2023年中某著名企業(yè)絡(luò)安全某省市場研究報告2023-11某著名企業(yè)關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降聲明本報告由“數(shù)說安全研究院”出品（數(shù)說安全隸屬于某著名企業(yè)），報告歸北某著名企業(yè)所有，報告中所有原創(chuàng)文字、觀點、圖片、表格均受中國法律法規(guī)保護(hù)。轉(zhuǎn)載、摘編或利用其他方式使用本報告內(nèi)容的，應(yīng)向所有者取得書面授權(quán)，并注明“來源：數(shù)說安全”。違反上述使用的，我司將追究其法律責(zé)任。數(shù)說安全研究院免責(zé)聲明本報告中部分文字和數(shù)據(jù)采集于公開某省市場數(shù)據(jù)通過CSRadar商業(yè)分析平臺進(jìn)行統(tǒng)計分析與模型估算獲得；企業(yè)數(shù)據(jù)通過公開信息或訪談獲得。數(shù)說安全對報告內(nèi)容的準(zhǔn)確性、完整性和可靠性盡最大努力的追求。由于研究方法和數(shù)據(jù)樣本具有一定局限性，故在任何情況下，本報告中的信息或所表達(dá)的觀點客戶作為參考，不構(gòu)成任何建議。本公司不對報告的數(shù)據(jù)及分析結(jié)論承擔(dān)法律責(zé)任。關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降研究背景與研究范圍說明在我某著名企業(yè)安產(chǎn)業(yè)近三十年發(fā)展過程中，網(wǎng)絡(luò)安全法實行超過6年、等級保護(hù)制度實行接近20年，這兩項網(wǎng)安普適性法律法規(guī)已對企業(yè)網(wǎng)絡(luò)安全建設(shè)產(chǎn)生重要且實質(zhì)性的影響。目前看，多數(shù)企業(yè)已完成合規(guī)建設(shè)，基礎(chǔ)安全體系搭建完成，未來將進(jìn)入深耕細(xì)作、建設(shè)與運營并重的新階段。數(shù)字應(yīng)用爆炸式增長導(dǎo)致企業(yè)安全風(fēng)險暴露面不斷擴(kuò)大，網(wǎng)絡(luò)威脅態(tài)勢日益嚴(yán)峻。安全運營可以幫助企業(yè)將安全技術(shù)、安全人員與安全管理制度進(jìn)行高效聚合，實現(xiàn)更為主動、快速、貫穿全局的防御能力。安全運營已成為海內(nèi)外廣泛認(rèn)可的重要發(fā)展方向，未來也將成為絕大多數(shù)企業(yè)安全能力提升過程中的核心工作。企業(yè)安全運營需求的快速釋放也推動了安某省市場蓬勃發(fā)展。安全運營涵蓋范圍非常廣，主要由安全運營產(chǎn)品、安全運營服務(wù)和安全運營應(yīng)用場景構(gòu)成，不同應(yīng)用場景所需要的安全運營產(chǎn)品、安全運營服務(wù)以及服務(wù)的模式可能存在差異。本次研究主要針對安全運某省市某省市場需求最大的網(wǎng)絡(luò)安全運營作為主要應(yīng)用場景，非安全運營平臺類產(chǎn)品和其它應(yīng)用場景的安全運營不作為本次研究的主要內(nèi)容。安全運營產(chǎn)品安全運營服務(wù)SOCSIEMXDR態(tài)勢感知SOARBASEDR/CWPPNDRTIASMDECEPTIONCAMVA/VPTITDRSASE安全運營咨詢服務(wù)安全運營應(yīng)用場景網(wǎng)絡(luò)安全運營 云安全運營 數(shù)據(jù)安全運營 工控安全運營 某著名企業(yè)安全運營安全運營分類駐場運維服務(wù)安全托管服務(wù)托管檢測與響應(yīng)服務(wù)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降目錄0102安全運營概述安全運營技術(shù)與產(chǎn)品介紹03安全運營服務(wù)介紹04安某省市場分析05安某省市場優(yōu)秀項目案例06安某省市場總結(jié)與發(fā)展趨勢07附錄-安全運營廠商調(diào)研情況數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營概述企業(yè)安全管理工作面臨的挑戰(zhàn)安全運營的定義安全運營在網(wǎng)絡(luò)安全體系中的定位與價值安全運營與安全運維的區(qū)別安全運營的模式（甲方視角）安全運營的價值安全運營利好政策安全運營法律法規(guī)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降企業(yè)安全管理工作面臨的挑戰(zhàn)缺乏安全運營的靜態(tài)防御模式無法有效應(yīng)對不斷演進(jìn)的網(wǎng)絡(luò)安全威脅：國內(nèi)大多數(shù)企業(yè)在構(gòu)建安全體系時主要以滿足合規(guī)要求作為第一導(dǎo)向，采購大量安全產(chǎn)品并堆疊部署已成為常態(tài)。然而，在這種背景下，各安全產(chǎn)品間常常孤立運轉(zhuǎn)，缺乏有效的協(xié)同聯(lián)動能力，企業(yè)整體安全策略與防御姿態(tài)長期處于靜止和被動的狀態(tài)，難以有效應(yīng)對日益復(fù)雜和精細(xì)化、平臺化、自動化的網(wǎng)絡(luò)攻擊，企業(yè)迫切需要建立動態(tài)、主動的安全運營體系，以達(dá)到有效防護(hù)的目標(biāo)。攻防不對等性導(dǎo)致企業(yè)難以實現(xiàn)100%絕對的安全：攻擊者在暗而防守者在明，防守方需要耗費大量資源部署長長的防線來保護(hù)龐大的網(wǎng)絡(luò)資產(chǎn)，攻擊者只要在100次攻擊中成功1次，就可以抵消防守方在99次成功防守中所付出的努力。因此，企業(yè)在構(gòu)建安全防線時，盲目的建設(shè)防線并不是最優(yōu)的選擇，更好的辦法是在安全運營過程中時刻感知威脅與風(fēng)險，采用更具針對性、動態(tài)的安全策略，并不斷加強(qiáng)防御系統(tǒng)的韌性，保證即便發(fā)生攻擊或系統(tǒng)被攻破，也能夠及時發(fā)現(xiàn)、阻斷攻擊并快速恢復(fù)業(yè)務(wù)。企業(yè)在網(wǎng)絡(luò)安全投入上面臨預(yù)算壓力和資源限制：對于一些企業(yè)來說，很難衡量網(wǎng)絡(luò)安全投資的回報率（ROI），這導(dǎo)致它們在網(wǎng)絡(luò)安全方面只擁有有限的預(yù)算和資源，同時也可能限制其采購和實施最新的安全技術(shù)和措施。因此，企業(yè)需要找到一種平衡，通過建立高效的安全運營體系，幫助企業(yè)最大程度提高系統(tǒng)的安全性，同時實現(xiàn)在有限資源下進(jìn)行有效管理。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營的定義通過技術(shù)設(shè)施安全評估，技術(shù)設(shè)施安全加固，安全漏洞補丁通告、安全事件響應(yīng)以及信息安全運維咨詢，協(xié)助組織的信息系統(tǒng)管理人員進(jìn)行信息系統(tǒng)的安全運維工作，以發(fā)現(xiàn)并修復(fù)信息系統(tǒng)中所存在的安全隱患，降低安全隱患被非法利用的可能性，并在安全隱患被利用后及時加以響應(yīng)。中某著名企業(yè)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）安全運維服務(wù)資質(zhì)簡介安全意識和安全技能培訓(xùn)；資產(chǎn)識別和管理；脆弱性識別和管理；應(yīng)急響應(yīng)及處理能力；深度威脅檢測、研判和管理；安全事件預(yù)警與取證分析；風(fēng)險評估的能力；審計和威脅情報處置；態(tài)勢感知和趨勢分析；維護(hù)安全運營中心（SOC）工具生命；安全性協(xié)調(diào)的能力；檢驗并證實整體安全性。中國信息安全測評中心ITSEC）安全運營服務(wù)資質(zhì)（安全運營過程能力要求）數(shù)說安全對安全運營的定義結(jié)合行業(yè)主管部門對安全運維的定義和安全運營能力過程要求，數(shù)說安全對安全運營定義如下：安全運營是通過統(tǒng)一和協(xié)調(diào)組織內(nèi)安全人員、安全技術(shù)和安全管理流程，對組織面臨的安全風(fēng)險進(jìn)行預(yù)警、識別、保護(hù)、檢測、響應(yīng)的過程。安全運營的目標(biāo)是發(fā)現(xiàn)組織已存在或未來可能會出現(xiàn)的安全風(fēng)險，并利用高效的安全防控措施來主動化解風(fēng)險，以此不斷改善組織的安全狀況。預(yù)警安全管理流程識別攻擊保護(hù)威脅安全技術(shù)安全人員檢測風(fēng)險響應(yīng)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營在網(wǎng)絡(luò)安全體系中的定位與價值防火墻防病毒資產(chǎn)安全盤面基礎(chǔ)結(jié)構(gòu)安全的防御姿態(tài)posture，主要就是解決“資產(chǎn)-漏洞-配置-補丁”問題的系統(tǒng)安全I(xiàn)DS

