緣起
監(jiān)管單位
長期推動網(wǎng)絡安全產(chǎn)品互通互聯(lián)、信息共享��,清晰化類別與代碼政策及標準出臺����,推動創(chuàng)新發(fā)展
運營單位
主要解決網(wǎng)絡安全產(chǎn)品統(tǒng)一管理、生態(tài)能力聚合�、互通互聯(lián)、信息共享�、數(shù)據(jù)質(zhì)量、實戰(zhàn)效果�、自動化/智能化效能提升、投資有效性等
產(chǎn)業(yè)單位
期望有明確的統(tǒng)一互通互聯(lián)�、信息共享、能力接入標準�����,打破行業(yè)壁壘,能夠互信互利
歷程
PCSA秉承“質(zhì)由新生��,信仰共造”的理念�,聚合中國關鍵安全能力賦能數(shù)字智能時代。
2016年10月�����,PCSA安全能力者聯(lián)盟成立
2016年12月�,工作方案通過專家評審會
2018年5月,召開安全能力審核說明會
2020年5月��,安全防御能力全景研究(20年度圖)
2021年3月�,安全能力基礎庫定位研究(21年度圖)
2022年6月,網(wǎng)絡安全場景應用研究(22年度圖)
2023年6月���,數(shù)據(jù)安全場景應用研究(23年度圖)
能力接入
2019年����,完成60+安全能力接入
2020年����,完成78安全能力接入
2021年,完成127安全能力接入
2022年�����,完成180安全能力接入
2023年,完成198安全能力接入
2024年���,完成245安全能力接入
申請接入基本原則:
要求為國產(chǎn)原創(chuàng)(非OEM),至少兩年技術投入��,產(chǎn)研技術團隊不低于10人�����,并且已在實網(wǎng)環(huán)境有運行并產(chǎn)生實際效果���,接入的接口形式以API為主�,通過PCSA安全專家團隊能力評審��、技術接口評估���、數(shù)據(jù)質(zhì)量評估�,驗證通過后��,面向公眾發(fā)布一圖一描述一評價�����。
計劃
2024年5月-6月,一年一圖開展專家意見征求
2024年6月22日����,正式公開發(fā)布
后續(xù)計劃,多輪研討����、持續(xù)改進、落地行業(yè)
鳴謝
產(chǎn)業(yè)研究力量:中國信息協(xié)會信息安全專業(yè)委員會���、PCSA安全研究院、數(shù)世咨詢�����、數(shù)說安全�����、CIO時代/安全學院����、FREEBUF����、特大號���、斯元商業(yè)�、國信政務云等
行業(yè)實踐力量:能源�、金融、交通���、建筑、地方大數(shù)據(jù)局等眾多行業(yè)及安全專家
注:本文約1.6萬字����,預計閱讀時間 10 分鐘。歡迎各行業(yè)和產(chǎn)業(yè)安全專家反饋改進����、共同完善、交流合作�����。
聲 明
本文《數(shù)字時代:基于行業(yè)最佳實踐的生態(tài)化安全能力基礎庫》中涉及的內(nèi)容�,包括但不限于文本�、圖片��、數(shù)據(jù)��、表格�����、觀點等各種形式��,已取得相關著作權�����,嚴格遵循國家網(wǎng)絡安全法律法規(guī)�����、標準規(guī)范�,均為互聯(lián)網(wǎng)可公開查詢資料,總結凝聚了行業(yè)共性經(jīng)驗���,意在開展深度交流����、學習及研討?����?萍紕?chuàng)新���、學無止境��,尊重原創(chuàng)����、尊重創(chuàng)新��,轉載����、摘編使用本文圖片、文字或觀點等的應注明來源。未經(jīng)授權許可�,任何法人單位及個人不得用于商業(yè)目的使用。違反上述聲明者�����,我司可追究其相關法律責任����。
一、研究背景
十幾年安全合規(guī)建設與近些年攻防實戰(zhàn)演練���,數(shù)字化組織購買了大量的安全能力���,經(jīng)歷不同歷史時期,呈現(xiàn)出品類眾多���、安全異構����、孤島式���、碎片式等狀態(tài)��,根據(jù)從監(jiān)管單位���、行業(yè)用戶、產(chǎn)業(yè)領域的眾多調(diào)研���,共計總結提煉了三大困惑八個關鍵視角�����,闡述如下:
困惑一:安全能力買了很多�,用的如何?效果如何�?是否持續(xù)投入?
