1、 CybersecurityCybersecurity ValidationValidation 安全有效性验证能力白皮书 Cybersecurity Validation 目 录 前言.4 0.相关术语及描述.7 1.市场与能力现状.8 1.1 国际相关概念.8 1.2 国内市场概况.9 1.3 行业需求与能力价值.11 2.关键成功因素.15 2.1 安全有效性验证需要确保第三方中立性.15 2.2 懂攻防更要懂安全运营.16 2.3 安全有效性验证必须实现无害化.16 2.4 安全有效性验证应高度自动化.17 2.5 安全有效性验证需要包含攻防对抗和规则策略绕过的验证.17 2.6 基于

2、最佳实践的验证用例积累.18 2.7 安全有效性验证攻击用例的持续更新迭代.18 2.8 针对验证结果的策略优化.19 3.与传统安全评估的差异.20 3.1 传统安全防护体系存在脆弱性.20 3.2 安全有效性验证与传统验证方式的差异.21 3.3 用户自己能否做验证.23 4.核心能力.25 4.1 验证流程.25 4.2 功能架构.26 4.3 逻辑架构.28 4.4 用例设计.29 4.5 策略制定.31 5.八大应用场景.32 5.1 防御态势感知.32 5.2 勒索防护.32 安全有效性验证能力白皮书 Cybersecurity Validation 5.3 网络攻防.34 5.4

3、 分支机构检查.34 5.5 安全意识.35 5.6 纵深防御.35 5.7 数据防泄露.35 5.8 信创安全.35 6.落地指引.37 6.1 整体工作概述.37 6.2 验证准备阶段.37 6.3 验证执行阶段.39 6.4 结果分析阶段.44 6.5 持续改进.45 7.价值意义.47 7.1 实现防护能力、运营能力精准提升.47 7.2 自动化策略巡检，为安全运营降本增效.47 7.3 可见的安全度量与投资回报.48 7.4 监管分支机构的可靠抓手.48 8.行业客户案例.50 8.1 金融行业应用案例.50 8.2 能源行业应用案例.54 8.3 通信行业应用案例.58 9.探索和

4、展望.65 安全有效性验证能力白皮书 Cybersecurity Validation 前言前言 从互联网业务边界安全防护、到流量安全、主机安全、终端安全、邮件安全，从共享威胁情报，到统一运营管理，从用户行为管控，到安全意识教育，从安全管理规定，到应急响应流程 作为网络安全行业“最大的那条鱼”，安全运营囊括了防护、检测、响应、恢复等各个阶段，涵盖了从工具、平台、人到管理与流程的全部要素。可以说安全运营既蕴含着安全建设过往发展的历史，也代表了未来相当一段时间内机构安全体系化建设的方向。伴随企业部署众多安全防护产品的同时，在各类攻防对抗、红蓝演练中依然会暴露出各种问题，导致边界被突破、权限被获取，

5、数据被泄露，靶标被拿下甚至发生真实的信息安全事件，严重影响生产业务安全。为此，面对当前已部署的各类安全防护措施，企业安全团队需要关注：1.已部署的各类安全防护措施和基线是否有效？是否按照预期执行防御和检测动作？是否可做到“应检尽检”？2.如何对当前已构建的防御体系真实效力持续评估、量化呈现？如何对安全防护措施的执行、落实、真实效力做考量和评价？经过对 600 多家金融、央企、制造业等单位的调研和实践证明，大多存在不同程度的“失去安全防护效力的情况”，这被称之为“防护失效”。安全有效性验证能力白皮书 Cybersecurity Validation 图 1：十二个企业典型防护失效点（来自知其安调

6、研分析）造成防护失效的原因中，90%难以通过日常巡检或依靠人工排查的方式发现异常，这些安全能力失效往往是在真实事件发生时才受重视或被感知。通过对大量案例和数据的分析，发现企业防护失效普遍呈现出“7-2-1”的共性态势。图 2：企业防护失效“7-2-1”态势（相关数据面向知其安客户调研分析得出）针对各类安全防护必然存在失效或防护效力不及预期的问题，作为监管侧需要抓手，实现体系化、标准化的执行监督检查职责，及时发现和暴露组织单位安全防护的失效情况，联防联控，降低行业整体风险。作为承担安全防护主体责任的企业单位，应当在常态化安全防护中持续检验和评估自身安全防御能力，及时发现防护和检测缺失点，提升网络