企业安全能力分类 v0.2
企业安全能力分类(ESCT,Enterprise Security Capability Taxonomy),用于量化企业整体安全治理能力覆盖差距的核心基准。它为计算 安全治理量化管理指标体系 中的 SAI 指标提供了一个通用参考,覆盖应用与软件供应链安全、云与基础设施安全、网络与边界安全、终端与办公网安全、身份与访问安全、数据安全、安全运营及 AI 安全等领域,确保使用该量化管理指标体系的跨团队、跨企业在对安全能力覆盖情况评估时具有一致性。
说明
- 能力集合的持续更新:随着新技术的出现、新型攻击手段的演变以及安全理念的深化,未来可能会增加新的关键能力,调整现有能力的定义,或者移除已过时或被更有效能力取代的条目
- 收录标准:仅收录业界公认、可独立评估覆盖情况的能力单元(能对应到成熟的产品或实践类别);定位尚有争议或与已有条目高度重叠的能力暂未收录
应用与软件供应链安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 静态应用安全测试 | SAST | Static Application Security Testing | 作为白盒测试,在编码阶段早期发现问题。 通过分析源代码或字节码,识别潜在的安全编码缺陷、漏洞模式(如 SQL 注入、XSS 模式)和不符合安全规范的代码。 |
| 软件成分分析 | SCA | Software Composition Analysis | 管理软件供应链风险。 识别应用中使用的所有第三方和开源组件,检测这些组件中已知的安全漏洞 (CVEs),并可用于管理许可证合规性。 |
| 敏感信息检测 | SD | Secrets Detection | 防止敏感凭证意外泄露。 通过工具扫描代码库、配置文件及构建产物,查找硬编码或意外提交的密码、API 密钥、证书私钥等敏感信息。 |
| 动态应用安全测试 | DAST | Dynamic Application Security Testing | 模拟外部攻击,发现运行时漏洞。 作为黑盒测试,在应用运行时从外部发送探测请求,尝试利用常见的 Web 漏洞(如 XSS, SQLi, 目录遍历),验证实际暴露的风险。 |
| 交互式应用安全测试 | IAST | Interactive Application Security Testing | 结合内外视角,提高检测精度。 在应用运行时(通常集成在 QA 测试流程中),通过代理或插桩技术监控应用内部数据流和执行路径,结合外部请求触发,更精确地识别漏洞并提供上下文信息。 |
| API 安全测试 | API Sec | API Security Testing | 专注于保护应用的核心接口。 针对应用的 API 端点进行专门的安全测试,覆盖认证授权、注入、数据过度暴露、资源滥用、速率限制等 OWASP API Security Top 10 风险。 |
| 移动应用安全测试 | MAST | Mobile Application Security Testing | 保障移动端应用的安全。 针对 iOS/Android 应用进行静态与动态安全检测,发现代码缺陷、敏感信息泄露、不安全的通信与存储,以及违规收集个人信息等问题。 |
| 软件物料清单管理 | SBOM | SBOM Management | 建立软件成分的透明清单。 生成、维护和消费软件物料清单(SBOM),记录软件包含的组件及其来源与版本,为漏洞应急响应、许可证合规和供应链审计提供数据基础。 |
| 制品签名与完整性验证 | - | Artifact Signing & Integrity Verification | 保障软件制品从构建到部署不被篡改。 对二进制文件、容器镜像、软件包等制品进行数字签名,并在分发和部署环节验证签名与完整性,防御分发阶段的恶意篡改。 |
| 渗透测试 | PT | Penetration Testing | 以攻击者视角验证防御有效性。 由安全人员模拟真实攻击手法对系统进行授权测试,发现自动化工具难以覆盖的业务逻辑漏洞和组合攻击路径。 |
| 供应商安全风险管理 | TPRM | Third-Party Risk Management | 管控供应链上游引入的安全风险。 对软件供应商及第三方服务商的安全能力进行准入评估、持续监测和退出管理,应对供应关系类威胁。 |
| Web 应用防火墙 | WAF | Web Application Firewall | 提供边界防护,抵御常见 Web 攻击。 在 Web 应用前端部署,检测并阻止如 SQL 注入、XSS、恶意爬虫等常见攻击流量,也可提供虚拟补丁和基本的访问控制。 |
| 运行时应用自我保护 | RASP | Runtime Application Self-Protection | 在应用内部实现精准、实时的防护。 集成到应用或其运行时环境,利用对应用上下文的理解,实时监控并阻止恶意行为或漏洞利用尝试,理论上能提供更精准的防护和更低的误报。 |
