05. 安全技术标准与合规框架
智能安全事件可观测性 · 标准规范参考
一、框架概述
1.1 安全标准体系分类
graph TB
subgraph 国际标准
I1[ISO 27000]
I2[NIST CSF]
I3[COBIT]
I4[PCI-DSS]
end
subgraph 国内标准
C1[等保 2.0]
C2[网络安全法]
C3[数据安全法]
C4[个保法]
end
subgraph 行业标准
H1[HIPAA]
H2[SOC 2]
H3[PCI-DSS]
H4[SWIFT CSP]
end
subgraph 技术标准
T1[CVSS]
T2[CVE]
T3[STIX/TAXII]
T4[MITRE ATT&CK]
end
1.2 标准适用场景
| 标准 |
适用行业 |
强制/自愿 |
核心要求 |
| 等保 2.0 |
全行业(中国) |
强制 |
等级保护 |
| ISO 27001 |
跨国企业 |
自愿+合同 |
信息安全管理 |
| NIST CSF |
美国企业、政府 |
自愿 |
网络安全框架 |
| PCI-DSS |
金融、零售 |
强制(卡支付) |
支付卡安全 |
| HIPAA |
医疗(美国) |
强制 |
医疗数据保护 |
| SOC 2 |
SaaS、云服务 |
自愿 |
服务组织控制 |
二、ISO 27000 系列
2.1 核心标准
| 标准 |
名称 |
核心内容 |
| ISO 27001 |
信息安全管理体系 |
建立、实施、维护、持续改进 ISMS |
| ISO 27002 |
信息安全控制措施 |
14 个控制域、114 项控制措施 |
| ISO 27005 |
信息安全风险管理 |
风险管理方法论 |
| ISO 27035 |
安全事件管理 |
事件发现、报告、评估、响应 |
| ISO 27017 |
云服务信息安全 |
云环境特定控制 |
| ISO 27018 |
公有云 PII |
云隐私保护 |
2.2 ISO 27001 控制域
| 域 |
控制数 |
AISOC 能力映射 |
| A.5 信息安全政策 |
2 |
安全策略生成 |
| A.6 信息安全组织 |
7 |
角色权限管理 |
| A.7 人力资源安全 |
6 |
身份认证、离职管理 |
| A.8 资产管理 |
10 |
资产发现、分类 |
| A.9 访问控制 |
14 |
IAM、零信任 |
| A.10 加密 |
2 |
数据加密、传输加密 |
| A.11 物理安全 |
15 |
机房监控、门禁 |
| A.12 运营安全 |
14 |
日志审计、漏洞管理 |
| A.13 通信安全 |
7 |
网络分段、安全通信 |
| A.14 系统采购 |
3 |
安全开发规范 |
| A.15 供应商关系 |
5 |
第三方风险管理 |
| A.16 事件管理 |
7 |
安全事件闭环 |
| A.17 业务连续性 |
4 |
灾备、恢复 |
| A.18 合规性 |
10 |
合规审计 |
2.3 AISOC ISO 27001 合规映射
A.16 信息安全事件管理:
| 控制项 |
要求 |
AISOC 能力 |
| A.16.1.1 |
事件管理流程 |
安全事件研判流程 |
| A.16.1.2 |
事件报告 |
自动告警、工单创建 |
| A.16.1.3 |
事件评估 |
AI 研判、置信度 |
| A.16.1.4 |
事件响应 |
SOAR 自动化响应 |
| A.16.1.5 |
事件预防 |
知识沉淀、模型优化 |
三、NIST 网络安全框架
3.1 CSF 2.0 架构
六大函数(Function):
graph TB
G[Govern
治理] --> I[Identify
识别]
I --> P[Protect
防护]
P --> D[Detect
检测]
D --> R[Respond
响应]
R --> Re[Recover
恢复]
style G fill:#e3f2fd,stroke:#1565c0
style I fill:#e8f5e9,stroke:#2e7d32
style P fill:#fff3e0,stroke:#e65100
style D fill:#fce4ec,stroke:#c62828
style R fill:#f3e5f5,stroke:#7b1fa2
style Re fill:#e1f5fe,stroke:#01579b
CSF 2.0 新增 Govern 函数:
| 类别 |
说明 |
