安全托管运营服务（MSS） 发展态势白皮书 2022 安恒信息官方微信 中国信息通信研究院 安恒信息 目录 MSS服务发展背景 01 MSS服务概述 03 网络安全成为政企数字化转型的关键命题 01 MSS服务概述 03 实战化安全需求要求安全能力持续有效 01 MSS服务适用场景 04 安全威胁加剧倒逼安全能力迭代提升 02 MSS服务发展态势 05 网络安全人才缺口促进转向服务外包模式 02 MSS服务价值 06 疫情常态化催生“零接触”安全服务模式 02 MSS服务实践 07 行业应用案例 15 MSS服务体系 07 教育行业案例 15 MSS服务内容 09 数字化转型企业案例 17 MSS服务关键技术 12 监管部门案例 18 总结与展望 20 西湖论剑10周年系列白皮书 安全托管运营服务（MSS）发展态势洞察白皮书 3 3 安全威胁加剧倒逼安全能力 迭代提升 MSS服务发展背景 工信部发布的《关于促进网络安全产业发展的指导意见 （征求意见稿）》提出指导建议：鼓励发展面向智慧城市 建设、电子政务等领域的网络安全一体化运营外包服务。 中国信通院发布《2020年网络安全威胁信息研究报告 参考国外成熟的安全服务外包模式，将网络安全管理托管 （2021年）》提到：2020年全球失陷主机约有6,431,498 第三方专业的安全服务厂商，依托网络安全厂商的安全专 台，国内约有880,607台，约为全球的1/8左右。从全球 家资源池和丰富的攻防案例知识库，以较低成本共享安全 范围来看，攻击者的主要攻击对象未产生较大变化，邮 专家服务能力，缓解网络安全人才缺口问题，逐步实现安 件、云服务、VPN、移动设备、IOT设备仍然是受害重灾 全管理模型由无序化、粗放式向专业化、精细化的蜕变， 区；攻击手段上，钓鱼、勒索软件、供应链攻击、利用漏 实现企业网络安全建设“化繁为简”，有效应对应对数字 洞、社会工程学等仍是攻击者的主流选择。 化场景下新的安全挑战。 当前网络安全形势日趋严峻，黑产组织呈规模化、产业 1 1 网络安全成为政企数字化转型的 关键命题 当前世界经济新旧动能转换加速，科技竞争日益激烈，各 2 2 实战化安全需求要求安全能力 持续有效 从近几年高强度的网络攻防实战演练情况来看，新型攻 行各业正在全面推动数字化转型，企图打造科技创新引领 击手法、攻击技术层出不穷，隐秘高效的自动化攻击也 能力，但随着移动计算、云计算、物联网、工业互联网等 越来越多，以安全合规建设为目标的静态、被动网络防 新兴技术的广泛应用，网络安全边界日趋模糊，传统边界 御体系往往力不从心。即便实战演练期间临时强化了持 防御措施面临失效挑战。全球范围内，拒绝服务、数据窃 续的监测和分析等主动防御能力，但由于分布广泛的短 取、钓鱼攻击、网络勒索等网络安全重大事件频发，网络 板和缺口，会让防守人员顾此失彼、应接不暇，仍有可 攻击已经成为影响政企数字化发展的最大障碍。据美国著 能出现靶场失陷的问题。 名投资咨询机构 Cybersecurity Ventures 预测，2021 年全球因网络犯罪导致的损失达6万亿美元，几乎达到世 界经济的10%。 化、专业化方向发展，由过去技术炫耀转为谋求经济效益 和政治目的，如2019年委内瑞拉电网遭受网络攻击导致 罗斯因“关基”遭受网络攻击而被迫“自拔网线”，故而 5 5 安全能力要适配业务发展。为此，政企机构亟需重构企业 自爆发新型冠状病毒肺炎（COVID-19）以来，常态化 级安全防护体系来提升防护能力，持续构建和完善以风险 疫情防控机制进一步推进业务上云和远程办公，大大地增 为驱动、以对标网络战为要求、以运营服务为核心、以产 加了网络攻击面，使与疫情有关的网络安全威胁和利用 品和技术作为手段、覆盖IT资产全生命周期的网络安全运 “新常态”成为主流，造成网络攻击事件不降反升，个人 营体系，及时识别安全威胁，快速响应和处置，将安全风 信息泄露、勒索攻击、疫情主题钓鱼等网络安全事件层出 险降至可接受的范围，筑牢安全根基、促进安全发展。 不穷，网络攻击手段不仅涉及传统的漏洞利用、木马入 全国停电、2020年富士康被勒索2.2亿、2021年勒索软 件攻击切断半个美国的燃油管道、2022年俄乌战争中俄 在当前网络安全形势日趋严峻和网络攻防实战常态化的 疫情常态化催生“零接触”安全 服务模式 侵、邮件钓鱼，更有针对云化业务的API攻击、账户劫 背景下，从“静态、基于威胁的保护”转向“动态，基 持、数据窃密等等。 于风险的防护”模式，开展常态化、体系化、实战化安 出于疫情防控政策要求，网络安全人员可能遇到出行受 国务院发布的《中华人民共和国国民经济和社会发展第十 全运营服务，构建立体式主动防御体系，常态化开展安 四个五年规划和2035年远景目标纲要》进一步强调“加 全风险检测，实战式验证安全防御能力，通过安全指标 强网络安全基础设施建设，强化跨领域网络安全、信息共 度量运营效果，促进安全实战能力迭代式提升，健全完 享和工作协同，提升网络安全威胁发现、监测预警、应急 善安全长效机制，持续筑牢网络安全防线，护航政企单 4 4 指挥、攻击溯源能力”。