一

攻防对抗趋势下

实战能力成为网络安全建设的重要目标

二

实战能力构建的现状与挑战

三

实战能力构建的破局之道

深信服安全专家建议，组织单位可以通过以下 “三二一”模式打造体系化安全建设，提升网络安全实战防护能力：

1. “三个重点”，提升安全基线

包含等级保护“一个中心、三重防护”核心思想、PDR模型等在内的安全建设方法论，都提到了以下三个关键点：

• 风险消除：通过收敛对外暴露面、修复高危漏洞、加固弱口令等措施，尽可能降低被攻击者嗅探和入侵的概率；如果条件允许，可主动搜索暴露在Github、网盘、文库等公共平台的内部关键信息并迅速整改；

• 立体保护：基于等级保护“一个中心、三重防护”核心思想，对信息系统所涉及的网络、主机、应用、数据等资产进行全面加固，包括补齐缺失的安全软硬件、优化策略配置、升级安全规则模型等，刷新整体防护效果；

• 监测响应：构建覆盖全网的威胁监测与响应能力，确保在边界被突破后尽早发现威胁并迅速处置，避免损失扩大，即尽量缩小Dt（检测时间）和Rt（响应时间）。目前较为高效的方式是SOAR技术的应用，即安全编排、自动化与响应，通过智能化检测模型还原攻击全貌，并联动各安全产品实现协同处置，大幅缩减检测与响应的时间。

2. “二项加强”，强化关键点防护

经典的安全建设方法论能够在宏观层面上对安全建设提出指导性建议，但在具体实战中，缺乏对于不同资产安全投入主次的指导，往往导致在网络关键点的保护不足，最终被集中火力突破。因此在安全基线之上，应当结合组织的实际业务特点，对关键点进行防护强化：

• 强化关键系统防护。攻击者一旦突破内网会优先选择受害者关键系统作为下一步攻击目标，如认证服务器、集中管理平台、域控服务器等，因此各组织应对关键系统提供额外的安全防护措施。

• 强化关键路径防护。除常规路径外，攻击者还会利用旁路实施攻击渗透，如下属单位与总部之间的内部网络，或获得内部用户的VPN账号等。因此各组织应对关键路径加强防护，如禁止无权限用户访问关键系统、细化下属单位与总部之间的访问控制等。

3. “一个中心”，构建常态化运营

网络安全的本质是对抗，对抗是持续化的过程，需要在提升安全基线、加强关键防护的基础上，建立安全运营中心并主动、持续地开展安全运营工作，并借助SOAR技术帮助人员提升安全运营效率，更好更快地执行信息收集、分析、研判与处置的流程，以确保防御能力的有效性。

相比于自运营模式下人员培养的成本高、周期长、见效慢等问题，联合运营模式更加符合当前组织的实际需求。联合运营指组织单位通过购买安全运营服务，无需对现有IT安全架构进行极大的调整，也无需花费雇佣第三方安全服务人员长期驻场的高昂成本，即可迅速复用安全运营服务商的云SOC以及安全专家团队开展安全运营工作，为业务提供7*24小时的安全保障，同时安全专家的专业能力有足够保障。这种模式建设成本适中，见效快，效果好，比较适合大多数组织单位。联合运营模式最大的优势在于能够以比较低的成本，通过复用安全专家团队，以更具经验的流程确保全天候的安全保障能力。

深信服通过“三二一”的体系化安全建设方案，结合“人机共智”的常态化MSS安全运营服务，帮助用户提升网络安全实战能力，实现“始于演练，精于实战”。

为了帮助各组织单位做好网络安全攻防演练准备工作，4月25日上午，深信服将与中国计算机协会政务信息化分会、中国医院协会信息专业委员会、中国教育信息化杂志社联合举办“网络攻防战术进阶闭门会”线上直播，扫描下方海报的二维码即可报名。