密碼基礎(chǔ)結(jié)構(gòu)安全防火墻防病毒IDS密碼VA網(wǎng)閘UTMIPSEPPIAMSOCWAF縱深防御縱深防線盤面縱深防御的防御姿態(tài)posture，是防護(hù)策略有效性，以構(gòu)成堅實的防御“陣地”防火墻防病毒IDS密碼VA網(wǎng)閘UTMIPSEPPIAMSOCWAF態(tài)勢感知與積極防御云計算大數(shù)據(jù)某著名企業(yè)區(qū)塊鏈業(yè)務(wù)安全物聯(lián)網(wǎng)車聯(lián)網(wǎng)工控AIUEBASDNZTNACAMDECEPTIONSOARSASETIXDR威脅處置盤面積極防御的posture，是威脅發(fā)現(xiàn)能力和處置及時性有效數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營與安全運維的區(qū)別安全運維以保障企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施正常使用和穩(wěn)定運行為主要目標(biāo)工作圍繞用戶現(xiàn)有的網(wǎng)絡(luò)安全設(shè)施，比如防火墻、WAF、上網(wǎng)行為管理、防病毒軟件、終端安全管理等網(wǎng)絡(luò)安全產(chǎn)品安全巡檢、配置核查、產(chǎn)品運行狀態(tài)監(jiān)控、產(chǎn)品升級、設(shè)備維保、等保整改等人工和手動為主、以少量工具作為輔助安全運營通過主動化解網(wǎng)絡(luò)安全風(fēng)險來保障企業(yè)數(shù)字化業(yè)務(wù)穩(wěn)定運行為主要目標(biāo)工作圍繞企業(yè)所有數(shù)字化業(yè)務(wù)和應(yīng)用而展開，通過安全運營來保護(hù)企業(yè)IT資產(chǎn)、數(shù)據(jù)資產(chǎn)、互聯(lián)網(wǎng)資產(chǎn)不被侵害資產(chǎn)盤點、漏洞管理、滲透測試、風(fēng)險評估、安全加固、威脅管理、態(tài)勢感知、風(fēng)險緩解、應(yīng)急響應(yīng)、溯源取證等通過人+自動化平臺/工具實現(xiàn)人機(jī)合智的安全運營與管理范圍過程方法目標(biāo)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營的模式（甲方視角）完全自建模式組織具有成熟的安全體系，安全管理流程、安全人員、安全技術(shù)均由組織自建自籌；組織CSO（首席安全官）對本組織的安全運營情況和效果負(fù)責(zé)；組織具備充足的安全預(yù)算，已建成體系化的安全架構(gòu)，擁有專業(yè)的安全運營團(tuán)隊，安全運營是保障組織業(yè)務(wù)發(fā)展的重要因素。某省市場中，采用完全自建模式的客戶比例不超過3%。產(chǎn)品體系自建+采購駐場運維服務(wù)模式組織通過安全集成的方式購買安全產(chǎn)品并建立安全防護(hù)體系，但組織內(nèi)安全人員有限，需要以人力外包的方式補充安全運營人員；組織CSO（首席安全官）對本組織的安全運營情況和效果負(fù)責(zé)；組織安全預(yù)算相對充足，但預(yù)算優(yōu)先投入安全技術(shù)體系建設(shè)，擁有相對成熟的安全管理流程，但受限于組織體制、技術(shù)能力與人員編制控制等原因，無法自建完整的安全運營團(tuán)隊。安全托管模式（MSS）組織建立了安全防護(hù)體系，但沒有獨立的安全運營團(tuán)隊，也不具備安全運營能力，需要將安全運營工作委托給外部專業(yè)的安全公司；受委托的安全公司針對組織面臨的安全需求，制定組織安全管理流程、配備安全運營人員、提供安全運營工具，以云端/遠(yuǎn)程的交付方式實現(xiàn)對組織安全運營工作的全面托管，并對最終的效果負(fù)責(zé)；組織安全預(yù)算有限，短期內(nèi)不具備自籌自建安全運營體系的能力。托管檢測與響應(yīng)模式（MDR）除基礎(chǔ)安全運營工作外，組織更關(guān)注自身面臨的網(wǎng)絡(luò)攻擊與威脅，但組織不具備相應(yīng)的技術(shù)能力，需要將威脅檢測、威脅分析、威脅響應(yīng)等工作委托給外部專業(yè)的安全公司；受委托的安全公司為組織提供面向威脅視角的托管式安全服務(wù)，包括部署威脅檢測探針、威脅分析和響應(yīng)平臺等基礎(chǔ)設(shè)施，并在云端配備安全專家，為組織提供7*24小時的威脅檢測與響應(yīng)服務(wù)。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營的價值安全管理指標(biāo)化成熟的安全運營將打破傳統(tǒng)網(wǎng)絡(luò)安全管理的模式，在管理制度和管理流程基礎(chǔ)上，進(jìn)一步采用科學(xué)的數(shù)字化管理指標(biāo)，通過風(fēng)險平均檢測時間（MTTD）、平均確認(rèn)時間（MTTA）、平均遏制時間（MTTC）、平均恢復(fù)時間（MTTR）等多項指標(biāo)量化安全運營過程和結(jié)果，從而達(dá)成更精細(xì)、可度量的安全管理能力。安全能力實戰(zhàn)化安全運營通過威脅情報預(yù)測、主動監(jiān)控、安全測試等多樣化手段，提前發(fā)現(xiàn)企業(yè)可能面臨的安全風(fēng)險和威脅，自適應(yīng)調(diào)整對抗策略，降低企業(yè)發(fā)生網(wǎng)絡(luò)安全風(fēng)險的可能性。同時，在風(fēng)險發(fā)生時，安全運營可以實現(xiàn)快速的風(fēng)險定位，通過體系化的安全運營流程來化解風(fēng)險，在減少企業(yè)損失的同時不斷強(qiáng)化實戰(zhàn)能力。安全成本最小化國內(nèi)以合規(guī)為某省市場供需關(guān)系導(dǎo)致企業(yè)購買了很多安全產(chǎn)品，但并未通過技術(shù)有機(jī)結(jié)合形成有效的體系化能力，安全運營可以在彌補企業(yè)管理能力與技術(shù)能力的同時，合理規(guī)劃安全需求與安全投入，實現(xiàn)物盡其用，減少冗余和重復(fù)性投資，以此降低企業(yè)整體的安全成本。安全價值最大化企業(yè)安全投入與產(chǎn)出不匹配是我某著名企業(yè)安產(chǎn)業(yè)一直以來面臨的突出矛盾，其主要原因在于長期形成的堆疊式安全體系，在沒有良好的管理和運營的情況下，無法帶來令人滿意的安全價值。2016年開始的實網(wǎng)攻防，其目的也是解決讓企業(yè)看到安全價值的問題，安全運營未來將進(jìn)一步加速這個價值平衡的過程。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營利好政策《國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》十三屆人大四次會議

2021.3第十八章第三節(jié)：加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，健全國家網(wǎng)絡(luò)安全法律法規(guī)和制度標(biāo)準(zhǔn)，加強(qiáng)重要領(lǐng)域數(shù)據(jù)資源、重要網(wǎng)絡(luò)和信息系統(tǒng)安全保障。建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)和維護(hù)政治安全能力。加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險評估和審查。加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，強(qiáng)化跨領(lǐng)域網(wǎng)絡(luò)安全信息共享和工作協(xié)同，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力。加強(qiáng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)研發(fā)，加快人工智能安全技術(shù)創(chuàng)新，提升網(wǎng)絡(luò)安全產(chǎn)業(yè)綜合競爭力。加強(qiáng)網(wǎng)絡(luò)安全宣傳教育和人才培養(yǎng)?！毒W(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（2021-2023年）（征求意見稿）》

工信部

2021.7第4條

創(chuàng)新安全服務(wù)模式加強(qiáng)安全企業(yè)技術(shù)產(chǎn)品的云化能力，推動云化安全產(chǎn)品應(yīng)用，鼓勵綜合實力強(qiáng)的安全企業(yè)發(fā)展彈性、靈活的云模式網(wǎng)絡(luò)安全服務(wù)。發(fā)展集約化安全服務(wù)，鼓勵企業(yè)提供集防火墻、用戶身份認(rèn)證、數(shù)據(jù)安全、應(yīng)用安全等一攬子整體解決方案。支持開展威脅管理、檢測響應(yīng)等安全托管和咨詢服務(wù)。發(fā)展地區(qū)某省市級、行業(yè)級安全運營服務(wù)，提高運營自動化、流程化、工具化水平。鼓勵基礎(chǔ)某著名企業(yè)企業(yè)、大型云服務(wù)提供商，并充分發(fā)揮網(wǎng)絡(luò)和基礎(chǔ)資源優(yōu)勢，輸出安全服務(wù)能力，同時升級改造基礎(chǔ)設(shè)施，支持安全企業(yè)嵌入安全服務(wù)能力。第9條

推動關(guān)鍵行業(yè)基礎(chǔ)設(shè)施強(qiáng)化網(wǎng)絡(luò)安全建設(shè)推動能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育等行業(yè)領(lǐng)域加強(qiáng)資產(chǎn)識別、設(shè)備防護(hù)、邊界防護(hù)、身份認(rèn)證、數(shù)據(jù)安全、應(yīng)用安全等技術(shù)手段建設(shè)，提升重要系統(tǒng)、關(guān)鍵節(jié)點及數(shù)據(jù)的安全防護(hù)能力。支持建立態(tài)勢感知、通報預(yù)警、應(yīng)急響應(yīng)、安全運營等安全機(jī)制及縱深防護(hù)體系，不斷提高風(fēng)險防范和應(yīng)急處置能力。推進(jìn)零信任、人工智能等技術(shù)應(yīng)用，提升防護(hù)體系效能。第10條