关键要素 |
| 组织上下文 |
使命、利益相关者 |
风险容忍度 |
| 治理优先级 |
资源分配 |
战略规划 |
| 供应链风险管理 |
第三方风险 |
供应商评估 |
| 资源管理 |
人力、技术 |
预算规划 |
3.2 AISOC 与 NIST CSF 映射
| NIST CSF 函数 |
子类 |
AISOC 能力 |
| Govern |
风险评估 |
风险评估引擎 |
| Identify |
资产管理 |
资产发现、漏洞管理 |
| Identify |
供应链风险 |
第三方风险评估 |
| Protect |
身份管理 |
IAM、零信任 |
| Protect |
数据安全 |
数据分类、加密 |
| Detect |
持续监控 |
实时检测、NDR/EDR |
| Detect |
异常检测 |
AI 行为分析 |
| Respond |
事件响应 |
SOAR 自动化 |
| Respond |
沟通分析 |
威胁情报共享 |
| Recover |
恢复计划 |
业务连续性 |
| Recover |
改进 |
知识沉淀、复盘 |
四、等保 2.0(中国)
4.1 保护等级
| 等级 |
名称 |
适用场景 |
监管机构 |
| 第一级 |
自主保护级 |
小规模私营、个体企业 |
自主 |
| 第二级 |
指导保护级 |
50人以下小企业、乡镇 |
指导 |
| 第三级 |
监督保护级 |
重要机关、重要企业、金融 |
监督 |
| 第四级 |
强制保护级 |
国防、关键基础设施 |
强制 |
| 第五级 |
专控保护级 |
极端机密 |
专控 |
4.2 技术要求框架
安全通信网络 ──▶ 网络架构、通信传输、边界防护
│
安全区域边界 ──▶ 边界防护、访问控制、入侵防范、恶意代码防范
│
安全计算环境 ──▶ 身份鉴别、访问控制、安全审计、入侵防范
│
安全管理中心 ──▶ 系统管理、审计管理、集中管控、集中安全管理
4.3 等保三级 AISOC 能力映射
| 等保要求 |
技术要求 |
AISOC 能力 |
实现方式 |
| 安全管理中心 |
系统管理 |
统一管理平台 |
配置管理、策略下发 |
| 安全管理中心 |
审计管理 |
日志审计分析 |
SIEM、日志归一化 |
| 安全管理中心 |
集中管控 |
态势感知 |
统一态势大屏 |
| 安全区域边界 |
边界防护 |
边界威胁检测 |
NDR、FW 联动 |
| 安全区域边界 |
入侵防范 |
入侵检测 |
IDS/IPS、流量分析 |
| 安全区域边界 |
恶意代码防范 |
终端防护 |
EDR、防病毒 |
| 安全计算环境 |
身份鉴别 |
身份认证 |
IAM、MFA |
| 安全计算环境 |
访问控制 |
权限管理 |
RBAC、ABAC |
| 安全计算环境 |
安全审计 |
操作审计 |
全面日志、溯源 |
| 安全计算环境 |
入侵防范 |
终端检测 |
EDR、主机安全 |
4.4 等保合规检查清单
| 检查项 |
检查方法 |
AISOC 实现 |
| 日志保留 6 个月 |
日志查询 |
SIEM 日志归档 |
| 事件追溯 90 天 |
日志检索 |
日志查询、时间线 |
| 安全事件告警 |
告警配置 |
NDR/EDR 告警 |
| 恶意代码检测 |
终端扫描 |
EDR 行为检测 |
| 漏洞扫描记录 |
漏洞报告 |
周期性漏洞扫描 |
| 访问控制审计 |
权限审计 |
IAM 日志分析 |
五、数据安全法规
5.1 主要法规对比
| 法规 |
地区 |
适用范围 |
关键要求 |
| GDPR |
欧盟 |
处理欧盟居民数据 |
数据保护、隐私权 |
| CCPA |
加州 |
处理加州居民数据 |
消费者控制权 |
| 网络安全法 |
中国 |
关键信息基础设施 |
数据本地化 |
| 数据安全法 |
中国 |
全行业 |
数据分类分级 |
| 个保法 |
中国 |
处理个人信息 |
个人信息处理规则 |
5.2 合规要求矩阵
| 要求 |
GDPR |
网络安全法 |
个保法 |
AISOC 能力 |
| 数据分类 |
要求 |
要求 |
要求 |
敏感数据识别 |
| 数据加密 |
要求 |
要求 |
要求 |
传输/存储加密 |
| 访问审计 |
要求 |
要求 |
要求 |
日志审计 |
| 数据脱敏 |
要求 |
- |
要求 |
测试数据脱敏 |
| 数据删除权 |
要求 |
- |
要求 |
数据生命周期 |
| 跨境传输 |
要求 |
限制 |
