构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 团队作战，各人才分工明确高效 人员 武器 资金 情报 人员 武器 天时 地理 ü 大量0day漏洞储备 ü 专业攻防协作平台及工具集 ü 多团队投入，形成A/B多联队 ü 外网专家储备 ü 精良部队，各单位优秀渗透人员 ü 团队作战，分工专业 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 ✗ 缺乏云服务、员工社工钓鱼风险发现能力 ü 持久战，随意选择攻击时间、以逸待劳 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 黑白交替、拉锯战容易导致身心俱疲

但单阶段博弈模型只考虑了攻防过程中各种随机因素稳 定不变的情况,并不符合真实网络攻防情景[５５]. ②多阶段博弈指所有参与者可以在多个阶段进行决策, 根据其他参与者的决策及时调整策略,每个阶段的决策都可 能影响后续阶段的决策和收益.参与者之间进行相互博弈, 力求自身收益最大化.多阶段博弈模型考虑了长期攻防对抗 中,攻防策略改变等随机因素的影响,扩大了移动目标防御机 制在攻防场景下的适用范围. Chen等根据攻防具有多阶段多状态的特性,提出一种移 动目标 Markov信号博弈模型,引 入 贝 叶 斯 决 策 重 新 量 化 双 方收益,加强高权重阶段中防御策略的制定[５６]. ２)根据博弈时间性分类 ①基于离散时间的博弈指在博弈过程中时间被离散化为 一系列固定的时间点,所有参与者必须在指定的时间点进行 决策. Lei等将 MTD 对抗过程看作离散时间序列上的多阶段 动态事件 弈 模 型 的 移 动 目 标 防 御 系统,将攻防行为转化为攻击面和探测面的变化,提高了模型 的通用性[５７]. ②基于连续时间的博弈指在博弈过程中时间是连续的而 不是离散的,所有参与者可以在任何的时间点进行决策. Huang等根据当前网络攻防过程中连续化、动态化的特 点与传统博弈模型下时间离散、多阶段攻防的特性不同,提出 一种网络攻防定性微分博弈模型,引入多维空间欧氏距离评 估威胁程度

典型厂商 1、 应用层0Day漏洞自免疫 2、 内存马注入攻击防护及应急查杀 3、 组件资产全量测绘及漏洞治理 4、 API资产全量排查及风险预警 5、 应用弱密码检测 1、 攻防演练高危未知威胁防护 2、 供应链安全风险治理与闭环 3、 云上应用防护 4、 API风险防护能力提升 5、 老旧业务风险治理 1、 对多样化应用的兼用适配能力 2、 防护效果和性能占用的平衡机制 防御、内外兼顾”的 一体化防护，真正实现战时可防+日常可用。 方案拓扑图： 1. 面对令客户谈虎色变的0Day漏洞、内存马等新型高危未知威胁，高效、精准防护和 查杀，保护客户核心应用，轻松应对攻防演练及可能发生的实网攻击。 2.面对日益严峻的外采供应链、老旧业务、云上应用及互联网暴露面风险，为客户应用 提供兜底方案，实现供应链安全风险治理闭环，并排查“两高一弱” 等风险。 3.AI智能 业级网络安全产品和服务，在人员规模、收入规模和产品覆盖度上均位居行业第一。2019年，中国电子战略入股奇安信，奇安信成为网络安全“国家 队”，迄今已完成91次国家重要活动网络安全保障任务，参与近千场实战攻防演习。 作为网络安全领军企业，奇安信将针对新技术下产生的新业态、新业务和新场景，继续为用户提供全面、有效的网络安全解决方案，向成为“全球第一 的网络安全公司”的愿景目标不断奋进，助力实现“十五五”良好开局。

IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 里，一 直专注于网络安全产品与服务领域。以创新研发和实战攻防为核心，致力于探索网络安全的最 新前沿方向。 在科研成果方面，累计获得了福建省、市科学技术进步奖 8 项；发明专利授权 10 项；拥 有软件著作权 100 多项。海峡信息独立承担的福建省高新技术重点项目、火炬计划项目及福建 省重大招标项目。所有产品均以创新研发和实战攻防为核心，构建了一个基于主动防御、动态 防御、精准防护、整体

