随着计算机网络技术的发展，信息化浪潮在各行各业的广泛深入及升级换代，数据成为推动经济社会创新发展的关键生产要素，基于数据的开放与开发推动了跨组织、跨行业、跨地域的协助与创新，催生出各类全新的产业形态和商业模式，全面激活了人类的创造力和生产力。国家“十四五”规划提出发展数字经济，将是数字化战略的转型建设关键阶段，在此期间，数字经济将全面深化。尤其是“新基建”作为先行举措，进一步加快了数字化转型步伐。

近年来，随着信息技术的快速发展和融合创新，特别是移动网络、云计算的普遍运用和不断深入，系统、网络、终端的安全问题相互交织、相互影响，使得组织的网络及信息安全面临着前所未有的压力和挑战。网络安全已成为关系国家政治、经济、国防、文化等领域的重大问题，世界各主要国家相继制定和大幅调整了网络安全战略，设立了专门的机构，加大了人员和资金的投入，以维护其核心利益。

随着近几年复杂国际形势的大背景和国内护网活动的锤炼，传统的安全运维/服务类解决方案在面临新的挑战和要求下显得捉襟见肘，日渐吃力。越来越多的组织开始引入红队服务来寻求对信息系统的更接近实战的威胁评估。与此同时，如何建立应对真实威胁能够迅速反应的行之有效的防御体系，也激发出组织对实战防御能力成熟度评估与体系化建设的迫切需求。

网络安全建设工作的实战化演变，对组织当前的实战防御体系建设的有效性验证、网络攻防实战能力测量、下属单位和分支机构的安全能力监控、行业和监管的及时性联动等工作，都提出了巨大的挑战。我们把现阶段的组织安全建设主要面临的问题总结为以下三大问题。

• 问题一：传统运维方式难于应对当前严峻安全形势。网络安全威胁日益严重，背后是网络环境和攻击手段的深刻变化。传统的通过采购和堆砌大量安全设备的建设思路已不合时宜，难于应对组织化、规模化、专业化、产业化的黑客团伙作战，网络攻击呈现手段专业化、目的商业化、源头国际化及载体移动化的趋势。面对着如何复杂的网络环境，传统的被动安全防御体系已经根本无法抵御日益频繁网络攻击，企业需要重新审视传统网络安全的思想、方法、技术和体系，构筑全面防护的主动安全体系。
• 问题二：缺少有效安全监测手段，安全事件难感知响应慢。安全事件应急响应是安全事件发生时主要处置手段，通过系列响应处置可以快速判断事件原因、定位攻击来源、遏制攻击影响、恢复事件影响等，快速将影响降低到最低，提升安全管理效果。安全管理过程中缺少必要的安全监测手段及专业的应急响应人员，影响了网络安全事件处置和溯源效果，造成应急响应处置难、溯源难。
• 问题三：实战化安全能力难以度量。对于已经具备了部分安全能力、采购了部分安全服务的企业来说，使用何种度量来有效地评估企业目前的网络安全能力水平与安全公司所提供的安全服务质量，是一件十分迫切的事。

实战防御体系的成熟度评估，需要一套有效的测量工具来帮助组织验证和提升安全设备监控响应覆盖范围和覆盖度，优化安全设备防护策略，规范应急响应评估和处理流程，提升安全人员应急响应能力，建立应急响应演练常态化的模式。当前普遍采用的合规类测量工具（ISO27001、等级保护2.0标准等）和行业最佳实践分别存在一些适用性问题：合规类测量工具只要求安全建设基线，满足合规仅仅完成是网络安全攻防实战能力建设的基础；行业最佳实践实战性更高，在攻防实战能力建设中可以提供一些维度的良好的指导，但缺乏全局视角，不成体系，且与安全合规完全存在“两张皮”的状况。