推進(jìn)中小企業(yè)加強(qiáng)網(wǎng)絡(luò)安全能力建設(shè)實施中小企業(yè)“安全上云”專項行動，建設(shè)網(wǎng)絡(luò)安全運營服務(wù)中心，面向中小企業(yè)提供高質(zhì)量、低成本、集約化的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。引導(dǎo)中小企業(yè)通過網(wǎng)絡(luò)安全產(chǎn)品服務(wù)一站式購買、租賃、訂閱、托管、云端交付等方式，靈活部署網(wǎng)絡(luò)安全產(chǎn)品和解決方案。支持開展多元化網(wǎng)絡(luò)安全意識宣貫和技能培訓(xùn)，不斷提升中小企業(yè)網(wǎng)絡(luò)安全防護(hù)意識和能力。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營法律法規(guī)中華人民共和某著名企業(yè)絡(luò)安全法（2017.6.1實施）第二十五條：網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險，在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。第五十一條：國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。第五十二條：負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。數(shù)據(jù)安全法（2021.9.1實施）第二十二條：國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、報告、信息共享、監(jiān)測預(yù)警機(jī)制。國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險信息的獲取、分析、研判、預(yù)警工作。第二十九條：開展數(shù)據(jù)處理活動應(yīng)當(dāng)加強(qiáng)風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補救措施；發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（2021.9.1實施）第二十四條：保護(hù)工作部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度，及時掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢，預(yù)警通報網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營技術(shù)與產(chǎn)品介紹安全運營方法論安全運營技術(shù)棧安全運營核心能力-安全信息和事件管理（SIEM）安全運營核心能力-安全編排自動化與響應(yīng)（SOAR）安全運營核心能力-擴(kuò)展檢測與響應(yīng)（XDR）安全運營核心能力-威脅情報（TI）安全運營關(guān)鍵技術(shù)-終端檢測與響應(yīng)（EDR&CWPP）安全運營關(guān)鍵技術(shù)-網(wǎng)絡(luò)檢測與響應(yīng)（NDR）安全運營創(chuàng)新技術(shù)-入侵與攻擊模擬（BAS）安全運營創(chuàng)新技術(shù)-攻擊面管理（ASM）安全運營創(chuàng)新技術(shù)-欺騙防御（DECEPTION）數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營方法論企業(yè)安全運營圍繞以識別、保護(hù)、檢測、響應(yīng)、恢復(fù)為主要能力的安全體系框架，在原有縱深+靜態(tài)防御基礎(chǔ)上，可以通過擴(kuò)展和強(qiáng)化識別、檢測、響應(yīng)3個維度的能力，向主動式、動態(tài)式防御效果進(jìn)化。同時利用成熟、多樣化的安全運營工具可以保障企業(yè)安全運營體系的高效運行，提升企業(yè)應(yīng)對風(fēng)險的能力，保證企業(yè)安全防護(hù)體系始終處于全局可視、自主可控、高彈性、自適應(yīng)的積極對抗姿態(tài)。資產(chǎn)梳理脆弱性評估威脅管理風(fēng)險研判風(fēng)險處置資產(chǎn)識別漏洞評估風(fēng)險評估識別檢測響應(yīng)安全檢測縱深防御保護(hù)企業(yè)安全框架威脅檢測威脅狩獵安全有效性驗證威脅預(yù)警態(tài)勢感知風(fēng)險緩解溯源取證備份容災(zāi)恢復(fù)安全運營過程與目標(biāo)通過工具/產(chǎn)品/技術(shù)識別組織內(nèi)外部所有的IT資產(chǎn)發(fā)現(xiàn)組織已存在的安全漏洞并根據(jù)優(yōu)先級進(jìn)行修復(fù)立足攻擊者視角發(fā)現(xiàn)組織存在的安全風(fēng)險，并評估風(fēng)險優(yōu)先級在識別企業(yè)所有風(fēng)險因素后，在安全基礎(chǔ)設(shè)施上設(shè)置對抗策略在終端、網(wǎng)絡(luò)、身份基礎(chǔ)設(shè)施中采集信息以發(fā)現(xiàn)攻擊通過偽造脆弱性、增加IT設(shè)施密度來發(fā)現(xiàn)和延緩攻擊通過自動化方式對組織安全體系的有效性進(jìn)行持續(xù)驗證通過接入實時的威脅情報數(shù)據(jù)，實現(xiàn)安全風(fēng)險的感知和預(yù)警對全局安全態(tài)勢進(jìn)行動態(tài)、全面研判，為管理決策提供依據(jù)攻擊發(fā)生后通過協(xié)同聯(lián)動安全基礎(chǔ)設(shè)施來遏制攻擊，處置威脅通過還原攻擊手法與攻擊路徑，找到攻擊源頭徹底排除隱患系統(tǒng)被攻破后，通過多種技術(shù)手段恢復(fù)業(yè)務(wù)，保證業(yè)務(wù)連續(xù)性安全運營工具CAMVA、VPTASM、PTE、滲透測試FW、WAF、IPS、NACEDR、CWPP、NDR、ITDRDECEPTIONBASTI態(tài)勢感知/SOC/XDR/SIEMSOAR溯源工具/全流量存儲/人工數(shù)據(jù)容災(zāi)/備份/一體機(jī)/人工恢復(fù)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營技術(shù)棧SIEMXDRTIEDR&CWPPNDRVACAMPTESASEDECEPTIONITDRFW基礎(chǔ)平臺核心能力敏捷工具BASASMSOARVPT安全運營平臺網(wǎng)絡(luò)安全技術(shù)的有效運用是提升企業(yè)安全運營效率、保障企業(yè)安全運營效果的核心手段。在安全運營技術(shù)棧中，安全運營平臺是必不可少的基礎(chǔ)性平臺，除了承載企業(yè)安全運營管理的自動化流程，也是構(gòu)建SIEM、XDR、SOAR、TI這4項安全運營核心能力的底座平臺。SIEM是傳統(tǒng)的安全信息和事件分析技術(shù)，XDR是更為先進(jìn)的威脅檢測技術(shù)，SOAR在安全運營事件的響應(yīng)處置中不可或缺，TI是常態(tài)化安全運營狀態(tài)下最重要的數(shù)據(jù)支撐。在構(gòu)建基礎(chǔ)平臺與核心能力后，企業(yè)可以根據(jù)不同的安全需求，有選擇性的使用十余種敏捷工具，來不斷細(xì)化、落實安全運營工作，實現(xiàn)更自動化、智能化的安全運營體系。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營核心能力---安全信息和事件管理（SIEM）最初的SIEM平臺是日志管理工具，結(jié)合了安全信息管理和安全事件管理，能夠?qū)崟r監(jiān)控和分析安全相關(guān)事件，以及跟蹤和記錄安全數(shù)據(jù)以進(jìn)行合規(guī)或?qū)徲?。近些年SIEM不斷發(fā)展，融合了用戶和實體行為分析（UEBA）以及其他高級安全分析、人工智能和機(jī)器學(xué)習(xí)能力，用于識別異常行為和高級威脅。如今SIEM已成為現(xiàn)代安全運營中心中安全數(shù)據(jù)監(jiān)控與處理的中樞，幫助企業(yè)實現(xiàn)更全面、精準(zhǔn)的事件分析與管理能力。SIEM從本地和云環(huán)境中，采集包括用戶、終端、網(wǎng)絡(luò)、應(yīng)用程序、云工作負(fù)載等多類IT和安全基礎(chǔ)設(shè)施的數(shù)據(jù)，通過對這些多源數(shù)據(jù)進(jìn)行聚合、富化、關(guān)聯(lián)和建模，實現(xiàn)對威脅的調(diào)查，并生成準(zhǔn)確的安全事件，為企業(yè)在安全數(shù)據(jù)層面提供整體安全視圖和決策支撐。SIEM是企業(yè)構(gòu)建安全運營體系最核心的底層能力。安全信息和事件管理（

Security

Information

Event

Management

）網(wǎng)絡(luò)設(shè)備ROUTER/SWITCH/AD等服務(wù)器AIX/UNIX/NETWARE等應(yīng)用程序OA/IM/MOBILE

APP等終端WINDOWS/LINUX等SYSLOGSNMPAPI數(shù)據(jù)解析數(shù)據(jù)映射數(shù)據(jù)富化數(shù)據(jù)標(biāo)準(zhǔn)化數(shù)據(jù)聚合數(shù)據(jù)存儲UEBA人工智能大數(shù)據(jù)分析安全監(jiān)控態(tài)勢預(yù)測威脅分析事件聚合安全告警安全編排安全任務(wù)威脅情報MONITORREPOARTPLAYBOOK安全報表安全大屏儀表盤SIEM產(chǎn)品邏輯圖數(shù)據(jù)采集安全設(shè)備FW/WAF/IAM/EDR等數(shù)據(jù)處理與分析 安全結(jié)果輸出數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營核心能力---安全編排自動化與響應(yīng)（SOAR）自動化運營效率平均檢測時間（MTTD）平均響應(yīng)時間（MTTR）安全運營人員投入SOAR應(yīng)用價值檢測安全編排自動化與響應(yīng)（

Security

Orchestration

Automation

and

Response）隨著某著名企業(yè)辦公、5G和物聯(lián)網(wǎng)技術(shù)的發(fā)展，海量終端設(shè)備接入到網(wǎng)絡(luò)，攻擊面不斷被拓寬，攻擊事件呈現(xiàn)指數(shù)增長態(tài)勢，使得安全運營團(tuán)隊承受著極大的壓力。借助于SOAR產(chǎn)品，可以根據(jù)安全事件的分類/評估結(jié)果，關(guān)聯(lián)不同類型的處理腳本，進(jìn)行自動化的事件響應(yīng)，幫助安全運營團(tuán)隊的工作效率實現(xiàn)指數(shù)級提升，有效應(yīng)對不斷攀升的漏洞和安全告警。在安全運營場景下，SOAR是最重要的核心技術(shù)之一，通過接收高置信度的分析結(jié)果，SOAR可以將人工處理過程轉(zhuǎn)化為自動化的劇本/工作流，大幅縮短從發(fā)現(xiàn)威脅到處置威脅的時間。從檢測到響應(yīng)的時間是關(guān)鍵，SOAR提升響應(yīng)效率SIEM/SOCXDRDeceptionSandboxIDP…響應(yīng)事件管理自動化編排IP、DNS、C2威脅情報提升置信度告警置信度工作流半人工化輔助決策API對接

指令下發(fā)劇本管理：創(chuàng)建、優(yōu)化、積累…SOAR工作流概況知識庫數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營核心能力---擴(kuò)展檢測與響應(yīng)（XDR）各產(chǎn)品信息孤立，缺少關(guān)聯(lián)分析，難以發(fā)現(xiàn)APT等高級威脅；各檢測點產(chǎn)生大量告警信息，安全運營工作效率低、負(fù)擔(dān)重；各品牌和各類型產(chǎn)品獨立配置和維護(hù)，管理成本高。擴(kuò)展檢測與響應(yīng)模式的先進(jìn)性產(chǎn)品同品牌，各產(chǎn)品信息互通可讀，由XDR平臺統(tǒng)一分析；摒棄繁雜的告警信息，而是精準(zhǔn)少量的安全事件，效率提升；XDR平臺可整合TI、SOAR等能力，并支持SaaS運營模式。擴(kuò)展檢測與響應(yīng)（

eXtended

Detection

and

Response）XDR平臺可以跨區(qū)域收集來自多種安全設(shè)施的檢測數(shù)據(jù)，并對其進(jìn)行統(tǒng)一的集成、關(guān)聯(lián)和上下文等事件化分析，以全局視角進(jìn)行威脅研判，從而獲得更準(zhǔn)確和全面的檢測結(jié)果。XDR旨在高效集成產(chǎn)品，打破信息孤島，降低企業(yè)內(nèi)的無效告警和安全運營成本。在合規(guī)背景下，企業(yè)安全體系普遍存在產(chǎn)品碎片化、告警信息繁雜、事件響應(yīng)流程混亂、人員能力不足等深層問題。如何通過安全運營體系一體化整合來提高安全運營效率，成為目前亟待解決的核心問題，XDR或在此方面形成技術(shù)突破，并對多場景常態(tài)化安全運營工作提供最直接的安全價值。EDRNDR蜜罐CWPP微隔離IDPS安全分析中心安全分析中心安全分析中心安全分析中心安全分析中心安全分析中心datadatadatadatadatadataLogLogLogLogLogLogEDRNDR蜜罐CWPP微隔離IDPSXDR平臺datadatadatadatadatadataSOCSIEMlog傳統(tǒng)檢測與響應(yīng)模式日志級分析/信息孤立/告警繁雜/誤報率高擴(kuò)展檢測與響應(yīng)模式 傳統(tǒng)檢測與響應(yīng)模式的局限性多源數(shù)據(jù)采集/上下文可見/深度關(guān)聯(lián)分析/高效溯源SOARAPITISaaSSOC/SIEM擴(kuò)展檢測與響應(yīng)模式與傳統(tǒng)檢測響應(yīng)模式的區(qū)別VS數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營核心能力---威脅情報（TI）威脅情報（