從調(diào)研情況來看��,眾多行業(yè)用戶的安全決策者�����、管理者和運營人員安全能力管理工作缺乏全局視角��,無法快速掌握與評價安全能力應用效果��,無法高效決策安全能力投資需求����,在面對安全實戰(zhàn)與日常運營工作時��,面臨諸多挑戰(zhàn)��。
01、安全決策者視角
安全決策者在數(shù)字化組織中通常負責整個安全戰(zhàn)略方向和投資決策的制定����。
面臨安全能力效果作用評估難:隨著數(shù)字化組織購買的安全產(chǎn)品和服務日益增多,安全決策者需要評估這些安全能力在實際應用中的效果���。然而����,由于安全能力的多樣性和復雜性�,很難準確衡量它們對企業(yè)整體安全狀況的貢獻。
面臨是否持續(xù)投入決策難:在安全領域�����,持續(xù)投入是必不可少的���。然而���,如何確定哪些安全能力值得長期投入,哪些需要調(diào)整或替換�����,是安全決策者面臨的難題。
02����、安全管理者視角
安全管理者負責整個網(wǎng)絡安全防御體系架構,負責組織隊伍應用安全能力開展網(wǎng)絡安全工作�����。
面臨安全能力供應商多:隨著安全市場的快速發(fā)展�����,安全能力供應商如雨后春筍般涌現(xiàn)����。這些供應商提供的安全產(chǎn)品和服務種類繁多,功能各異���。對于安全管理者來說����,選擇合適的供應商和產(chǎn)品成為很重要的工作����。
面臨安全能力層次不齊:不同的安全能力供應商提供的產(chǎn)品和服務在技術水平、功能覆蓋和效果表現(xiàn)上存在差異�����。這種能力層次的不齊需要花費大量的時間和精力去評估和篩選合適的安全能力�����。
面臨安全能力成熟度不易評價:安全能力的成熟度評價沒有統(tǒng)一的標準��,更多基于實際環(huán)境和實戰(zhàn)應用效果�����,很難用具體的指標來衡量���。不同的能力大部分是基于在數(shù)字化組織的實際應用情況來進行評價。
面臨分類不清�、數(shù)量不清、部署不清:隨著安全能力的不斷增加和更新��,安全管理者需要建立一套完善的管理體系����,用來對各種安全能力清晰的分類和標識���。在實際操作中,由于安全能力的多樣性和復雜性�����,使得分類和統(tǒng)計變得十分困難�����。同時�,部署安全能力也需要考慮多個因素,如網(wǎng)絡環(huán)境�����、硬件設備����、人員配置等,這些都會影響到安全能力的部署效果和效率�����。
03��、安全運營人員視角
安全運營人員負責安全能力的日常運營和維護,負責實戰(zhàn)攻防監(jiān)測�����、分析���、研判、防御����。
面臨安全能力煙囪式狀態(tài):由于歷史原因和業(yè)務需求的不同,安全能力往往呈現(xiàn)出煙囪式的分布狀態(tài)�。導致需要很多的安全運營人員管理多個獨立的安全系統(tǒng)。
面臨安全能力在線運行情況不明:安全運營人員需要實時了解安全能力的在線運行情況��,以便及時發(fā)現(xiàn)和處理安全問題��。由于安全能力的多樣性和復雜性��,很難準確掌握它們的實時狀態(tài)���。
面臨安全能力策略執(zhí)行效果不清:安全策略是安全防御體系的核心組成部分����。在實際執(zhí)行過程中,由于各種因素的影響�����,安全策略的執(zhí)行效果往往難以達到預期���。
面臨安全能力實戰(zhàn)效果不佳:能力分散反應不及時�,在面對真實的安全威脅時���,安全能力的實戰(zhàn)表現(xiàn)較差���。
困惑二:互通互聯(lián)本是剛需,實現(xiàn)之路困難重重
實戰(zhàn)化檢驗下��,通過技術層面實現(xiàn)安全能力的互通互聯(lián)�����,形成高效的整體防護�,已是運營單位安全工作的基礎要求,更是真實剛需����。安全產(chǎn)業(yè)呼吁十余年,但仍未突破“互通互聯(lián)”壁壘�����,持續(xù)困擾著眾多數(shù)字化組織����。
