2025年数智化安全运营建设与实践报告

数智化安全运营建设与实践建设与运营痛点⽹络安全形势严峻业务保障 务求迫切监管政策 密集颁发⾦融⾏业 屡受攻击防护能⼒离散分布 快速处置难以落地⽹络安全防护建设典型痛点⽹络安全防护运营典型痛点安全设备告警繁杂 真实⻛险难以析出⽹络资产暴露⾯⼤ 资产难以有效梳理安全策略各⾃为政 有效性难常态验证安全⻛险来源多样 问题难以定位溯源体系规划缺位 设备堆叠冗余专精⼈才匮乏 投⼊效益失衡外引产品繁多 供应链⻛险加剧⽹络安全防护建设与运营痛点⻛⼝噱头⼲扰 应⽤效果打折建成什么样？对象与⽬标⼈员事件/告警策略资产/⻛险态势知识对 象协作闭环有效清晰感知沉淀⽬ 标“1+5”⽹络安全防护体系 主动验证能⼒： 安全验证平台主机防护验证流量防护验证边界防护验证安全覆盖度验证等 指挥调度能⼒： 安全运营平台辅助 决策 能⼒ 开放 分析 成果持续 验证持续 验证辅助决策能⼒：安全资产平台辅助决策能⼒：威胁情报平台多 源 异 构 告 警 数 据⽀撑分析安全监测追踪溯源分析研判安全态势情报存储多源资产融合关联资产分析攻击⾯管理资产安全度量边界安全防护⽹络安全防护应⽤安全防护主机安全防护数据安全防护情报碰撞情报共享情报⽣产分析计算能⼒：态势感知平台纵深防护能⼒：纵深防御基础安全能⼒调度专家经验固化灵活剧本编排安全运营闭环怎么建？研判决策 富化安全告警 聚合安全事件 研判安全事件 响应检测维度 富化分析计算 富化持续 验证持续 验证持续 验证持续 验证图谱运⽤1：抽取安全设备原⼦化能⼒集图谱运⽤2：明确存量系统边界与建设重点图谱运⽤3：推进离散数据与能⼒归集整合010203建设思路：⼀体化安全能⼒图谱分析计算能⼒辅助决策能⼒纵深防护能⼒指挥调度能⼒主动验证能⼒怎么⽤？全感知快预警快响应快处置全资产全链路全流程运营思路：“四全三快”全资产安全运营：知彼漏洞情报消费场景安全运营平台安全资产平台⼯单系统情报查询结果返回漏洞影响范围查询漏洞确认威胁情报平台修复与验证IP信誉情报消费场景⾏业共享威胁情报库⾼置信威胁情报库商业威胁情报库本地私有威胁情报库情报碰撞结果返回⾃动化分析研判 情报碰撞结果返回安全运营平台态势感知平台未命中⽆告警情报命中忽略封禁处置情报命中封禁处置阶梯式封禁⼈⼯分析研判，决策依据情报碰撞未命中未命中有告警安全告警威胁感知分析研判精细化处置安全运营流程举例⼈⼯耗时数字化耗时复杂威胁分析响应30~180min30s安全设备深度巡检60~120min1min安全态势报告⽣成180~240min10min运营统计图表制作30~120min10s安全运营绩效统计30~90min5min平战策略切换30~60min2min决策策略检索匹配5~10min3s对接20余项⾏内系统和安全设备 9⼤类共计91项数字化安全运营场景运营经验SOP剧本/智能体全流程安全运营：常态化⼀体化运营主⼊⼝接⼊降噪告警160万余条 闭环安全运营事件1900余起 处置⽹络安全威胁事件1400余起 阻断复杂⽹络攻击⾏为600余次⽇ 均威胁响应策略资源配置策略纵深防御能⼒威胁研判策略平时 稳健保障战时 全⾯戒备资源平衡安全验证准确响应情报维护精细研判威胁狩猎溯源反制快速研判敏捷响应资源倾斜全流程安全运营：平战⼀体化机制安全建设安全运营14类⼀级指标73项⼆级指标边界⽹络主机应⽤资产监测安全态势得分纳管资产总数告警处置单数平均响应时间平均发现时间agent安装数⾼危漏洞统计WAF阻断⽇志数WAF防护站点数IPS告警⽇志数封禁模型数巡检剧本数假冒⽹站处置数互联⽹IP资产总数边界突破路径数垃圾邮件数防⽕墙⾃动封禁IP次数全感知安全运营：多维度细粒度运营指标体系AI+⼀位不会累的具有丰富知识的交互友好的安全专家定位：辅助决策能⼒⽇均多检出告警30-40条 告警研判智能体告警聚合态势感知平台告警要素源⽬地址 告警信息 ⾏为时序 请求数据 响应数据 ……⻛险评估关联分析智能研判结论⾏为恶意判断 攻击成功判定 攻击意图分类 攻击载荷解读智能化安全运营：AI+告警降噪/威胁狩猎双模型异构辅助决策模式告警研判威胁处置事件响应辅助决策⼩模型安全垂域⼤模型安全运营平台历史处置案例⽀持安全专家⼀键研判智能化安全运营：AI+辅助决策/虚拟⼆线• 漏洞情报富化• 影响资产匹配• 修复建议⽣成安全资产平台漏洞排查智能体漏洞通报⼯单系统影响范围资产匹配情报富化修复建议漏洞闭环威胁情报智能化安全运营：AI+漏洞排查/运营助⼿• 管好安全资产 • ⽤好安全资产围绕资产持续推进事前运营探索AI+安全• 编排智能体，基于专家知识提⾼运营效率 • 蒸馏⼩模型，能⼒前置集成到基础安全设备近期⼯作与展望