Threat

Intelligence）威脅情報是基于威脅知識、證據(jù)、技能和經(jīng)驗的信息集合，可以對已存在和正在出現(xiàn)的威脅和風(fēng)險提供上下文、機(jī)制、可能產(chǎn)生的結(jié)果和應(yīng)對意見等信息。這些信息可被用于及時響應(yīng)和優(yōu)化風(fēng)險應(yīng)對的決策。威脅情報可以幫助企業(yè)更好地洞察威脅形勢和攻擊行為，以及攻擊者最新的策略、技術(shù)和程序，為企業(yè)提供決策依據(jù)和先發(fā)優(yōu)勢。通過廣覆蓋和高時效的威脅情報，企業(yè)可以主動、快速調(diào)整其安全防御策略，從而識別和抵御高級攻擊、0

Day等安全風(fēng)險。在滑動標(biāo)尺模型中，威脅情報定位于態(tài)勢感知和積極防御之上，是填補已知威脅知識缺口并驅(qū)動積極防御的過程。威脅情報的posture，是覆蓋面、時效性和可執(zhí)行水平?？捎^測數(shù)據(jù)攻擊指標(biāo)DNS郵件文件觀測數(shù)據(jù)攻擊方法攻擊階段進(jìn)程網(wǎng)絡(luò)訪問注冊表檢測機(jī)制潛在影響應(yīng)對措施安全事件攻擊活動關(guān)系者影響資產(chǎn)影響評估安全事件威脅主體攻擊方法預(yù)期效果獲取權(quán)限發(fā)現(xiàn)方法攻擊活動可信度相關(guān)活動攻擊方法應(yīng)對措施攻擊行為攻擊資源攻擊目標(biāo)階段類型對象攻擊階段信息來源攻擊鏈影響成本效果威脅主體攻擊目標(biāo)身份動機(jī)經(jīng)驗漏洞列表弱點類型應(yīng)對措施預(yù)期效果計劃支持可信度信息來源攻擊目標(biāo)版本信息生成信息共享信息使用網(wǎng)絡(luò)安全威脅信息格式規(guī)范國家標(biāo)準(zhǔn)方法域事件域?qū)ο笥蚬艋顒庸糁笜?biāo)安全事件攻擊方法可觀測數(shù)據(jù)相關(guān)數(shù)據(jù)方法體現(xiàn)對應(yīng)指標(biāo)對應(yīng)方法所屬事件相關(guān)方法發(fā)起活動發(fā)起主體使用方法威脅主體漏洞利用攻擊目標(biāo)應(yīng)對措施有效措施采取措施數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營關(guān)鍵技術(shù)—終端檢測與響應(yīng)（EDR&CWPP）終端檢測與響應(yīng)（Endpoint

Detection

Response

&

Cloud

Workload

Protection

Platform）終端檢測與響應(yīng)技術(shù)在IT端點部署輕量級代理采集終端信息并上傳中心數(shù)據(jù)分析平臺，通過大數(shù)據(jù)、機(jī)器學(xué)習(xí)、威脅情報、UEBA等新技術(shù)實現(xiàn)對終端安全態(tài)勢的研判分析，是針對日漸多變的高級持續(xù)性威脅、0

Day等新興未知攻擊的主動性防御機(jī)制。終端檢測與響應(yīng)技術(shù)在網(wǎng)絡(luò)安全運營中同樣扮演著關(guān)鍵的角色，其重要性和價值包括：實時監(jiān)測終端上的活動，在快速檢測和識別潛在威脅的同時可以將監(jiān)控數(shù)據(jù)同步給安全運營中心，通過在終端采集的詳細(xì)事件日志和活動記錄，安全運營團(tuán)隊可以對安全事件做進(jìn)一步根因分析。除此外，通過與SOAR、威脅情報等能力整合，終端檢測與響應(yīng)技術(shù)可以實現(xiàn)對終端風(fēng)險的實時預(yù)警和快速處置。端網(wǎng)云終端檢測與響應(yīng)技術(shù)與在安全運營體系中的價值面向PC終端（EDR）辦公操作系統(tǒng)自動響應(yīng)處置實時在線監(jiān)控加密流量識別惡意軟件防護(hù)漏洞識別管理威脅檢測分析威脅情報集成用戶行為分析事件調(diào)查取證面向服務(wù)器終端（CWPP）虛擬機(jī)/容器/無服務(wù)應(yīng)用控制白名單自動資產(chǎn)識別

漏洞風(fēng)險管理身份訪問管理

系統(tǒng)完整性監(jiān)測微隔離/vFW

服務(wù)器加固主機(jī)入侵檢測

惡意軟件防護(hù)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營關(guān)鍵技術(shù)---網(wǎng)絡(luò)檢測與響應(yīng)（NDR）網(wǎng)絡(luò)流量分析-加密流量、東西向流量分析未知威脅檢測-0Day、1Day等檢測流量還原與溯源取證-攻擊鏈分析自動化響應(yīng)處置-旁路阻斷，多產(chǎn)品聯(lián)動網(wǎng)絡(luò)檢測與響應(yīng)（

Network

Detection

and

Response）網(wǎng)絡(luò)檢測與響應(yīng)NDR技術(shù)是在傳統(tǒng)特征檢測基礎(chǔ)上，利用AI、ML、大數(shù)據(jù)等核心功能對網(wǎng)絡(luò)流量進(jìn)行建模和深度學(xué)習(xí)分析的過程，對識別到的異常行為進(jìn)行流量還原、關(guān)聯(lián)分析，并結(jié)合威脅情報來定位未知威脅，在網(wǎng)絡(luò)層面實現(xiàn)對內(nèi)網(wǎng)安全風(fēng)險的實時監(jiān)控，最終為安全運營處置提供信息支撐。網(wǎng)絡(luò)檢測與響應(yīng)與終端檢測與響應(yīng)技術(shù)的協(xié)同，可以大幅提升企業(yè)在安全運營工作中對未知威脅的識別與防御能力，也是未來支撐SOC、SIEM、SOAR等系統(tǒng)高效應(yīng)用的重要前提。目前在企業(yè)安全運營體系構(gòu)建中，已經(jīng)有越來越多的NDR作為網(wǎng)絡(luò)流量采集和檢測的主要產(chǎn)品。NDR產(chǎn)品主要技術(shù)路線 NDR在安全運營體系中的價值1234特征檢測AI模型檢測威脅情報檢測沙箱檢測深度包檢測加密流量檢測數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營創(chuàng)新技術(shù)---入侵與攻擊模擬（BAS）BAS對日常安全運營常見問題進(jìn)行自動化檢測安全產(chǎn)品常見問題歸因分析防火墻安全策略異常對重要系統(tǒng)設(shè)置權(quán)限過大的訪問控制策略NDR告警延遲達(dá)30分鐘自身流量解析能力不足導(dǎo)致告警延遲不響應(yīng)/無日志產(chǎn)品無法達(dá)到宣稱的性能，檢測失效面對互聯(lián)網(wǎng)攻擊無告警只接入某著名企業(yè)運營商流量，漏接某著名企業(yè)和某著名企業(yè)WAF/IPS邊界防護(hù)未覆蓋資產(chǎn)沒有配置應(yīng)該監(jiān)測保護(hù)的資產(chǎn)邊界防護(hù)策略不同步同步策略未生效，防護(hù)失效IDS無任何告警或日志策略配置后未生效，產(chǎn)品形同虛設(shè)HIDS日志異常日志消息隊列異常導(dǎo)致日志無法Webshell上傳檢測失效Webshell檢測告警失效反彈shell檢測失效反彈shell檢測服務(wù)異常蜜罐蜜罐失效大量節(jié)點蜜罐裝置未正常工作SOCSOC告警日志丟失日志漏包率達(dá)1%，遠(yuǎn)高于萬分之一的預(yù)估入侵與攻擊模擬（

Breach

and

Attack

Simulation

）企業(yè)購買防火墻、防病毒軟件、IDS、WAF、蜜罐等大量安全產(chǎn)品，設(shè)計嚴(yán)密的網(wǎng)絡(luò)安全架構(gòu)，但整套體系和設(shè)備是否如用戶預(yù)期運行？如果網(wǎng)絡(luò)攻擊下一刻到來，管理者是否能看得見、防得住、抓的著？目前還沒有一項完美的技術(shù)可以解決這些問題，但至少入侵與攻擊模擬邁出了第一步。BAS通過主動驗證+（半）自動化的方式，利用攻擊者的戰(zhàn)術(shù)、技術(shù)和程序來模擬殺傷鏈的不同階段，持續(xù)測試和驗證現(xiàn)有網(wǎng)絡(luò)整體的安全機(jī)制（包括各安全節(jié)點是否正常工作、安全策略與配置的有效性、檢測/防護(hù)手段是否按預(yù)期運行等），對企業(yè)對抗外部威脅的能力進(jìn)行量化評估，并強(qiáng)化實戰(zhàn)能力，最終實現(xiàn)安全運營工作降本增效。郵件安全身份安全數(shù)據(jù)安全應(yīng)用層主機(jī)安全終端安全容器安全主機(jī)層互聯(lián)網(wǎng)資產(chǎn)管理邊界防護(hù)流量安全網(wǎng)絡(luò)層基礎(chǔ)安全驗證開發(fā)安全運維管理安全運營安全管理驗證BAS安全有效性驗證維度數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營創(chuàng)新技術(shù)---攻擊面管理（ASM）情報擴(kuò)展威脅情報漏洞情報數(shù)字情報攻擊防護(hù)與緩解SyslogAPI脆弱性管理基于指紋基于POC敏感信息泄漏威脅優(yōu)先級評估補丁管理攻擊面管理（

Attack

Surface

Management

）攻擊面是指企業(yè)所有可被利用的風(fēng)險因素的集合，這些風(fēng)險因素大多分布在物理面（例如端點、網(wǎng)絡(luò)、服務(wù)器等設(shè)備漏洞）和數(shù)字面（例如企業(yè)數(shù)據(jù)泄漏、品牌侵權(quán)、個人隱私信息泄漏、網(wǎng)絡(luò)釣魚等）。攻擊面管理旨在識別、分類這些風(fēng)險因素，并對其進(jìn)行優(yōu)先級排序和持續(xù)監(jiān)控。攻擊面管理是持續(xù)發(fā)現(xiàn)、分析、監(jiān)控和評估和外部資產(chǎn)以發(fā)現(xiàn)潛在暴露面、攻擊向量和風(fēng)險，并進(jìn)行優(yōu)先排序、響應(yīng)處置的過程。因為攻擊面范圍較為寬泛，按照企業(yè)管理者和外部攻擊者兩個不同視角，可分為網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）和外部攻擊面管理（EASM）兩種。資產(chǎn)管理互聯(lián)網(wǎng)資產(chǎn)內(nèi)網(wǎng)資產(chǎn)惡意資產(chǎn)資產(chǎn)信息整合攻擊面管理核心能力企業(yè)攻擊面的定義來源：未嵐科技暴露面攻擊技術(shù)攻擊工具攻擊情報攻擊面機(jī)會能力攻擊面=可被攻擊利用的暴露面可被攻擊利用=可利用的機(jī)會

x

攻擊能力數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營創(chuàng)新技術(shù)---欺騙防御（DECEPTION）欺騙防御（