01���、政策標準視角
政策標準的制定是一個復雜而漫長的過程�,標準的制定者通常是監(jiān)管機構�����、行業(yè)專家�、院校學者以及產(chǎn)業(yè)單位�,基于對整個行業(yè)的理解和判斷,提出相應的標準和規(guī)范����。然而,這些標準和規(guī)范往往滯后于實際的安全需求和技術發(fā)展�,因為它們需要經(jīng)過長時間的討論���、修改和批準過程���。同時,標準制定者和實際應用者之間也存在一定的行業(yè)的群體性差異����,標準制定者可能更注重整體性和規(guī)范性��,而實際應用者則更關注具體性和實用性����。這種差異導致標準制定與實際需求之間存在一定的偏差����。
02、行業(yè)視角
從行業(yè)視角來看��,實現(xiàn)安全能力的快速生態(tài)聚合與互通互聯(lián)已經(jīng)成為迫切剛需��。在實戰(zhàn)化、體系化�、常態(tài)化的背景下,數(shù)字化組織需要構建一個全面的���、多層次的安全防護體系���,方可應對各種復雜的安全威脅,做到迅速響應并有效應對�。
03、產(chǎn)業(yè)視角
從產(chǎn)業(yè)視角來看��,安全能力互通互聯(lián)需要建立在相互信任的基礎上���。然而當前安全產(chǎn)業(yè)之間存在天然的信任鴻溝,這是由于不同的安全廠商��、服務提供商和運營商之間在技術標準����、產(chǎn)品性能、服務質(zhì)量等方面存在差異和競爭關系所導致的��。這種信任鴻溝不僅影響了安全能力的互通互聯(lián)效果��,還增加了整個安全生態(tài)的復雜性和不確定性。
困惑三:安全能力數(shù)據(jù)聚合難����,安全數(shù)據(jù)治理難,安全經(jīng)驗固化難
安全業(yè)務平臺化已是業(yè)內(nèi)共識�����,無論是SOC����、SIEM、XDR���、態(tài)勢感知����,還是安全中樞/安全大腦�����,都依賴于“可信數(shù)據(jù)”�、“黃金數(shù)據(jù)”,但現(xiàn)實情況下�,安全能力數(shù)據(jù)聚合難���、安全數(shù)據(jù)治理難、安全經(jīng)驗固化難已經(jīng)成為行業(yè)用戶面臨的三座大山�。
01、安全能力數(shù)據(jù)聚合視角
在安全業(yè)務平臺化的趨勢中�,數(shù)據(jù)聚合是構建有效安全防護體系的關鍵環(huán)節(jié)����。然而,現(xiàn)實情況下���,安全能力數(shù)據(jù)聚合面臨多重挑戰(zhàn)���。
1)線路選擇的挑戰(zhàn)
a. 大而全的策略
選擇大而全的數(shù)據(jù)聚合策略意味著嘗試收集所有可能相關的安全數(shù)據(jù)。這種做法看似全面�����,但實踐中往往存在“臟數(shù)據(jù)”的問題���。由于數(shù)據(jù)來源廣泛、格式不一����、質(zhì)量參差不齊�����,大量的無效����、冗余甚至錯誤數(shù)據(jù)會被引入����,給后續(xù)的數(shù)據(jù)分析和處理帶來極大困難。此外�����,存儲這些龐大且復雜的數(shù)據(jù)集也需要高昂的成本����。
b. 精而細的策略
選擇精而細的策略則注重選擇高質(zhì)量、關鍵性的數(shù)據(jù)進行聚合�����。這種策略能夠在很大程度上避免“臟數(shù)據(jù)”的問題��,但需要專業(yè)人員對數(shù)據(jù)源進行精心篩選和評估,并對數(shù)據(jù)進行專項治理��。此外�����,由于數(shù)據(jù)精細化程度高����,對人員的要求也相應提高,需要具備深厚的安全知識背景和豐富的實踐經(jīng)驗��。
2)共性挑戰(zhàn)
a. 安全能力效果評估