效的漏洞补丁管理、统一的软件管理，及时进行系统加固，达到收缩暴露面、 40 网络安全专用产品指南 第二版（下册） 40 “强身健体”的目的。 ◎威胁防御与检测 集成多个防护引擎，再结合奇安信强大的攻防研究能力及丰富的规则库储备及生产能力， 实现对可疑行 为、已知病毒、未知病毒和各类攻击的实时拦截、高效检测、准确定位、完整溯 源，并有效防御针对停服系 统的漏洞利用攻击，确保终端始终安全。 ◎终端管控与审计 功能特点 ◎勒索挖矿防护 挖矿木马和勒索病毒的肆虐，对终端资源的榨取已经到了无以复加的地步。如何有效守护 合法拥有的计算资源、数据资源，是广大政企用户必须要重视的问题。终端作为网络攻防的主 战场，将持续聚焦攻防视角下的端点安全防护痛点与难点，围绕构建有效的查、杀、防体系， 坚强守护端点安全防线，提供动态化、持续化、高效化的安全防护能力。 ◎高级威胁检测与响应（EDR） 如今的网络威胁已 谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和代表处，深入开展全球业务。 绿盟科技高度重视安全研究和技术创新，致力于跟踪国内外最新网络安全攻防技术，星云、格 物、伏影、天机、天枢、天元、平行、威胁情报八大实验室，分别专注于云安全、物联网安全、 威胁感知与监测、漏洞挖掘与利用、数据智能、新型攻防对抗、网络空间安全战略、威胁情报 八个领域，在基础安全研究和前沿安全领域进行积极的探索。基于多年的安全研究，绿盟科技

阿里云在 AI 基础设施建设中，采用“内部红蓝对抗 + 外部多方校验”的双重机制， 确保安全能力在实战中持续有效。 ● 内部红蓝对抗。阿里云建立了常态化的红蓝对抗机制，其中蓝军团队持续研究前 沿攻防技术，以接近真实 APT 组织的攻击强度，对包括模型训练推理平台、GPU 容 器等在内的各类 AI 基础设施产品发起模拟渗透测试。通过高强度、高频次的实战演练， 发现潜在漏洞并推动快速修复，不断提升系统的抗攻击能力。 3.1 输入与输出内容安全 AI 安全护栏的核心职责是保障模型交互内容的安全性与合规性，通过一套分层且可定 制的策略，有效应对提示词注入和多模态内容风险。 ● 提示词注入攻击防御：内置了经过大量攻防样本训练的检测模型，能够精准识别 和拦截“越狱”、“角色扮演”等直接注入攻击。同时，能对输入数据源进行扫描， 剥离和清洗其中潜藏的、针对模型的间接注入指令。避免大模型在重要领域被误导， 产生决策失误。 其所依赖的阿里云基础设施，久经世界级的实战攻防考验，其安全水位与攻防技术水 位已在全球范围内得到了验证与认可。阿里云百炼的安全能力建立在这一坚实基础之 上，除了延续过往的安全高要求之外，还基于服务千行百业的 MaaS 客户实践，针对 4 构建可验证的信任：阿里云百炼的安全承 诺与未来愿景 MaaS 场景特定的安全风险，扩展实施了一系列安全加固，并持续性地接受实战级的 攻防检验； ● 权威的第三方