云与基础设施安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 基础设施即代码扫描 | IaC | Infrastructure as Code Scan | 保障云环境和自动化部署的安全。 分析用于定义基础设施的配置文件(Terraform, CloudFormation 等),发现可能导致安全风险的配置错误(如暴露端口、弱权限设置)。 |
| 容器镜像安全扫描 | CISS | Container Image Security Scan | 确保容器化应用的基础安全。 扫描容器镜像,检测操作系统包、系统库和嵌入的应用依赖中已知的安全漏洞 (CVEs),以及不安全的配置。 |
| 云安全态势管理 | CSPM | Cloud Security Posture Management | 持续发现并纠正云环境配置风险。 对多云环境的资源配置进行持续检测,识别错误配置、过度授权和违反合规基线的资源,并推动整改闭环。 |
| 云工作负载保护 | CWPP | Cloud Workload Protection Platform | 保护云上运行的工作负载。 为虚拟机、容器和无服务器等工作负载提供运行时威胁检测、行为监控与防护能力。 |
网络与边界安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 外部攻击面管理 | EASM | External Attack Surface Management | 持续发现和监控对外的暴露风险。 从攻击者视角出发,自动化、持续地发现组织所有面向互联网的数字资产(包括未知的或"影子 IT"),识别开放端口、暴露服务、已知漏洞、证书问题等潜在攻击入口。 |
| 下一代防火墙 | NGFW | Next-Generation Firewall | 提供网络边界的访问控制与威胁阻断。 在传统防火墙基础上融合应用识别、入侵防御和威胁情报联动,对进出网络的流量实施精细化控制。 |
| 入侵检测与防御 | IDPS | Intrusion Detection and Prevention System | 发现并阻断网络中的攻击行为。 基于特征与行为分析检测网络入侵活动,对确认的攻击流量进行实时告警或阻断。 |
| 网络流量检测与响应 | NDR | Network Detection and Response | 从网络流量中发现潜伏威胁。 对内网流量进行持续采集与行为分析,发现横向移动、隐蔽信道和数据外传等绕过边界防护的攻击活动。 |
| DDoS 防护 | Anti-DDoS | Anti-DDoS | 保障业务在流量攻击下的可用性。 检测并清洗分布式拒绝服务攻击流量,保障对外服务在攻击期间的连续性。 |
终端与办公网安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 主机入侵检测系统 | HIDS | Host-based Intrusion Detection System | 在操作系统层面监控和分析主机活动,以发现潜在的恶意行为或安全策略违规。 通过分析系统日志、文件完整性、进程行为和系统调用,检测并告警可疑活动,如未授权的访问、恶意软件执行或配置篡改。 |
| 端点检测与响应 | EDR | Endpoint Detection and Response | 发现并处置终端上的威胁。 持续采集终端行为数据,检测恶意进程、勒索软件和无文件攻击等威胁,支持远程调查取证与处置。 |
| 邮件安全网关 | SEG | Secure Email Gateway | 拦截以邮件为载体的攻击。 对进出邮件进行检测,拦截钓鱼邮件、恶意附件与链接、商业邮件欺诈(BEC)等威胁。钓鱼邮件是企业被入侵的主要初始途径之一。 |
| 上网安全网关 | SWG | Secure Web Gateway | 防护员工访问互联网过程中的威胁。 对办公网的 Web 访问流量进行过滤,拦截恶意网站、恶意下载和违规访问,常与数据防泄露策略联动。 |
| 网络准入控制 | NAC | Network Access Control | 控制设备接入企业网络的资格。 对接入网络的设备进行身份验证与合规检查(如补丁、防病毒状态),阻止不受信任或不合规的设备接入。 |
| 统一终端管理 | UEM | Unified Endpoint Management | 统一管理企业终端设备及其安全基线。 对台式机、笔记本和移动设备进行注册、配置、补丁与策略管理,保障终端符合企业安全基线。 |
| 安全意识培训 | - | Security Awareness Training | 降低人为因素引入的安全风险。 通过培训和钓鱼演练等方式提升全员安全意识,使员工能够识别钓鱼、社会工程等针对"人"的攻击手法。 |
身份与访问安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 身份与访问管理 | IAM | Identity and Access Management | 统一管理数字身份与访问权限。 提供身份全生命周期管理、统一认证(含多因素认证)和基于最小权限原则的授权管理。 |
| 特权访问管理 | PAM | Privileged Access Management | 管控高权限账号的使用风险。 对管理员等特权账号进行集中纳管、凭证托管、会话审计和临时授权,防止特权滥用与凭证窃取。 |