DECEPTION）欺騙技術(shù)面向企業(yè)網(wǎng)絡(luò)及橫向某著名企業(yè)下的威脅檢測場景，通過對企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、操作系統(tǒng)、應(yīng)用系統(tǒng)、文件、容器、微服務(wù)、甚至是IoT設(shè)備的高度仿真來增加企業(yè)IT設(shè)施的密度，最大限度增加被攻擊者觸碰的機(jī)會來誘導(dǎo)攻擊者主動現(xiàn)身并陷入圈套，欺騙系統(tǒng)發(fā)出的告警信息，其置信度通常較高，是有別于傳統(tǒng)檢測手段、可以大幅提升企業(yè)安全檢測能力的高級檢測技術(shù)。欺騙技術(shù)在安全運營中的主要價值包括誤導(dǎo)并誘捕攻擊者、攻擊分析與研究、威脅情報生成、攻擊溯源取證等，是高級別安全運營場景的重要技術(shù)。常態(tài)化內(nèi)網(wǎng)安全監(jiān)測非傳統(tǒng)IT環(huán)境下安全監(jiān)測，如：IoT設(shè)備、醫(yī)療環(huán)境終端無法部署檢測探針，EDR或主機(jī)IDS無法使用網(wǎng)絡(luò)流量加密、傳統(tǒng)檢測手段失效海量告警、管理成本較高、亟待降噪的分布式網(wǎng)絡(luò)欺騙防御在安全運營下的應(yīng)用場景欺騙防御示意圖必須監(jiān)控來自欺騙工具的警報！傳統(tǒng)企業(yè)網(wǎng)絡(luò)LAN1LAN2LAN1LAN2陷阱采用欺騙技術(shù)的企業(yè)網(wǎng)絡(luò)server

serverserverserverinternetinternet數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)介紹安全運營服務(wù)-托管檢測與響應(yīng)服務(wù)（MDR）安全托管服務(wù)的主要模式安全托某省市場客戶的特點安全托管服務(wù)應(yīng)用場某省市級安全運營安全托管服務(wù)應(yīng)用場景-行業(yè)級安全運營安全運營服務(wù)與安全服務(wù)的關(guān)系安全運營服務(wù)的主要模式（乙方視角）安全運營服務(wù)商類型安全運營服務(wù)的主要內(nèi)容安全運營服務(wù)-安全運維服務(wù)安全運營服務(wù)-安全托管服務(wù)（MSS）數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)與安全服務(wù)的關(guān)系以時間為服務(wù)計價單位，以保障性為目標(biāo)，持續(xù)為組織提供的不間斷安全服務(wù)風(fēng)險處置攻防對抗監(jiān)測預(yù)警安全服務(wù)安全咨詢服務(wù)安全集成服務(wù)安全審計服務(wù)安全運營服務(wù)應(yīng)急響應(yīng)服務(wù)安全培訓(xùn)服務(wù)數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)的主要模式（乙方視角）對比項駐場運維服務(wù)安全托管服務(wù)（MSS）托管檢測與響應(yīng)服務(wù)（MDR）服務(wù)地點用戶現(xiàn)場非用戶現(xiàn)場客戶服務(wù)模式1對11對多服務(wù)平臺無/甲方提供/乙方提供乙方提供服務(wù)工具以甲方現(xiàn)有產(chǎn)品為主乙方工具+甲方現(xiàn)有產(chǎn)品服務(wù)交付方式現(xiàn)場交付遠(yuǎn)程交付服務(wù)交付物人工報告自動化報告服務(wù)時效5*87*24*365服務(wù)目標(biāo)保障企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施穩(wěn)定運行通過化解網(wǎng)絡(luò)安全風(fēng)險來保障企業(yè)數(shù)字化業(yè)務(wù)穩(wěn)定運行攻擊威脅檢測與響應(yīng)處置服務(wù)客戶類型合規(guī)驅(qū)動合規(guī)+技術(shù)驅(qū)動監(jiān)管+實戰(zhàn)驅(qū)動數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)商類型某著名企業(yè)運營商/互聯(lián)網(wǎng)廠商網(wǎng)絡(luò)安全廠商系統(tǒng)集成商/安全服務(wù)商主要面向使用自身“云”“網(wǎng)”服務(wù)的中小企業(yè)客戶，在較強(qiáng)的網(wǎng)絡(luò)資源、數(shù)據(jù)資源和算力資源基礎(chǔ)上，通過生態(tài)合作、產(chǎn)品集成、自主研發(fā)等方式補充安全能力，形成“云網(wǎng)安”一體化服務(wù)能力，為中小企業(yè)提供輕量級的增值安全運營服務(wù)，在客戶數(shù)量上遠(yuǎn)超其它類型的服務(wù)商。在網(wǎng)安廠商中主要包含兩類：第一類是具有成熟安全產(chǎn)品和安全服務(wù)能力的綜合型安全廠商，針對不同的應(yīng)用場景和用戶需求，可以提供多樣化的安全運營服務(wù)模式；第二類是以自研SOC/SIEM/XDR等平臺為主的產(chǎn)品型廠商，在技術(shù)創(chuàng)新性、場景適應(yīng)性、產(chǎn)品等多方面具備優(yōu)勢，某省市場主要的安全運營服務(wù)商提供能力支撐。具備較強(qiáng)的一線經(jīng)驗，服務(wù)專業(yè)化水平高，保障用戶最后一公里安全。在熟悉用戶IT架構(gòu)、業(yè)務(wù)流程、管理制度等情況下，可以近距離對用戶的IT、網(wǎng)絡(luò)、安全提供全方位服務(wù)，達(dá)成更好的服務(wù)效果和滿意度。在安全運某省市場供需關(guān)系中，系統(tǒng)集成商和安全服務(wù)商是重要的角色之一，同時也是MSS安全托管服務(wù)商主要的合作伙伴。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)的主要內(nèi)容安全運營服務(wù)是以時間為服務(wù)計價單位，為企業(yè)持續(xù)提供保障性安全服務(wù)的過程。下面列舉了國內(nèi)安全運營類招標(biāo)項目中最為常見的用戶需求，其中用戶需求最高的服務(wù)有：應(yīng)急響應(yīng)、風(fēng)險評估、漏洞管理、等保相關(guān)服務(wù)、駐場運維、基礎(chǔ)安全服務(wù)。在這些需求中，有一些已經(jīng)可以通過自動化的方式實現(xiàn)，但仍有一些需求還需要人工現(xiàn)場參與。雖然安全運營服務(wù)在朝著集約化、智能化、低成本方向發(fā)展，但從當(dāng)前多某省市場需求來看，國內(nèi)安全運營服務(wù)尚不能做到完全離場式的托管模式，到場的安全運營服務(wù)仍然占據(jù)一定比重。攻防演練滲透測試漏洞管理等保相關(guān)服務(wù)安全培訓(xùn)駐場運維安全加固基礎(chǔ)安全服務(wù)安全審計應(yīng)用上線安全檢測威脅狩獵風(fēng)險評估資產(chǎn)管理網(wǎng)站安全監(jiān)測應(yīng)急響應(yīng)安全運營規(guī)劃咨詢威脅管理重大活動保障數(shù)據(jù)泄漏監(jiān)測暴露面管理數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)-駐場運維服務(wù)駐場運維服務(wù)是由傳統(tǒng)安全集成業(yè)務(wù)自然延伸出現(xiàn)的服務(wù)形式，也是有安全預(yù)算、但苦于沒有人員編制情況下甲方通常采用的形式。駐場運維服務(wù)是存量客戶最多的安全運營某省市場，對于以提供駐場運維為主的服務(wù)商來說，有以下4個共性特點：勞動密集型：由于需要1對1和5*8駐場服務(wù)，服務(wù)商需要配備更多的服務(wù)人員，才能實現(xiàn)更好的客戶覆蓋；跨區(qū)域服務(wù)挑戰(zhàn)大：由于人員差旅、地域文化和工作方式差異，跨區(qū)域的項目可能不賺錢，服務(wù)商更聚焦于區(qū)域內(nèi)用戶，很少參與區(qū)域外的項目；引入更多自動化平臺和工具：因為“賣人頭”模式投入產(chǎn)出比有限，服務(wù)商逐漸開始自研服務(wù)平臺和工具，提高服務(wù)交付過程中自動化的比重，以達(dá)到更高的人效比，實現(xiàn)業(yè)務(wù)利潤率提升；服務(wù)要求細(xì)化升級：由于政策與監(jiān)管力度持續(xù)加強(qiáng)，客戶對駐場運維服務(wù)的要求也開始從被動防御、靜態(tài)防御、監(jiān)測告警服務(wù)級別向主動防御、動態(tài)防御、態(tài)勢感知目標(biāo)轉(zhuǎn)變，并且愿意為這些增值的安全運營服務(wù)付費，服務(wù)商也在不斷推動自身能力向安全運營服務(wù)能力轉(zhuǎn)型。雖然國內(nèi)安全托某省市場持續(xù)發(fā)展，但從國內(nèi)習(xí)慣、接受度、核心需求、安全制度等方面來看，駐場運維服務(wù)仍可能是未來某省市場中的主要需求。安全集成延伸防火墻WAF數(shù)據(jù)庫審計防病毒網(wǎng)關(guān)網(wǎng)絡(luò)審計網(wǎng)閘/光閘駐場運維服務(wù)安全巡檢漏洞管理安全加固事件分析產(chǎn)品維護(hù)等保整改IDPS安管平臺堡壘機(jī)日志審計漏洞掃描網(wǎng)絡(luò)準(zhǔn)入合規(guī)驅(qū)動數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)-安全托管服務(wù)（MSS）安全托管服務(wù)（Managed

