0%

安全标准与合规

05. 安全技术标准与合规框架

智能安全事件可观测性 · 标准规范参考


一、框架概述

1.1 安全标准体系分类

graph TB subgraph 国际标准 I1[ISO 27000] I2[NIST CSF] I3[COBIT] I4[PCI-DSS] end subgraph 国内标准 C1[等保 2.0] C2[网络安全法] C3[数据安全法] C4[个保法] end subgraph 行业标准 H1[HIPAA] H2[SOC 2] H3[PCI-DSS] H4[SWIFT CSP] end subgraph 技术标准 T1[CVSS] T2[CVE] T3[STIX/TAXII] T4[MITRE ATT&CK] end

1.2 标准适用场景

标准 适用行业 强制/自愿 核心要求
等保 2.0 全行业(中国) 强制 等级保护
ISO 27001 跨国企业 自愿+合同 信息安全管理
NIST CSF 美国企业、政府 自愿 网络安全框架
PCI-DSS 金融、零售 强制(卡支付) 支付卡安全
HIPAA 医疗(美国) 强制 医疗数据保护
SOC 2 SaaS、云服务 自愿 服务组织控制

二、ISO 27000 系列

2.1 核心标准

标准 名称 核心内容
ISO 27001 信息安全管理体系 建立、实施、维护、持续改进 ISMS
ISO 27002 信息安全控制措施 14 个控制域、114 项控制措施
ISO 27005 信息安全风险管理 风险管理方法论
ISO 27035 安全事件管理 事件发现、报告、评估、响应
ISO 27017 云服务信息安全 云环境特定控制
ISO 27018 公有云 PII 云隐私保护

2.2 ISO 27001 控制域

控制数 AISOC 能力映射
A.5 信息安全政策 2 安全策略生成
A.6 信息安全组织 7 角色权限管理
A.7 人力资源安全 6 身份认证、离职管理
A.8 资产管理 10 资产发现、分类
A.9 访问控制 14 IAM、零信任
A.10 加密 2 数据加密、传输加密
A.11 物理安全 15 机房监控、门禁
A.12 运营安全 14 日志审计、漏洞管理
A.13 通信安全 7 网络分段、安全通信
A.14 系统采购 3 安全开发规范
A.15 供应商关系 5 第三方风险管理
A.16 事件管理 7 安全事件闭环
A.17 业务连续性 4 灾备、恢复
A.18 合规性 10 合规审计

2.3 AISOC ISO 27001 合规映射

A.16 信息安全事件管理:

控制项 要求 AISOC 能力
A.16.1.1 事件管理流程 安全事件研判流程
A.16.1.2 事件报告 自动告警、工单创建
A.16.1.3 事件评估 AI 研判、置信度
A.16.1.4 事件响应 SOAR 自动化响应
A.16.1.5 事件预防 知识沉淀、模型优化

三、NIST 网络安全框架

3.1 CSF 2.0 架构

六大函数(Function):

graph TB G[Govern 治理] --> I[Identify 识别] I --> P[Protect 防护] P --> D[Detect 检测] D --> R[Respond 响应] R --> Re[Recover 恢复] style G fill:#e3f2fd,stroke:#1565c0 style I fill:#e8f5e9,stroke:#2e7d32 style P fill:#fff3e0,stroke:#e65100 style D fill:#fce4ec,stroke:#c62828 style R fill:#f3e5f5,stroke:#7b1fa2 style Re fill:#e1f5fe,stroke:#01579b

CSF 2.0 新增 Govern 函数:

类别 说明 关键要素
组织上下文 使命、利益相关者 风险容忍度
治理优先级 资源分配 战略规划
供应链风险管理 第三方风险 供应商评估
资源管理 人力、技术 预算规划

3.2 AISOC 与 NIST CSF 映射

NIST CSF 函数 子类 AISOC 能力
Govern 风险评估 风险评估引擎
Identify 资产管理 资产发现、漏洞管理
Identify 供应链风险 第三方风险评估
Protect 身份管理 IAM、零信任
Protect 数据安全 数据分类、加密
Detect 持续监控 实时检测、NDR/EDR
Detect 异常检测 AI 行为分析
Respond 事件响应 SOAR 自动化
Respond 沟通分析 威胁情报共享
Recover 恢复计划 业务连续性
Recover 改进 知识沉淀、复盘

四、等保 2.0(中国)

4.1 保护等级

等级 名称 适用场景 监管机构
第一级 自主保护级 小规模私营、个体企业 自主
第二级 指导保护级 50人以下小企业、乡镇 指导
第三级 监督保护级 重要机关、重要企业、金融 监督
第四级 强制保护级 国防、关键基础设施 强制
第五级 专控保护级 极端机密 专控

4.2 技术要求框架

安全通信网络 ──▶ 网络架构、通信传输、边界防护
       │
安全区域边界 ──▶ 边界防护、访问控制、入侵防范、恶意代码防范
       │
安全计算环境 ──▶ 身份鉴别、访问控制、安全审计、入侵防范
       │
安全管理中心 ──▶ 系统管理、审计管理、集中管控、集中安全管理

