研判能力：是否第一时间为事件定性，预判攻击可能影响的范围，隶属哪个部门管，责任人是谁，以及要按哪个预案去处理。值得注意的是，分析研判是整个事件处置的中枢，影响后续处置的一系列动作。

处置能力：首先要先“止血”，以免事件进一步扩散；其次要采用合理的遏制手段；最后要保证受影响业务系统恢复正常，不影响正常业务的开展。处置能力整个环节应围绕着遏制、处置和恢复业务，避免走弯路走远路。

通报能力：将此次安全事件中的重要环节通报给上级单位或同级部门，避免相同的事件二次影响。

协同能力：安全事件的处置需要多方职责多方力量共同协作，分工也会有所不同，顺畅的协同会让安全工作更加有序、高效，协同工作需要哪些方面的力量参与协同，内部还是外部都直接影响最后的结果。

溯源能力：只要能获取到关键信息，并能关联出画像和完整的攻击链条那就是好溯源。值得注意的是，溯源是需要从事件一开始就要准备的。

组网安全：包括互联网暴露面是否有效收窄，vpn、app、微信公众号、第三方供应链是否存在接口及联络等，网络边界是否有效隔离，以及是逻辑隔离还是强隔离。

安全产品有效性：包括安全产品部署位置是否合理，有没有发挥应有的作用。如果没有，那是什么原因，是策略原因、规则配置还是攻击场景问题。

情报获取与共享能力：包括获取情报能力，具体为情报获取的时效性、准确性、更新频率；而在共享能力上，能不能做到“触点即达到面”的感知能力。

漏洞整改：主要是漏洞识别能力和整改能力，首先区分是技术类还是管理类漏洞。如果是技术类，可以考虑根据业务需要，采用变相整改的方式；如果是管理类漏洞，可以考虑从规范制度流程，人员安全培训等方面入手。

纵深防御：包括合理的安全域划分，数据链路层的隔离、端口和协议上的过滤、应用和组件安全等有效纵深防御手段。

运营能力：攻防演习更考验运营能力，有没有事件分级和相对的预案，有没有用更低的成本完成高效的处置，以及将纸面上的制度、流程落实到实际运营工作中去，这些都非常值得关注。      

文章来源：互联网安全大会

扫码回复“进群”加入交流群