Security

Services，MSS）是一種新型的安全運營服務(wù)模式，企業(yè)委托專業(yè)的第三方MSS服務(wù)商全面管理其網(wǎng)絡(luò)安全。典型的MSS模式依托于服務(wù)商可遠(yuǎn)程交付的安全托管運營中心，通過遠(yuǎn)程收集企業(yè)的安全數(shù)據(jù)，實現(xiàn)對企業(yè)網(wǎng)絡(luò)安全風(fēng)險的實時監(jiān)測、分析、研判和響應(yīng)。典型MSS模式不再依賴現(xiàn)場服務(wù)人員，而是以遠(yuǎn)程方式提供服務(wù)，可實現(xiàn)全年7×24小時的覆蓋，并將服務(wù)商更專業(yè)的安全技術(shù)、安全人員和安全管理流程聚合到服務(wù)中，超越了傳統(tǒng)現(xiàn)場服務(wù)、依靠個人能力的局限，給企業(yè)帶來更高時效、更具性價比的安全運營價值。SIEMSOARXDRTI安全托管運營中心企業(yè)內(nèi)外網(wǎng)邊界安全數(shù)據(jù)上傳安全能力下發(fā)企業(yè)網(wǎng)絡(luò)常態(tài)化運營服務(wù)高級能力支撐7*24值守

T1/T2分析師威脅監(jiān)測

設(shè)備/策略管理威脅分析

風(fēng)險處置威脅情報 T3高級專家安全大數(shù)據(jù) 威脅狩獵溯源取證

APT監(jiān)測分析被動防御主動防御靜態(tài)防御動態(tài)防御單點為政聯(lián)防聯(lián)控監(jiān)控告警態(tài)勢感知遠(yuǎn)端MSS服務(wù)商SLA數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)-托管檢測與響應(yīng)服務(wù)（MDR）典型的MSS服務(wù)側(cè)重于管理和維護(hù)企業(yè)與安全相關(guān)的技術(shù)和產(chǎn)品，以保障企業(yè)IT基礎(chǔ)設(shè)施穩(wěn)定運行為目標(biāo)，MDR服務(wù)則以更高的視角聚焦攻擊與威脅，通過云網(wǎng)端數(shù)據(jù)共享與分析，提升企業(yè)在威脅檢測與響應(yīng)處置方面的能力。某省市場需求來看，由合規(guī)、實戰(zhàn)和效果多驅(qū)動因素疊加，客戶在選擇MSS服務(wù)時，通常針對重要的IT資產(chǎn)和應(yīng)用系統(tǒng)也會要求提供高級別MDR服務(wù)，而從供給側(cè)來看，為了提升MSS服務(wù)價值某省市場競爭力，MSS服務(wù)商也在不斷細(xì)化和升級服務(wù)內(nèi)容，推出配套的MDR服務(wù)。未來隨著供需兩側(cè)的這種變化，MSS和MDR服務(wù)將延續(xù)融合的趨勢，對于MSS服務(wù)商來說，也同時需要兼?zhèn)銶DR服務(wù)能力。服務(wù)融合內(nèi)容細(xì)化服務(wù)廣度國外MSS與MDR服務(wù)對比設(shè)備管理基礎(chǔ)安全策略管理軟件升級與補丁管理漏洞掃描合規(guī)性管理MSS分析報告7

x

24安全監(jiān)控日志分析安全告警溯源取證EDR/NDR威脅狩獵威脅情報與預(yù)警自動化響應(yīng)APT監(jiān)測高級專家分析MDR服務(wù)深度MSS+MDR設(shè)備管理

基礎(chǔ)安全策略管理漏洞掃描合規(guī)性管理7

x

24

安全監(jiān)控分析報告EDR/NDR高級專家分析溯源取證應(yīng)急響應(yīng)威脅狩獵暴露面檢測自動化響應(yīng)服務(wù)廣度軟件升級與補丁管理安全告警 配置核查威脅情報與預(yù)警

日志分析數(shù)據(jù)泄漏監(jiān)測 APT監(jiān)測國內(nèi)MSS與MDR服務(wù)呈現(xiàn)融合服務(wù)深度數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全托管服務(wù)的主要模式企業(yè)安全設(shè)施安全托管運營中心安全運營團(tuán)隊企業(yè)安全設(shè)施安全托管運營中心安全運營團(tuán)隊企業(yè)安全設(shè)施安全托管運營中心安全運營團(tuán)隊企業(yè)本地企業(yè)外部MSS典型服務(wù)模式，國外主流模式，即企業(yè)允數(shù)據(jù)離開本地網(wǎng)絡(luò)，遠(yuǎn)程接入到服務(wù)商遠(yuǎn)端的安全托管運營中心，并由MSS服務(wù)商安全運營團(tuán)隊實施遠(yuǎn)程管理，該模式應(yīng)用的前提是企業(yè)安全數(shù)據(jù)可出網(wǎng)。SECaaS托管運營模式企業(yè)不允數(shù)據(jù)離開本地網(wǎng)絡(luò)，MSS服務(wù)商將安全托管運營中心部署在企業(yè)本地，運營人員通過VPN、云桌面等方式接入進(jìn)行遠(yuǎn)程管理。該模式既能滿足企業(yè)安全要求，也能實現(xiàn)集約化運營。遠(yuǎn)程托管運營模式客戶對自身安全數(shù)據(jù)的要求較高，同時預(yù)算充足，也愿意為本地駐場安全運營服務(wù)付費，MSS服務(wù)商在客戶本地部署安全運營中心的同時也派駐專職安全運營人員。本地托管運營模式安全托管服務(wù)（MSS）在國內(nèi)已有多年發(fā)展歷程。隨著客戶的安全意識從合規(guī)轉(zhuǎn)向?qū)崙?zhàn)，越來越多的客戶逐漸轉(zhuǎn)向購買安全服務(wù)而非僅購買安全產(chǎn)品，這使得某省市場在國內(nèi)得到了廣泛認(rèn)可。由于信任機(jī)制、安全制度、要求不同，國內(nèi)安全托管服務(wù)呈現(xiàn)了3種主要服務(wù)模式，國外主流的、數(shù)據(jù)可出網(wǎng)的SECaaS運營模式在國內(nèi)仍主要應(yīng)用在中小企業(yè)和對安全數(shù)據(jù)外發(fā)不敏感的用戶場景，國內(nèi)網(wǎng)安頭部和絕大多數(shù)政企類客戶依然青睞在保證安全數(shù)據(jù)不出網(wǎng)前提下，采用遠(yuǎn)程托管或本地托管的運營模式。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全托某省市場的客戶特點頭部客戶政企客戶中小企業(yè)合規(guī)強(qiáng)合規(guī)+效果驅(qū)動強(qiáng)監(jiān)管+實戰(zhàn)驅(qū)動定制化+服務(wù)化以風(fēng)險前置為主的安全運營絕大多數(shù)只接受本地托管運營模式合同額可達(dá)百萬級/年客戶類型安全運營需求不同行業(yè)/區(qū)域需求差異較大以閉環(huán)管理驅(qū)動的安全運營多數(shù)為本地或遠(yuǎn)程托管運營模式合同額通常在20萬-50萬/年低成本+標(biāo)準(zhǔn)化以防御為主的安全運營絕大多數(shù)接受SECaaS托管運營模式合同額通常在10萬以下/年數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全托管服務(wù)應(yīng)用場某省市級安全運營城市級安全運營是一個關(guān)鍵的網(wǎng)絡(luò)安全樞紐，旨某省市提供高水平的網(wǎng)絡(luò)安全保護(hù)和響應(yīng)能力，某省市的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要機(jī)構(gòu)不受網(wǎng)絡(luò)威脅的影響。這種安全中心的建立有助于某省市的整體網(wǎng)絡(luò)安全防御能力，以應(yīng)對不斷演變的網(wǎng)絡(luò)安全威脅。城市級安全運營主要面向兩某省市級業(yè)務(wù)場景，一個是面向某省市場景群的安全運營，一個是結(jié)合地方產(chǎn)業(yè)特點、面向各類IT產(chǎn)業(yè)園的安全運營某省市級安全運營項目中，供需兩端均具有較強(qiáng)的資源統(tǒng)籌和項目轉(zhuǎn)化能力，某省市場穩(wěn)步深入發(fā)展，供給端競爭強(qiáng)度也在不斷上升。城市級安全運營中心建設(shè)模式主要有地方產(chǎn)業(yè)規(guī)劃驅(qū)動的安全企業(yè)自建某省市場需求驅(qū)動的政企聯(lián)合共建模式，從實際情況看，企業(yè)自建模式逐漸減少，更多企業(yè)選擇聯(lián)合共建模式。建設(shè)方式企業(yè)自建模式地方產(chǎn)業(yè)規(guī)劃驅(qū)動政企共建模式市場需求驅(qū)動某省市智慧交通

智慧教育智慧能源

智慧醫(yī)療智慧社區(qū)

智慧水務(wù)車聯(lián)網(wǎng)城市產(chǎn)業(yè)園工業(yè)大數(shù)據(jù)互聯(lián)網(wǎng)物聯(lián)網(wǎng)人工智能密碼云安全運營中心網(wǎng)絡(luò)安全運營數(shù)據(jù)安全運營車聯(lián)網(wǎng)安全運營工業(yè)互聯(lián)網(wǎng)安全運營物聯(lián)網(wǎng)安全運營數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全托管服務(wù)應(yīng)用場景-行業(yè)級安全運營行業(yè)級安全運營是指針對特定行業(yè)量身定制的網(wǎng)絡(luò)安全運營服務(wù)，不同行業(yè)面臨不同的安全威脅和挑戰(zhàn)，行業(yè)級安全運營可以結(jié)合各行業(yè)特點制定不同的安全運營策略和內(nèi)容，并提供專業(yè)的服務(wù)以保障行業(yè)關(guān)鍵信息資產(chǎn)和數(shù)據(jù)的安全。行業(yè)級安全運營的核心在于深入理解各行業(yè)特性和核心業(yè)務(wù)流程，根據(jù)行業(yè)特點和不同監(jiān)管要求，構(gòu)建適合該行業(yè)特定環(huán)境的安全運營體系