需评估 |
数据边界控制 |
| 安全事件报告 |
72小时 |
7天 |
7天 |
事件报告生成 |
六、安全度量标准
6.1 核心安全指标
| 指标 |
全称 |
定义 |
AISOP 目标 |
| MTTD |
Mean Time To Detect |
平均检测时间 |
< 1 分钟 |
| MTTI |
Mean Time To Investigate |
平均调查时间 |
< 5 分钟 |
| MTTR |
Mean Time To Respond |
平均响应时间 |
< 10 分钟 |
| MTTC |
Mean Time To Contain |
平均遏制时间 |
< 15 分钟 |
| MTTK |
Mean Time To Knowledge |
平均知识化时间 |
< 30 分钟 |
| MTBF |
Mean Time Between Failures |
平均故障间隔 |
> 720 小时 |
| FPR |
False Positive Rate |
误报率 |
< 5% |
| FNR |
False Negative Rate |
漏报率 |
< 1% |
6.2 安全成熟度模型 (CMM)
| 级别 |
名称 |
特征 |
指标 |
| L1 |
初始级 |
被动响应,无标准流程 |
MTTD > 1天 |
| L2 |
基础级 |
有工具,流程碎片化 |
MTTD < 1天 |
| L3 |
规范级 |
流程标准化,工具集成 |
MTTD < 1小时 |
| L4 |
量化级 |
数据驱动,持续优化 |
MTTD < 10分钟 |
| L5 |
优化级 |
AI 驱动,自主进化 |
MTTD < 1分钟 |
成熟度评估雷达图:
%%{init: {'type': 'radar'}}%%
title 安全成熟度评估
"检测能力" 85
"响应速度" 90
"分析效率" 80
"自动化程度" 75
"知识积累" 70
"持续优化" 85
七、漏洞评估标准
7.1 CVSS 评分体系
基本度量组:
| 度量 |
值 |
说明 |
| Attack Vector (AV) |
Network |
可远程利用 |
|
Adjacent |
需在同一网络 |
|
Local |
需本地访问 |
|
Physical |
需物理接触 |
| Attack Complexity (AC) |
Low |
无特殊条件 |
|
High |
需特殊条件 |
| Privileges Required (PR) |
None |
无需权限 |
|
Low |
普通用户 |
|
High |
管理员 |
| User Interaction (UI) |
None |
无需用户 |
|
Required |
需要用户配合 |
评分等级:
| 分数 |
等级 |
响应时限 |
示例 |
| 0.0 |
无 |
- |
无漏洞 |
| 0.1-3.9 |
低 |
90天 |
信息泄露 |
| 4.0-6.9 |
中 |
45天 |
身份验证绕过 |
| 7.0-8.9 |
高 |
30天 |
RCE 需认证 |
| 9.0-10.0 |
严重 |
7天 |
RCE 无认证 |
7.2 CVE 漏洞披露流程
发现 ──▶ 验证 ──▶ 披露 ──▶ 修复 ──▶ 验证 ──▶ 关闭
│ │ │ │ │ │
▼ ▼ ▼ ▼ ▼ ▼
扫描 PoC验证 NVD发布 补丁发布 验证 完成
八、合规审计技术
8.1 日志保留要求
| 合规标准 |
日志类型 |
保留期限 |
AISOC 实现 |
| 等保 2.0 三级 |
鉴别、访问、安全 |
6个月+ |
日志归档 |
| PCI-DSS |
所有访问、交易 |
1年 |
日志存储 |
| SOX |
财务系统日志 |
7年 |
长期归档 |
| HIPAA |
医疗数据访问 |
6年 |
归档存储 |
| GDPR |
处理活动记录 |
3年+ |
可搜索归档 |
8.2 合规报告自动生成
报告类型:
| 报告 |
触发 |
内容 |
频率 |
| 等保合规报告 |
手动/定时 |
安全状态、控制措施 |
月度 |
| 漏洞报告 |
扫描完成 |
漏洞列表、风险评分 |
周度 |
| 事件报告 |
事件关闭 |
事件分析、处置记录 |
事件驱动 |
| 访问审计报告 |
手动/定时 |
权限变更、异常访问 |
周度 |
| 合规差距报告 |
季度 |
控制差距、改进建议 |
季度 |
九、参考链接
Last updated: 2026-06-02