在聚合安全能力數(shù)據(jù)之前�,需要對各種安全能力進行評估,確定其適用范圍����、有效性以及與其他能力的兼容性。這個過程需要深入理解各種安全技術的原理和特點��,并結合實際的安全需求進行綜合分析�。
b. 安全能力接口開發(fā)及上線驗證周期長
由于安全能力數(shù)據(jù)通常來自不同的系統(tǒng)和設備����,需要開發(fā)相應的接口來實現(xiàn)數(shù)據(jù)的互聯(lián)互通���。然而,由于不同系統(tǒng)和設備的技術差異和接口標準不一�,接口開發(fā)往往需要耗費大量的時間和精力。同時���,為了保證數(shù)據(jù)的準確性和可靠性���,還需要進行嚴格的上線驗證測試,這也進一步延長了數(shù)據(jù)聚合的周期���。
02���、安全能力數(shù)據(jù)治理視角
安全能力數(shù)據(jù)治理是確保安全數(shù)據(jù)質(zhì)量、提升數(shù)據(jù)價值的關鍵環(huán)節(jié)�。在現(xiàn)實中,安全能力數(shù)據(jù)治理面臨諸多挑戰(zhàn)���。
1)安全能力數(shù)據(jù)治理持續(xù)性工作
安全能力數(shù)據(jù)治理是一個持續(xù)性的工作過程���,需要定期對數(shù)據(jù)進行清洗、整合�、分析和評估�����。同時�,由于安全威脅的不斷變化和數(shù)據(jù)量的不斷增長��,數(shù)據(jù)治理的工作量也會相應增加�����,需要固定的團隊���、人員和工作環(huán)境以及平臺固化���,形成自動化;
2)需要“結硬寨�,打呆仗”精神
安全能力數(shù)據(jù)治理需要投入大量的人力、物力和財力�����,而且效果往往不是立竿見影的����。這要求數(shù)字化組織具備堅定的決心和持久的耐心,以結硬寨打呆仗的精神來推進安全能力數(shù)據(jù)治理工作��。只有持之以恒地投入和努力����,才能逐步改善數(shù)據(jù)質(zhì)量、提升數(shù)據(jù)價值���。
3)安全能力數(shù)據(jù)治理高級人才短缺
安全能力數(shù)據(jù)治理需要具備深厚的數(shù)據(jù)分析能力和安全專業(yè)知識的高級人才來支持��。然而���,在現(xiàn)實中,這類人才往往供不應求�����。缺乏算法工程師���、高級別分析工程師等高級人才將嚴重影響數(shù)據(jù)治理的效果和效率����。
4)安全能力數(shù)據(jù)模型固化機制缺失
即使已經(jīng)產(chǎn)生了一定的數(shù)據(jù)集,但由于缺乏有效的模型固化機制����,這些數(shù)據(jù)往往難以形成有效的安全防御模型。
二��、核心思想解讀
總體架構
《數(shù)字時代:基于行業(yè)最佳實踐的生態(tài)化安全能力基礎庫》的核心思想總結為“6-1-3-N”架構
“6”大核心目標
統(tǒng)一納管��、生態(tài)閃接��、打牢基座互通互聯(lián)���、模型固化�����、實戰(zhàn)驗證
“1”套聚合機制
以API方式為主進行安全能力對接��;持續(xù)建立多品類�、多生態(tài)的安全能力互通互聯(lián)服務模式
“3”層關鍵要點
能力一體管理��、能力數(shù)據(jù)工程����、能力服務門戶
“N”個賦能場景
全維全域監(jiān)測中心���、快速持續(xù)響應中心、智能分析算法對抗�����、精準研判預測中心�����、動態(tài)縱深防御中心����、戰(zhàn)略決策指揮協(xié)同……
架構解讀
“6”大核心目標
01�、統(tǒng)一納管
統(tǒng)一管理不同來源、不同分類�、不同廠商的安全能力,實現(xiàn)安全能力“看得清�����、管的住����、實時監(jiān)控”
02���、生態(tài)閃接
內(nèi)置標準的安全能力對接機制,提供200+生態(tài)化能力對接模板����,實現(xiàn)安全能力“秒級接入、精準采集����、高效服務”