| 零信任网络访问 | ZTNA | Zero Trust Network Access | 以"永不信任、持续验证"原则控制访问。 基于身份和设备状态对每次访问请求进行动态鉴权,以应用级最小授权替代传统 VPN 的粗粒度网络接入。 |
数据安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 数据分类分级 | - | Data Classification | 明确数据保护的对象和优先级。 识别企业数据资产并按敏感程度和业务重要性进行分类分级,是数据安全管控措施差异化实施的基础。 |
| 数据防泄露 | DLP | Data Loss Prevention | 在数据层面识别、监控和保护敏感数据,以防止数据的未授权泄露或丢失。 通过内容感知、上下文分析和预定义的安全策略,检测并阻止敏感信息(如个人身份信息 PII、财务数据、知识产权)通过网络、端点设备或存储系统被非法外传或访问。 |
| 数据脱敏 | - | Data Masking | 降低敏感数据在使用中的暴露风险。 在开发、测试、分析等非生产场景中对敏感数据进行变形或替换,使其在保持可用性的同时不再具备敏感属性。 |
| 数据库审计 | DAM | Database Activity Monitoring | 监控数据层的访问行为。 对数据库的访问与操作进行独立审计,发现异常查询、越权访问和批量导出等风险行为。 |
| 加密与密钥管理 | KMS | Encryption and Key Management | 保障数据的机密性。 对存储和传输中的敏感数据实施加密,并对密钥的生成、分发、轮换和销毁进行全生命周期管理。 |
| 备份与恢复 | - | Backup and Recovery | 保障数据和业务在破坏性事件后可恢复。 对关键数据与系统进行定期备份、隔离保护和恢复演练,是抵御勒索软件等破坏性攻击的最后防线。 |
| 个人信息保护合规 | - | Privacy Compliance | 满足个人信息保护的法定义务。 建立个人信息处理活动的合规管理,包括告知同意、个人信息保护影响评估(PIA)、出境合规等,满足《个人信息保护法》等法规要求。 |
安全运营
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| 安全资产测绘与管理 | CAASM | Cyber Asset Attack Surface Management | 建立完整准确的资产清单。 整合内外部数据源,持续发现和盘点企业全量资产(可对照企业安全资产分类体系 ESAT 开展),消除"看不见的资产"带来的防护盲区,是各项安全能力有效覆盖的前提。 |
| 安全信息与事件管理 | SIEM | Security Information and Event Management | 集中分析安全日志与事件。 汇聚各类安全设备与系统的日志,通过关联分析发现攻击线索,是安全运营的核心分析平台。 |
| 安全编排与自动化响应 | SOAR | Security Orchestration, Automation and Response | 提升安全事件的响应效率。 将告警分诊与处置流程编排为自动化剧本,缩短从发现到处置的响应时间。 |
| 漏洞管理 | VM | Vulnerability Management | 发现并闭环处置已知漏洞。 对主机、网络设备和应用进行周期性漏洞扫描,结合资产重要性与漏洞情报进行修复优先级排序,并跟踪修复闭环。 |
| 漏洞情报 | VI | Vulnerability Intelligence | 提升风险识别和响应的精准性与时效性。 利用高质量的漏洞情报来增强对软件资产的风险评估。 |
| 威胁情报 | TI | Threat Intelligence | 掌握攻击者动态,提升防御前瞻性。 收集和运用攻击者组织、攻击手法(TTPs)、失陷指标(IOC)等情报,增强检测、响应和防御决策的针对性。 |
| 应急响应 | IR | Incident Response | 有准备地处置安全事件。 建立安全事件的分级标准、响应流程与预案并组织演练,在事件发生时进行遏制、根除、恢复和复盘。 |
| 蜜罐与欺骗防御 | - | Deception | 以低误报方式发现入侵者。 在网络中部署诱饵资产与诱饵凭证,攻击者一旦触碰即产生高置信度告警,同时消耗攻击者的时间与资源。 |
AI 安全
| 安全能力名称 | 简写 | 英文 | 描述 |
|---|---|---|---|
| AI 应用安全防护 | - | AI Application Security | 保护 AI 应用与智能体的安全运行。 覆盖提示词注入检测与拦截、模型文件安全扫描、智能体扩展(Agent Skill、MCP 服务)的准入审查,以及 AI 资产清单(AI-BOM)管理,应对 AI 时代的新型威胁。 |
| 模型安全评测 | - | AI Model Security Evaluation | 上线前验证模型的安全性。 通过对抗性测试与红队评测,评估模型在提示词注入、越狱、有害内容生成、训练数据泄露等方面的风险,满足生成式 AI 服务上线前安全评估的监管要求。 |