。在安全托某省市場中，政府、教育和醫(yī)療衛(wèi)生行業(yè)是核心的客戶群體，每個行業(yè)都有其特定的安全風(fēng)險和需求。政府行業(yè)信息通常涉及國家安全和公共利益，因此其安全運營服務(wù)需高度本地化，以確保敏感數(shù)據(jù)嚴(yán)格限制在政府網(wǎng)絡(luò)流轉(zhuǎn)。教育行業(yè)，作為挖礦木發(fā)區(qū)，迫切需要MSS重點關(guān)注內(nèi)網(wǎng)的病毒感染及其橫向擴(kuò)散。醫(yī)療衛(wèi)生領(lǐng)域則強(qiáng)調(diào)MSS應(yīng)在保障其業(yè)務(wù)連續(xù)性的前提下，提升對勒索病毒的防御能力。標(biāo)準(zhǔn)化MSS結(jié)合行業(yè)專屬需求安全制度安全需求IT架構(gòu)協(xié)作合作方行業(yè)主管部門監(jiān)管單位行業(yè)IT服務(wù)商構(gòu)建行業(yè)級MSS政務(wù)MSS醫(yī)療MSS教育MSS行業(yè)專屬分析師行業(yè)級安全制度與規(guī)范行業(yè)級安全策略行業(yè)級安全大數(shù)據(jù)行業(yè)應(yīng)急響應(yīng)標(biāo)準(zhǔn)流程各行業(yè)精細(xì)化的服務(wù)需求難以通過一套標(biāo)準(zhǔn)的MSS服務(wù)來滿足，也催生了行業(yè)級安全運營服務(wù)的興起。行業(yè)級安全運營不僅某省市場的需求變化，也代表了安全托管某省市場發(fā)展的趨勢，即向著更加定制化和專業(yè)化的方向演進(jìn)。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安某省市場分析安全運營產(chǎn)品全線快速增長，安管平臺成為網(wǎng)安第四某省市場安全運某省市場高增速放緩，但仍保持整某省市場5倍以上增速安全運營服務(wù)行業(yè)集中度高，政府/教育/醫(yī)療衛(wèi)生/公檢法司是核心行業(yè)政數(shù)局、高等教育和醫(yī)院是安全運某省市場最大的客戶群體核心行業(yè)區(qū)域分布存在差異，30-50萬是安全運營服務(wù)主流價格區(qū)域間應(yīng)急響應(yīng)/漏洞管理/風(fēng)險評估/基礎(chǔ)安全服務(wù)是安全運某省市場剛性需求廣東/北京/浙江領(lǐng)跑安全運某省市場，其余絕某省市份也在高速增長安全運某省市場-行業(yè)TOP10服務(wù)商安全運某省市場-區(qū)域TOP10服務(wù)商安全運營行業(yè)垂直政策與典型項目分析數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降市場分析依據(jù)與免責(zé)聲明數(shù)據(jù)來源：數(shù)說安全CSRadar商業(yè)分析平臺上跟某省市場公開招投標(biāo)信息數(shù)據(jù)范圍：2018年1月1日至2022年12月31日數(shù)據(jù)類型：采購安全運營類服務(wù)的服務(wù)型項目，采購安全運營類產(chǎn)品的產(chǎn)品型項目局限性說明某省市場分析內(nèi)某省市場公開信息，不包含不招標(biāo)某省市場某省市場。數(shù)說安某省市場客觀發(fā)展規(guī)律，堅持中立的第三方觀點，并對分析結(jié)論的準(zhǔn)確性、完整性和可靠性盡最大努力的追求。由于研究方法和數(shù)據(jù)樣本具有一定局限性，故在任何情況下，本報告中的信息或所表達(dá)的觀點客戶作為參考，不構(gòu)成任何建議。數(shù)說安全不對報告的數(shù)據(jù)及分析結(jié)論承擔(dān)法律責(zé)任。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營產(chǎn)品全線快速增長，安管平臺成為網(wǎng)安第四某省市場2022

安全運營類產(chǎn)品項目數(shù)量與近5年復(fù)合增速2018年-2022年，安全管理平臺和其它具備較強(qiáng)安全運營屬性的產(chǎn)品均呈現(xiàn)出較快的增長速度，5年復(fù)合增長率遠(yuǎn)超傳統(tǒng)網(wǎng)安產(chǎn)品，且表現(xiàn)出抱團(tuán)上升趨勢，客戶采購偏好發(fā)生顯著變化。同時在2022年，安全管某省市場需求非常旺盛，成為繼防火墻、堡壘機(jī)、上網(wǎng)行為管理后的第四某省市場。經(jīng)過二十年發(fā)展，我某著名企業(yè)安產(chǎn)業(yè)開始進(jìn)入到建設(shè)與運營并重的新發(fā)展階段。在這5年間，安全運營產(chǎn)品也表現(xiàn)出不同的發(fā)展態(tài)勢。其中安全管理平臺有持續(xù)、某省市場底量，某省市場穩(wěn)步增長。網(wǎng)絡(luò)檢測某省市場在經(jīng)歷2020年高增長后近2年增長動能不足。網(wǎng)絡(luò)資某省市場進(jìn)入到真正的連續(xù)上升期。蜜罐則從2019年Q4按下加速鍵，近3年高速增長，成為安某省市場最受關(guān)注的產(chǎn)品。2018-2022

主要安全運某省市場熱度趨勢數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運某省市場高增速放緩，但仍保持整某省市場5倍以上增速2018-2022

安全運某省市場項目數(shù)量與增速安全運某省市場從2018年開始呈現(xiàn)非常高的增長態(tài)勢，受疫情影響，20某省市場增速出現(xiàn)大幅下滑，2022年增速繼續(xù)下降至26%，成為過去5年增速最低的一年。過去5年雖然與整某省市場保持著平行同向走勢，但安全運某省市場的增長速度還是非常亮眼。無論是高增長階段還是增速下降某省市場增速始終遠(yuǎn)遠(yuǎn)高于同期整某省市場，即便是情況最糟糕的2022年，也保某省市場5倍以上的增速。2018-2022

整某省市場規(guī)模與增速￥12026.8%30%22.6%90.6 95.8100.785.3￥6069.615%54.96.2% 5.7%5.1%￥02018單位：十億元2019 2020甲方支出規(guī)模2021 2022同比增長率2023(預(yù)估)0%數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營服務(wù)行業(yè)集中度高，政府/教育/醫(yī)療衛(wèi)生/公檢法司是核心行業(yè)安全運營服務(wù)歷史項目數(shù)量行業(yè)分布2018-2022

安全運某省市場主要行業(yè)項目數(shù)量與增速政府、教育、醫(yī)療衛(wèi)生、公檢法司行業(yè)占比均超過10%，4行業(yè)占比合計超過80%，是安全運某省市場中的核心行業(yè)。其中政府行業(yè)由于機(jī)構(gòu)數(shù)量龐大，有著更為急迫的安全運營服務(wù)需求，其項目數(shù)量某省市場總量的一半，達(dá)到46.6%。4核心行業(yè)在過去2年均出現(xiàn)增速的持續(xù)下滑，但教育和醫(yī)療衛(wèi)生2022年的增速依然高某省市場增速，其未來2年的發(fā)展情況值得關(guān)注。金融和某著名企業(yè)是網(wǎng)安行業(yè)頭部客戶，但在安全運營方面大多采用自建方式，采購安全運營服務(wù)采購需求較少，僅從項目數(shù)量來看，其并不是安全運某省市場的主要客戶。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降政數(shù)局、高等教育和醫(yī)院是安全運某省市場最大的客戶群體政府行業(yè)：數(shù)說安全將政府劃分為39個二級行業(yè)，對安全運營服務(wù)需求最大的5個二級行業(yè)分別為政數(shù)局、政府辦、稅務(wù)、財政和住建，項目數(shù)合計占比33%，其它二級行業(yè)項目分布則非常分散，絕大多數(shù)占比不足2%，因此政府行業(yè)對安全運營服務(wù)的需求普遍存在于各個政府機(jī)構(gòu)和單位。全國各地政數(shù)局在2019年前后陸續(xù)成立，對安全運營服務(wù)有迫切需求，從2019年開始項目快速增長，是非常值得關(guān)注的政府行業(yè)之一。政府行業(yè)安全運營服務(wù)個性化需求主要體現(xiàn)在3方面：基礎(chǔ)性駐場安全運維服務(wù)、政務(wù)云安全運營與保障、政府門戶網(wǎng)站群7*24安全監(jiān)測

。教育行業(yè)：教某省市場需求集中在高等教育，占比接近70%，增速穩(wěn)定。其中高職某省市屬高校需求較大，項目特征主要表現(xiàn)為等保合規(guī)建設(shè)和智慧校園作為前導(dǎo)因素所延伸出的安全運營服務(wù)需求，大多數(shù)以基礎(chǔ)安全運維為主。在成熟度高的用戶中，已在整體或局部業(yè)務(wù)上采用MSS安全托管服務(wù)模式。醫(yī)療衛(wèi)生行業(yè)：醫(yī)院作為醫(yī)療衛(wèi)生某省市場，占比超過70%，其中整體上三級醫(yī)院占比較高，區(qū)縣級醫(yī)院開始呈現(xiàn)上升趨勢，其中福建和四川在2022年出現(xiàn)比較快速的增長。醫(yī)院對安全運營服務(wù)需求更為細(xì)致，但業(yè)務(wù)連續(xù)性保障和勒索防護(hù)仍然是目前最核心的訴求，同時有部分醫(yī)院在門戶業(yè)務(wù)上已經(jīng)開始采用MSS安全托管服務(wù)模式。2018-2022

政府主要二級行業(yè)增長情況2018-2022

教育二級行業(yè)增長情況2018-2022

醫(yī)療衛(wèi)生主要二級行業(yè)增長情況數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降核心行業(yè)區(qū)域分布存在差異，30-50萬是安全運營服務(wù)主流價格區(qū)間4大行業(yè)項目主要分布在傳某省市場的核心區(qū)域，包括北京、浙江、廣東、江蘇，且保持穩(wěn)定增速。福建、湖南、四川在2022年，在4大行業(yè)上呈現(xiàn)出高增長態(tài)勢，項目數(shù)量已逼近核心區(qū)域。在非核心行業(yè)中，廣東交通、廣東企業(yè)、廣東能源化工、北京能源化工、內(nèi)蒙古能源化工，是具備一定項目底量、且在2022年保持快速增長某省市場，其余還沒有增速突出的大體某省市場。4大核心行業(yè)中，由于政府和公檢法司對駐場運維有較強(qiáng)需求，因此項目金額中位數(shù)已接近50萬，顯著高于教育和醫(yī)療衛(wèi)生30萬的水平。2018-2022

各行業(yè)區(qū)域歷史項目數(shù)量與22年增長率2018-2022

安全運營服務(wù)項目金額中位數(shù)（專項）數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降應(yīng)急響應(yīng)/漏洞管理/風(fēng)險評估/基礎(chǔ)安全服務(wù)是安全運某省市場剛性需求通過對招標(biāo)采購需求做詳細(xì)梳理與分析，得出不同行業(yè)對安全運營服務(wù)需求的分布：應(yīng)急響應(yīng)是4大核心行業(yè)（政府、教育、醫(yī)療衛(wèi)生、公檢法司）的普遍需求，政府和公檢法司偏愛駐場運維，教育比較關(guān)注漏洞管理，醫(yī)療衛(wèi)生則對風(fēng)險評估和等保相關(guān)服務(wù)需求較大。2018-2022