03、打牢基座
通過能力一體管理和能力數(shù)據(jù)工程�,構建安全能力管理和評價機制,落實安全數(shù)據(jù)治理���,形成高質(zhì)量安全數(shù)據(jù)集�����,為打牢安全工作基座提供有效支撐
04����、互通互聯(lián)
建立生態(tài)安全能力互通互聯(lián)模式�����,有效共享高質(zhì)量安全數(shù)據(jù),協(xié)同安全產(chǎn)品功能應用����,提升安全防護能力和網(wǎng)絡安全事件處置效率
05、模型固化
基于安全數(shù)據(jù)集�����,結合特征工程�,固化專家經(jīng)驗���,形成場景化的數(shù)據(jù)模型��,快速從海量數(shù)據(jù)中定位�����、發(fā)現(xiàn)��、感知異常狀態(tài)��,為上層系統(tǒng)����、專家分析決策提供支撐保障
06、實戰(zhàn)驗證
持續(xù)積累實戰(zhàn)經(jīng)驗�,構建多類型的安全能力、安全數(shù)據(jù)集的有效工作機制����,為用戶挑選、評價與驗證“真”能力��,為體系對抗和日常運營提供有力支撐
“1”套聚合機制
以API方式為主進行安全能力對接����,實現(xiàn)安全能力的互通互聯(lián);八年期間(2016年—2024年)�����,聚合對接245個安全能力��,未來�,將繼續(xù)以安全工作需求為導向,持續(xù)對接并強化安全能力管理應用
說明:
API:不同應用可以共享數(shù)據(jù)���,實現(xiàn)無縫集成���,允許第三方應用通過API接入�����,擴展應用程序的功能和服務��,數(shù)據(jù)質(zhì)量高����、結構統(tǒng)一�,適用于需要大量、高質(zhì)量數(shù)據(jù)的數(shù)據(jù)分析等領域
Syslog:主要記錄系統(tǒng)或應用程序的日志信息��,包括錯誤���、警告、通知等�����,適用于系統(tǒng)監(jiān)控�、故障排查等場景
“3”層關鍵要點
01、能力服務門戶
基于安全數(shù)據(jù)集及能力管控機制��,形成能力服務門戶��,涵蓋服務市場、用戶服務����、系統(tǒng)服務、服務流程4類內(nèi)容����,為上層應用提供一站式服務。
02����、能力數(shù)據(jù)工程
結合最佳實踐建立能力數(shù)據(jù)工程,涵蓋數(shù)據(jù)基線�、數(shù)據(jù)治理、數(shù)據(jù)集��、特征工程���、數(shù)據(jù)建模�、數(shù)據(jù)管理6類內(nèi)容�,覆蓋安全能力數(shù)據(jù)收集、存儲���、處理�、分析、應用的全過程�����,形成高質(zhì)量的安全數(shù)據(jù)集���。
03���、能力一體管理
通過標準機制形成安全能力一體化管理,涵蓋能力全景���、能力分類��、能力評估�����、能力閃接、能力管理���、能力畫像和能力監(jiān)測7類內(nèi)容�����,簡化能力接入�����、使用�、跟蹤、評價的復雜性�,構建標準的網(wǎng)絡安全能力管理機制。
“N”個賦能場景
夯實安全數(shù)字化安全基石���,提供高質(zhì)量安全數(shù)據(jù)��,在實戰(zhàn)化����、常態(tài)化���、體系化背景下為各行業(yè)用戶安全運營工作場景有效賦能:
? 全維全域監(jiān)測中心
? 快速持續(xù)響應中心
? 智能分析算法對抗
? 精準研判預測中心
? 動態(tài)縱深防御中心
? 戰(zhàn)略決策指揮協(xié)同
數(shù)字時代:基于行業(yè)最佳實踐的生態(tài)化安全能力基礎庫編制過程中得到了很多專家意見��,詳情請查看https://mp.weixin.qq.com/s/9pq-1AukD6zxynoc_kDVqQ