4.3 等保三级 AISOC 能力映射

等保要求 技术要求 AISOC 能力 实现方式
安全管理中心 系统管理 统一管理平台 配置管理、策略下发
安全管理中心 审计管理 日志审计分析 SIEM、日志归一化
安全管理中心 集中管控 态势感知 统一态势大屏
安全区域边界 边界防护 边界威胁检测 NDR、FW 联动
安全区域边界 入侵防范 入侵检测 IDS/IPS、流量分析
安全区域边界 恶意代码防范 终端防护 EDR、防病毒
安全计算环境 身份鉴别 身份认证 IAM、MFA
安全计算环境 访问控制 权限管理 RBAC、ABAC
安全计算环境 安全审计 操作审计 全面日志、溯源
安全计算环境 入侵防范 终端检测 EDR、主机安全

4.4 等保合规检查清单

检查项 检查方法 AISOC 实现
日志保留 6 个月 日志查询 SIEM 日志归档
事件追溯 90 天 日志检索 日志查询、时间线
安全事件告警 告警配置 NDR/EDR 告警
恶意代码检测 终端扫描 EDR 行为检测
漏洞扫描记录 漏洞报告 周期性漏洞扫描
访问控制审计 权限审计 IAM 日志分析

五、数据安全法规

5.1 主要法规对比

法规 地区 适用范围 关键要求
GDPR 欧盟 处理欧盟居民数据 数据保护、隐私权
CCPA 加州 处理加州居民数据 消费者控制权
网络安全法 中国 关键信息基础设施 数据本地化
数据安全法 中国 全行业 数据分类分级
个保法 中国 处理个人信息 个人信息处理规则

5.2 合规要求矩阵

要求 GDPR 网络安全法 个保法 AISOC 能力
数据分类 要求 要求 要求 敏感数据识别
数据加密 要求 要求 要求 传输/存储加密
访问审计 要求 要求 要求 日志审计
数据脱敏 要求 - 要求 测试数据脱敏
数据删除权 要求 - 要求 数据生命周期
跨境传输 要求 限制 需评估 数据边界控制
安全事件报告 72小时 7天 7天 事件报告生成

六、安全度量标准

6.1 核心安全指标

指标 全称 定义 AISOP 目标
MTTD Mean Time To Detect 平均检测时间 < 1 分钟
MTTI Mean Time To Investigate 平均调查时间 < 5 分钟
MTTR Mean Time To Respond 平均响应时间 < 10 分钟
MTTC Mean Time To Contain 平均遏制时间 < 15 分钟
MTTK Mean Time To Knowledge 平均知识化时间 < 30 分钟
MTBF Mean Time Between Failures 平均故障间隔 > 720 小时
FPR False Positive Rate 误报率 < 5%
FNR False Negative Rate 漏报率 < 1%

6.2 安全成熟度模型 (CMM)

级别 名称 特征 指标
L1 初始级 被动响应,无标准流程 MTTD > 1天
L2 基础级 有工具,流程碎片化 MTTD < 1天
L3 规范级 流程标准化,工具集成 MTTD < 1小时
L4 量化级 数据驱动,持续优化 MTTD < 10分钟
L5 优化级 AI 驱动,自主进化 MTTD < 1分钟

成熟度评估雷达图:

%%{init: {'type': 'radar'}}%% title 安全成熟度评估 "检测能力" 85 "响应速度" 90 "分析效率" 80 "自动化程度" 75 "知识积累" 70 "持续优化" 85

七、漏洞评估标准

7.1 CVSS 评分体系

基本度量组:

度量 说明
Attack Vector (AV) Network 可远程利用
Adjacent 需在同一网络
Local 需本地访问
Physical 需物理接触
Attack Complexity (AC) Low 无特殊条件
High 需特殊条件
Privileges Required (PR) None 无需权限
Low 普通用户
High 管理员
User Interaction (UI) None 无需用户
Required 需要用户配合

评分等级:

分数 等级 响应时限 示例
0.0 - 无漏洞
0.1-3.9 90天 信息泄露
4.0-6.9 45天 身份验证绕过
7.0-8.9 30天 RCE 需认证
9.0-10.0 严重 7天 RCE 无认证

7.2 CVE 漏洞披露流程

发现 ──▶ 验证 ──▶ 披露 ──▶ 修复 ──▶ 验证 ──▶ 关闭
  │        │        │        │        │        │
  ▼        ▼        ▼        ▼        ▼        ▼
 扫描    PoC验证   NVD发布  补丁发布  验证    完成

八、合规审计技术

8.1 日志保留要求

合规标准 日志类型 保留期限 AISOC 实现
等保 2.0 三级 鉴别、访问、安全 6个月+ 日志归档
PCI-DSS 所有访问、交易 1年 日志存储
SOX 财务系统日志 7年 长期归档
HIPAA 医疗数据访问 6年 归档存储
GDPR 处理活动记录 3年+ 可搜索归档

8.2 合规报告自动生成

报告类型:

报告 触发 内容 频率
等保合规报告 手动/定时 安全状态、控制措施 月度
漏洞报告 扫描完成 漏洞列表、风险评分 周度
事件报告 事件关闭 事件分析、处置记录 事件驱动
访问审计报告 手动/定时 权限变更、异常访问 周度
合规差距报告 季度 控制差距、改进建议 季度

九、参考链接

标准 链接
ISO 27001 https://www.iso.org/standard/27001
NIST CSF 2.0 https://www.nist.gov/cyberframework
等保 2.0 https://www.djbh.net/
CVSS 4.0 https://www.first.org/cvss/
MITRE ATT&CK https://attack.mitre.org/

Last updated: 2026-06-02