政府行業(yè)安全運營服務(wù)需求分布2018-2022

教育行業(yè)安全運營服務(wù)需求分布2018-2022醫(yī)療衛(wèi)生行業(yè)安全運營服務(wù)需求分布2018-2022

企業(yè)行業(yè)安全運營服務(wù)需求分布2018-2022

交通行業(yè)安全運營服務(wù)需求分布2018-2022公檢法司行業(yè)安全運營服務(wù)需求分布數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降廣東/北京/浙江領(lǐng)跑安全運某省市場，其余絕某省市份也在高速增長廣東、北京、浙江是安全運營服務(wù)需求最為旺盛某省市份，區(qū)域項目量超過3000；2000項目某省市份包括福建、江蘇、湖南、四川；達(dá)到1000項某省市份包括山東、安徽、湖北，這10個區(qū)域是安全運營服務(wù)的核某省市場，合計項目數(shù)量達(dá)某省市場的三分之二。在增速方面，31個區(qū)域，除了天津和海南，其余29個區(qū)域均呈現(xiàn)出全面高速增長的態(tài)勢，5年復(fù)合增長率平均值接近80%，其中TOP5區(qū)域增速均超過50%，部分小體量區(qū)域甚至超過100%，由此看，無論是經(jīng)濟(jì)發(fā)達(dá)地區(qū)，還是經(jīng)濟(jì)發(fā)展中地區(qū)，安全運營服務(wù)在近些年受到客戶的廣泛某省市場需求持續(xù)釋放，從客戶覆蓋率的角度看，未來3某省市場仍存在較大上升空間。2018-2022

安全運某省市場項目數(shù)量分布地圖 2018-2022

安全運某省市場區(qū)域項目數(shù)量與復(fù)合增速數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運某省市場-行業(yè)TOP10服務(wù)商統(tǒng)計2018-2022年各服務(wù)商直接中標(biāo)的安全運營類專項項目數(shù)量，得出各行業(yè)安全運營服務(wù)商TOP10品牌，字體越大代表直接中標(biāo)的項目數(shù)量越多。2018-2022政府行業(yè)TOP10安全運營服務(wù)商2018-2022教育行業(yè)TOP10安全運營服務(wù)商2018-2022醫(yī)療衛(wèi)生行業(yè)TOP10安全運營服務(wù)商2018-2022公檢法司行業(yè)TOP10安全運營服務(wù)商2018-2022某著名企業(yè)行業(yè)TOP10安全運營服務(wù)商2018-2022金融行業(yè)TOP10安全運營服務(wù)商數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運某省市場-區(qū)域TOP10服務(wù)商東北區(qū)域長春某著名企業(yè)黑龍江某著名企業(yè)北京啟明某著名企業(yè)某著名企業(yè)某省市博鴻科技服務(wù)有限責(zé)任公司奇安信網(wǎng)神信息某著名企業(yè)哈爾濱工業(yè)某著名企業(yè)某著名企業(yè)沈陽欣欣晶智計某著名企業(yè)長春金陽高科技有限責(zé)任公司華南區(qū)域 華東區(qū)域某著名企業(yè) 杭州某著名企業(yè)某著名企業(yè) 福建某著名某著名企業(yè)某著名企業(yè)某著名企業(yè) 奇安信網(wǎng)神信息某著名企業(yè)奇安信網(wǎng)神信息某著名企業(yè) 福某著名企業(yè)北京天某著名企業(yè) 某著名企業(yè)某著名企業(yè) 北京啟明某著名企業(yè)某省市名企業(yè) 北京天某著名企業(yè)北京啟明某著名企業(yè) 上海某著名企業(yè)杭州某著名企業(yè) 山東某著名企業(yè)華北區(qū)域某著名企業(yè)奇安信網(wǎng)神信息某著名企業(yè)北京啟明某著名企業(yè)某著名企業(yè)北京天某著名企業(yè)某著名企業(yè)某著名企業(yè)杭州某著名企業(yè)某某著名企業(yè)某著名企業(yè)西北區(qū)域北京啟明某著名企業(yè)杭州某著名企業(yè)某著名企業(yè)新疆某著名企業(yè)某著名企業(yè)中電萬維信息技術(shù)有限責(zé)任公司某著名企業(yè)新疆某著名企業(yè)西某著名企業(yè)著名企業(yè)西南區(qū)域北京啟明某著名企業(yè)北京天某著名企業(yè)某著名企業(yè)奇安信網(wǎng)神信息某著名企業(yè)某某著名企業(yè)某省市某著名企業(yè)某著名企業(yè)云南南天某著名企業(yè)重慶信安某著名企業(yè)某著名企業(yè)華中區(qū)域奇安信網(wǎng)神信息某著名企業(yè)某省市金盾信息安全某著名企業(yè)某著名企業(yè)北京天某著名企業(yè)武漢某著名企業(yè)某著名企業(yè)奇安星城網(wǎng)絡(luò)安全某著名企業(yè)上海某著名企業(yè)某著名企業(yè)智網(wǎng)安云某著名企業(yè)以上統(tǒng)計2018-2022年各服務(wù)商直接中標(biāo)的安全運營類專項項目數(shù)量，得出各區(qū)域安全運營服務(wù)商TOP10品牌。數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降安全運營行業(yè)垂直政策與典型項目分析政府行業(yè)安全運營垂直政策政府行業(yè)典型項目1某省市級安全運營；2.

數(shù)字政府安全運營；3.

發(fā)改委安全運營平臺4.

政務(wù)云安全運營；5.

稅務(wù)系統(tǒng)安全運維；某省市市數(shù)據(jù)一體化安全運營監(jiān)測2.

智慧校園網(wǎng)絡(luò)安全+運營體系建設(shè)；3.

教育MSS安全托管服務(wù)項目集教育行業(yè)安全運營垂直政策教育行業(yè)典型項目1.

等保建設(shè)與安全運維服務(wù)；醫(yī)療衛(wèi)生行業(yè)安全運營垂直政策醫(yī)療衛(wèi)生行業(yè)典型項目1.

面向等保/關(guān)保的安全運維服務(wù)； 2.

網(wǎng)絡(luò)安全運營（+數(shù)據(jù)安全治理）服務(wù)3.

醫(yī)保信息平臺安全運營體系建設(shè)； 4.

醫(yī)療衛(wèi)生MSS安全托管服務(wù)項目集數(shù)說安全研究院關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)?流健康度繼續(xù)下降政府行業(yè)安全運營垂直政策《國務(wù)院關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》

國發(fā)〔2022〕

14號數(shù)字政府建設(shè)仍存在一些突出問題，主要是頂層設(shè)計不足，體制機(jī)制不夠健全，創(chuàng)新應(yīng)用能力不強(qiáng)，數(shù)據(jù)壁壘依然存在，網(wǎng)絡(luò)安全保障體系還有不少突出短板，干部隊伍數(shù)字意識和數(shù)字素養(yǎng)有待提升，政府治理數(shù)字化水平與國家治理現(xiàn)代化要求還存在較大差距。建立健全動態(tài)監(jiān)控、主動防御、協(xié)同響應(yīng)的數(shù)字政府安全技術(shù)保障體系。充分運用主動監(jiān)測、智能感知、威脅預(yù)測等安全技術(shù)，強(qiáng)化日常監(jiān)測、通報預(yù)警、應(yīng)急處置，拓展網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測范圍，加強(qiáng)大規(guī)模網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)泄密事件預(yù)警和發(fā)現(xiàn)能力。某省市“十四五”某省市建設(shè)規(guī)劃》

魯政字〔2021〕

128號增強(qiáng)專業(yè)化安全防范能力。建某省市數(shù)字政府政務(wù)信息系統(tǒng)、數(shù)據(jù)資源的安全監(jiān)測和檢測體系，準(zhǔn)確識別安全風(fēng)險，提升安全監(jiān)測檢測能力。某省市重點行業(yè)點對點防護(hù)策略，加強(qiáng)智慧交通、智慧能源、數(shù)字水利等重要基礎(chǔ)設(shè)施的安全防護(hù)工作，確?；A(chǔ)設(shè)施運行狀態(tài)、風(fēng)險隱患實時感知。建設(shè)數(shù)字政府安全運營中心，強(qiáng)化跨領(lǐng)域網(wǎng)絡(luò)安全信息共享和工作協(xié)同，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力。建設(shè)數(shù)字政府安全運營中心，成立安全運營機(jī)構(gòu)。完善網(wǎng)絡(luò)安全態(tài)勢感知平臺，擴(kuò)大安全態(tài)勢感知平臺范圍，推進(jìn)其與業(yè)務(wù)系統(tǒng)的對接，與國家、網(wǎng)信、公安等平臺完成數(shù)據(jù)對接某省市市兩級平臺互聯(lián)對接，某省市一體化安全監(jiān)測能力；強(qiáng)化電子政務(wù)外網(wǎng)安全監(jiān)測、政務(wù)云安全監(jiān)管，加強(qiáng)電子政務(wù)外網(wǎng)監(jiān)測節(jié)點部署，增加云上采集能力的部署和完善；加強(qiáng)政務(wù)網(wǎng)絡(luò)整體的資產(chǎn)測繪及漏洞感知能力；加強(qiáng)平臺AI分析能力。建設(shè)安全協(xié)調(diào)指揮平臺，基于原有安全態(tài)勢感知的基礎(chǔ)數(shù)據(jù)能力，實現(xiàn)對網(wǎng)絡(luò)安全整體工作的協(xié)調(diào)統(tǒng)籌指揮，實現(xiàn)對各類安全風(fēng)險的統(tǒng)一管理。某省市政務(wù)“一朵云”建設(shè)總體方案》

蘇政辦發(fā)〔2023〕36號建立具備縱深防御、態(tài)勢感知和智能分析等能某省市政務(wù)“一朵云”安全防護(hù)體系，從物理安全、云安全、數(shù)據(jù)安全和密碼應(yīng)用安全等層面進(jìn)行立體防護(hù)。建設(shè)包含感知監(jiān)測、分析預(yù)警、指揮聯(lián)動、應(yīng)急處置、溯源分析、安全優(yōu)化、外包管理等全流程的安全運維體系，提升響應(yīng)效率，簡化協(xié)同流程，高效保障業(yè)務(wù)安全可靠、持續(xù)穩(wěn)定運行。感知監(jiān)測覆蓋威脅告警、風(fēng)險管理、漏洞管理等功能，實現(xiàn)資產(chǎn)清、位置清、態(tài)勢清、異常清。分析預(yù)警將人工智能技術(shù)和監(jiān)測數(shù)據(jù)有機(jī)結(jié)合，實現(xiàn)安全風(fēng)險智能分析、秒級識別、動態(tài)預(yù)警。指揮聯(lián)動實現(xiàn)橫向到邊、縱向到底、聯(lián)動協(xié)同的自動化和智能化調(diào)度，提升日常態(tài)和應(yīng)急態(tài)的安全協(xié)