为更好地把握组织对其防御能力建设情况水平认知，特将防御能力建设成熟度分为四个级别的成熟度等级，如下表所示，分别为临时处置级、风险感知级、可重复级和高适应性级。

为更加有效地评估当前安全防御能力成熟度，组织一般可以通过两种维度来进行信息安全基准测试方法：

• （1）对行业同行的基准进行安全成熟度对标差距分析（基于行业平均水平进行评估）。
• （2）对组织安全能力进行成熟度基准评估（当前基于当前能力值进行评估）。

通过结合以上两种评估方法，认知组织与行业水平或当前能力值的差距，从而可以结合实际情况为组织针对性制定清晰的防御能力建设目标。

网络实战防御能力成熟度评估蛛网示例图如下图所示

据国家法律法规、行业标准的相关要求，参照业界最佳案例实践，引导组织从管理体系、技术体系、运营体系、合规体系开展迭代式安全体系建设，指导开展安全管理工作，定期开展安全意识培训、安全开发培训提升人员安全、代码安全的能力，通过应急演练、红蓝对抗、重要时期网络安保不断验证安全能力、补全安全建设短板、完善团队组织构架、提升运营技术能力、优化运营服务流程，最终达到安全能力持续性、最大化输出的目的。

在此背景下组织需要一套能够在高级威胁（APT）对抗场景下为组织提供涵盖人员、技术、流程、服务全维度的安全防御体系。当前最佳实践防御体系均以IPDRO自适应保护模型为核心，并通过安全防御能力成熟度模型，有效测量并不断提高对抗过程中各阶段的安全防御能力，推进组织建立具备安全事件与威胁情报的研判和响应、安全策略和防御体系的优化、攻击识别和溯源反制的实战防御能力，不断改善组织的网络安全状况。

为了持续性输出安全能力，本方法参考了NIST Cybersecurity Framework，SABSA，ISO27000，Gartner的核心内容，结合业界最佳安全实践创造性提出广泛适用于国内组织的安全运营服务框架模型--IPDRO模型（Identify、Protect、Detect&MDR、Response、Operation&Management）。

IPDRO模型是针对企业防护对象框架，结合安全组织体系、安全管理体系、安全技术体系，通过事前对信息资产暴露面风险识别（Identify），事中不断验证和增强安全边界防御能力（Protect）和持续开展安全检测（Detect&MDR），事后积极组织开展安全响应（Response），日常有序开展安全运营管理（Operation&Management）有效控制安全风险，同步指导开展安全合规建设工作，从技术和管理层面快速提升、持续改进安全能力，以更好地面对快速更迭的新技术、新应用带来的安全挑战。

以自适应保护模型为核心来涵盖，自适应保护模型IPDR示意图如下图所示。具体可分为以下几个阶段。

• （1）识别阶段-I：通报预警、协调联动。
• （2）防护阶段-P：监控发现。
• （3）监测阶段-D：分析研判。
• （4）响应阶段-R：应急处置、追踪溯源。

以实战防御体系能力评估为出发点，结合自适应保护模型，可以细化为以下十六个领域进行考量要求，详细内容如下表所示。

0x1：监控发现

1、采用工具或手段

组织应做到采用自动化技术工具或手段，尽可能多的自动完成一个安全事件处置流程中相关步骤，从而缩短响应时间。将分析人员从耗时且重复的分析工作中解放出来，将时间放在更有价值的安全分析、威胁猎捕、流程建立等工作上。

根据已有的安全事件分析及处置流程设计对应的安全风险分析研判策略和联动响应剧本，通过策略编排动作，包括但不限于对安全威胁的关联验证、告警聚合、联动、阻断等。实现针对每一个响应编排任务均进行任务跟踪，任务执行过程中通过安全技术人员进行整个SOAR全过程的安全控制。

2、覆盖有效性

传统攻防演练的过程，存在反馈机制的问题。网络实战防御体系建设利用ATT&CK框架绘制组织的攻击面，建立威胁映射模型，将评估范围、评估技术、评估工具映射到组织的防御体系中通过防御能力验证测试，评估使用的每一种技术与组织防御体系对应并核对每一项攻击技术，并通过安全产品分析每一项攻击技术的影响。迭代优化防御体系，全面提升组织的五大安全能力域——预防、防御、检测、响应、运营。

0x2：分析研判

1. 定位风险

当组织面临安全攻击风险的时候，相关人员可第一时间从相关设备上下载该时刻的完整数据包文件，通过离线的抓包分析工具进行详细分析。通过数据分析平台进行检测和预警，弥补人工服务无法持续的问题。