这势必强调政企单位的安全建设 位数字化转型与发展。 中国网络安全产业联盟发布的《2021年中国网络安全产 网络安全人才缺口促进转向服务 外包模式 思路需要从传统产品模式向解决方案及安全运营模式的业 业分析报告》显示，目前我国网络安全人才市场每年平均 务转型，特别是“关基”部门更要在安全合规的基础上进 需求与供给之比约为2:1，专业人才累计缺口在140万以 一步落实“三化六防”举措，常态化开展安全风险管控， 上，人才供给存在“青黄不接”的情况。除此之外，有 构建主动、动态、自适应的弹性防御体系，防范和应对层 53.88%的网络安全行业从业者认为当前公司的网络信息 出不穷的网络攻击和数据泄露事件。 安全人员队伍规模并不能满足当前工作需求，主要表现在 限问题，但持续有效的安全效果的保障离不开人，若无法 及时感知安全威胁，安全状态很难有效掌控，当出现安全 事件时更无法快速启动响应和处置机制。基于此业务场 景，催生了全程“零接触”式远程安全服务，依托第三方 网络安全厂商的云端安全运营中心，建立常态化风险监测 和安全管理闭环机制，安全专家开展7*24小时远程值 守，实现持续对抗攻击和快速响应，管控网络安全威胁， 有效保障生产业务的安全、持续、稳定运行。 服务人力资源与能力模型存在双重缺口，应对新技术、新 风险能力不足。故而，网络安全人才短缺是我国政企难以 有效防范和应对互联网安全威胁的重要原因之一。 01 02 西湖论剑10周年系列白皮书 安全托管运营服务（MSS）发展态势洞察白皮书 参考IDC和Gartner对MSS服务的定义，并结合国内安全托管运营服务 市场，国内MSS服务项主要集中在以下几类： MSS服务概述 资产发现与管理服务 盘点信息资产清单，明确资产归属，消除监管盲区，清理影子资产，收敛互联网暴露面 脆弱性检测与管理服务 检测发现信息资产安全脆弱性问题，评估安全风险，开展安全加固，排查安全隐患 威胁监测与管理服务 7*24开展安全威胁监测，全息感知网络攻击态势，响应和处置网络安全威胁 事件响应与管理服务 快速响应安全事件，抑制安全事件发展态势，溯源攻击链，定位和消除安全风险点，恢复生产业务 安全资讯与情报服务 获悉最新行业资讯、漏洞情报和事件情报，借助威胁情报有效提升安全分析效率和开展安全决策 安全设备管理服务 安全设备及安管平台状态监控、策略优化、版本升级、策略升级等 MSS服务概述 MSS服务适用场景 安全托管运营服务 （Managed Security Services，简称MSS服务）通常是指政企用户为达到降本增效或专注自身业 安全合规建设场景： 满足安全监管要求，降低被通报可能性 务发展等需要，将部分或全部持续性、专业性较高的网络安全运营工作托付给第三方网络安全服务商，由其提供常态化的 网络安全运营工作。 根据国家、区域和行业监管要求，依托第三方的网络安全运营中心，落实网络安全监测预警和通报制度，建立健全网络安 基于云化或远程技术的MSS服务通过云端安全运营平台为政企用户提供一系列超便利、高效率、低成本的网络安全服 全风险评估和应急机制，有效识别和消除安全隐患，落实管理和技术举措，保障安全策略动态有效性，满足安全合规要 务，有机整合了专家化运营能力、标准化操作流程、智能化运营平台、场景化运营数据等资源，为用户提供常态化的覆盖 求，依法依规开展安全生产。 资产管理、风险检测、威胁监测、事件处置等服务，与用户协同构建持续、主动、闭环的网络安全运营体系，助力实现安 全风险可控、安全能力提升、安全价值可视。 日常运营保障场景： 常态化安全运营，持续性保障业务安全 高级监测和 分析技术 高级服务 托管加密 文件完成性 测试 身份访问管理 托管安全信息 和事件管理 Web应用程序 扫描 补丁管理 设备运行 状况检查 托管日志 审计/管理 重大活动保障场景： 安全专家远程值守，助力保障重要时期 补充服务 托管安全运营 中心SOC 托管统一 威胁管理 托管终端，防病毒 托管防火墙 托管内容安全 托管安全漏洞管理 核心服务 和最大程度上发挥网络安全产品的效能。 威胁情报 Web应用防火墙 分布式拒绝服务 攻击缓解 MDR 有意提升网络安全实战能力，但受限于IT预算、人员编制、技术水平、运营经验等因素，难于实现持续性的网络安全监测 数据泄漏管理 取证 事件/应急响应 安全架构与设计评估 合规 入侵检测与 防御系统 在一些重大节日或重要活动、新品发布等时间节点，按需提供7*24小时远程网络安全值守服务，事前查漏补缺、补齐安全 短板，事中实时监测、快速研判分析，事后启动应急、消除事件影响。 网络安全监管场景： 常态化安全监测，协助开展安全监管 针对辖区重要网站或信息系统开展常态化安全监测，全息感知网络安全态势，结合最新情报快速通报预警，指导用户防范 和管控网络安全风险，实现网络安全运营专业化、数字化、精细化，科学决策，精准施政，引导辖区政企单位有序开展网 络安全建设，整体提升辖区网络攻击防御能力。 中国智慧城市安全运营中心市场洞察（源自2020 December 2020, IDC #CHC47080020） 03 04 西湖论剑10周年系列白皮书