫,避免標(biāo)準(zhǔn)沖突與重復(fù)建設(shè)。安全評估檢測以服務(wù)化、自助化、國產(chǎn)化為目web門戶自助調(diào)用漏洞掃描、基線檢測、弱口令識別等安全能力。在漏洞基線綜合治理層面,通過與SDC聯(lián)動構(gòu)建全網(wǎng)漏洞一張圖,整合資產(chǎn)暴露面、漏洞詳情、威脅情報等基礎(chǔ)數(shù)據(jù),實(shí)現(xiàn)漏洞從發(fā)現(xiàn)、驗(yàn)證、修復(fù)到復(fù)測的全生命周期管理。同步生成全網(wǎng)健康評估一張圖,按業(yè)務(wù)線、地域、資產(chǎn)類型展示基線合規(guī)率、漏洞修復(fù)率等核心指標(biāo),為漏洞考核提供實(shí)時數(shù)據(jù)支