需要的信息。  情报处理。实现高效的信息提取、理解和生成，适用于多种格式和复杂内容的处理，显著提升文 档处理的智能化水平。  钓鱼邮件生成。根据钓鱼邮件主题，自动生成对应内容钓鱼邮件，满足攻防演练需求。  威胁检测。通过结合 AI 技术，进行威胁检测。例如引入视觉神经网络来替代传统的钓鱼监测、挖 矿监测。  自动生成报告。快速生成事件报告。  推荐剧本。在安全分析研判之后，推荐可以进行处置的剧本。 NGSOC 平台紧密结合，实现数据共 享、能力互补，其 QAX-GPT 安全机器人更是将大模型技术应用于威胁分析、事件调查和响应决策支持。 碳泽注重安全运营流程的自动化，通过自主研发的 SOAR 平台实现攻防两端的场景剧本自动化，并集成 AI 驱动的异常检测模型。 通过响应流程剧本化满足智能处置各类安全事件的需求，利用自主研发的 SOAR 安全自动化编排平台实 60 第五章 国内外 ISOC 发展现状 向发展。各厂商基于自身的技术积累、产品优势和对客户需求的理解，纷纷推出各具特色的 AI 创新应用，呈现 出百花齐放的态势。 AI 应用的广泛度和成熟度 各厂商结合自身优势，在安全运营的各细分领域进行 AI 应用的创新。 现攻防两端的场景剧本自动化，并通过集成了 AI 驱动的异常检测模型实现全链路威胁检测。 神州泰岳强调多源异构安全数据的自动化融合，构建全面的安全数据中心，并利用其 Ultra-SOAR 平台整合安全要

具备竞品监测和分析功能，实现智能弹屏场景适配，及时应对竞品攻防，定制开口提示功能，规范邀约，提 升客户体验与邀约成功率。 全方位 DCC 质检体系 涵盖经营预警、顾问质检、线索意向判断和客户需求分析等关键环节。实时监测 DCC 业务关键指标，对每通 电话录音和详细分析，全面评估网销专员表现（如服务态度、专业能力、销售技巧以及攻防话术等多维度）， 及时发现问题、预测趋势，并提出建议，提升服务质量。

开展网络和数据安全能力提升行动。  实现部三级系统等级测评全覆盖，网络监测预警 系统完成迭代升级。  完善行业网络安全信息通报机制，及时共享漏洞 信息和威胁情报。  加强数据分类分级保护  组织实施网络安全实网攻防演练，加强商用密码 应用推广。  加强邮政快递业重要数据和个人信息保护。 2024-01-01 交通运 输部 《 民 用 无 人 驾 驶 航 空 器 运 行 安 全 管 理规则》  民用无人驾驶航空器航行服务提供方应当妥善 和流程方法， 研发适配不同低空装备架构的自动化测试工具装备，实现低空智能网联全方位安 全测试与能力评价能力。可支撑行业主管部门对相关企业开展入网前安全检测评 估、安全产品评测、周期性安全评估、攻防演练、安全众测、新技术验证、人才 培养、安全运营应急响应验证等应用场景，打造闭环式虚实安全验证环路。 4.2. 安全运行监测 图 4 安全运行监测 低空智能网联系统存在的安全漏洞若被恶意利用，将严重威胁系统的安全稳

风险，需部 署 API 网关鉴权系统并实现供应链 API 全链路加密；针对电力行业调度网络攻击风险，需通过数据完整性 检测与异常行为分析，防范 FDI 攻击。 此外，完善安全管理制度，定期开展攻防演练，提升安全事件响应能力，进一步强化企业自身管理能 力层的协同共治水平。例如组织跨部门应急演练，模拟 APT 攻击场景，提升实战能力。​ 能力提升阶段实施案例 1. 汽车制造企业供应链安全强化 问题，集成协议深度检测与加密功能；​ 管理闭环：通过安全运营中心（SOC）统一管理全平台资产与事件，建立“监测-分析-响应”闭环流程，针对应 急响应薄弱问题，制定专项应急预案并定期演练；​ 持续优化：引入威胁情报库与攻防演练机制，动态调整防护策略，针对供应链安全风险，建立供应商安全评估 与准入机制，平台安全事件拦截率提升至 99.6%。 2. 华为 F5G 无损工业光网实施 顶层设计：针对汽车制造产线高可靠需求，设计全光纤网络架构，满足“0 。​ （五）持续监测与策略迭代​ (1) 动态风险评估：定期开展工业互联网安全风险自评估，企业可利用攻击面管理（ASM）工具，实时发 现暴露在公网的 OT 设备，动态调整防护策略。 (2) 攻防演练实战化：模拟真实攻击场景开展演练，如某化工企业在演练中模拟“钓鱼邮件+供应链攻击” 组合攻击，检验 IT 与 OT 团队的协同响应能力，暴露并修复 12 处流程漏洞。 83 第五章 工业互联网安全产业生态与代表性厂商能力分析