而人工服务可以通过进一步的分析定位威胁之间的关联性，并根据发现的威胁采取有针对性的防护措施，弥补工具无法进行加固和防护的问题，从而对攻击事件进行研判分析及验证，确定漏洞存在的真实性。

2、明确影响范围

明确发生网络攻击事件后，组织可根据事件管理办法所定义的事件类型和级别，评估判断事件性质、危害程度和影响范围，明确下一步的应急响应策略。

0x3：追踪溯源

1、溯源分析

组织可对每一次攻击进行溯源联动分析，在确定攻击事件后会回溯所有攻击相关的网络数据包，对系统近期的所有行为进行串联，确定攻击事件的整个事件周期，展示整个攻击事件的所有攻击路径。同时在尽可能短的时间内以这些情报为行为指导，从而折射到现实空间中，协助相关的执法机关对其演练攻击者进行追溯与定位。

2、攻击复盘

组织可以针对攻击事件进行综合分析，从攻击的视角检视网络安全监测和防护体系，为持续提升安全能力提供依据。主要包括攻击方法、攻击时间、攻击目标分布及攻击成功事件等方面

0x4：应急处置

1、漏洞定位与修复

第一时间针对每一次攻击事件，定位具体漏洞并及时对安全漏洞进行修复。

2、木马清理

组织第一时间对WebShell后门（黑客通过WebShell控制主机）、网页挂马（页面被植入待病毒内容，影响访问者安全）、网页暗链（网站被植入博彩、色情、游戏等广告内容）等进行清理处置。

3、整改恢复能力

组织应尽可能详细地记录各种网络环境状态参数，在整改后，具备通过恢复系统镜像、数据恢复、系统和软件重装等方式将系统业务恢复到未被攻击状态的能力。

4、社工防范

在面对日益增长、复杂多样的网络攻击下，“人”是最强大的防护武器。组织应将社工防范工作纳入防御能力建设工作中。定期开展安全意识培训，邮件钓鱼测试等增强组织员工安全意识的工作都是网络安全防护体系中重要的环节，但在很多组织并未引起足够的重视，如不少病毒感染都是由于用户员工私自接入外部移动设备导致的。因此，社工防范工作的落地对于网络问题做到提前发现和处理具有中道的意义，也可以降低网络安全风险。

0x5：通报预警

1、预警有效性

针对网络攻击事件，组织可在接到通报后可有效开展隐患消除工作。

2、传递及时性

针对网络攻击事件，组织可将通报信息及时传递到一线实战部门和具体责任人。

3、情报准确性

针对网络攻击事件，组织可将涉及该事件的时间、影响范围、危害以及对策措施等情况，能够翔实准确地通过文字、图表等形式进行记录、传递和上报。

0x6：协同联动

1、下属单位联动

针对网络攻击事件组织与下属单位在处置事件过程中的联动机制、责任分工及产生的实际效果。

2、监管联动

针对网络攻击事件与监管部门的联动机制、联动防御体系联动效率及响应实际效果。

3、联防联控

针对网络攻击事件单位内部安全部门、业务部门、管理部门等相关部门在处置事件过程中的联动机制、责任分工及产生的实际效果；针对网络攻击事件单位行业内部相关单位在处置事件过程中的联动机制、责任分工及产生的实际效果。

4、实践成效

通过建立成熟有效地自适应性强的安全防御体系可以高效地从威胁来源和攻击者视角来分析问题，实现网络安全态势的实时监控、预警和处置，并不断优化安全事件处置管理规范。可提升快速有效的响应和处置能力，通过联动协同平台，提升各人员之间、各部门之间的快速协同处置威胁能力，同时通过实战演练积累经验，增强基础设施防护能力与人才队伍建设能力，搭建网络安全纵深防御体系，建立持续有效的网络安全运营机制。最终达到基于组织当前的业务需求和业务场景，结合网络安全“三同步”原则，完成“业务安全为最终目标”。

基于自适应保护服务模型，有机结合团队、流程、技术三要求，尽可能利用现有资源，持续提升和输出安全能力的效果。有效落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施，实现“四新”的目标。