构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 团队作战，各人才分工明确高效 人员 武器 资金 情报 人员 武器 天时 地理 ü 大量0day漏洞储备 ü 专业攻防协作平台及工具集 ü 多团队投入，形成A/B多联队 ü 外网专家储备 ü 精良部队，各单位优秀渗透人员 ü 团队作战，分工专业 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 ✗ 缺乏云服务、员工社工钓鱼风险发现能力 ü 持久战，随意选择攻击时间、以逸待劳 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 黑白交替、拉锯战容易导致身心俱疲

但单阶段博弈模型只考虑了攻防过程中各种随机因素稳 定不变的情况,并不符合真实网络攻防情景[５５]. ②多阶段博弈指所有参与者可以在多个阶段进行决策, 根据其他参与者的决策及时调整策略,每个阶段的决策都可 能影响后续阶段的决策和收益.参与者之间进行相互博弈, 力求自身收益最大化.多阶段博弈模型考虑了长期攻防对抗 中,攻防策略改变等随机因素的影响,扩大了移动目标防御机 制在攻防场景下的适用范围. Chen等根据攻防具有多阶段多状态的特性,提出一种移 动目标 Markov信号博弈模型,引 入 贝 叶 斯 决 策 重 新 量 化 双 方收益,加强高权重阶段中防御策略的制定[５６]. ２)根据博弈时间性分类 ①基于离散时间的博弈指在博弈过程中时间被离散化为 一系列固定的时间点,所有参与者必须在指定的时间点进行 决策. Lei等将 MTD 对抗过程看作离散时间序列上的多阶段 动态事件 弈 模 型 的 移 动 目 标 防 御 系统,将攻防行为转化为攻击面和探测面的变化,提高了模型 的通用性[５７]. ②基于连续时间的博弈指在博弈过程中时间是连续的而 不是离散的,所有参与者可以在任何的时间点进行决策. Huang等根据当前网络攻防过程中连续化、动态化的特 点与传统博弈模型下时间离散、多阶段攻防的特性不同,提出 一种网络攻防定性微分博弈模型,引入多维空间欧氏距离评 估威胁程度

网的 全链条风险、全生命周期的动态隐患也愈发突出，传统被动防护模式已无法应对。 为此，本白皮书锚定不起火、不爆炸、不扩散、不伤人目标，系统提出 “全 架构安全设计、全链路数字化防护、全场景主动攻防、全维度安全量化、全周期 安全管理体系” 五大核心理念，构建系统性安全解决方案。期望凝聚全球行业共识， 推动储能产业从 “规模扩张” 转向 “安全提质”，为清洁低碳的全球能源新秩序 筑牢根基。 营销和服务领域安全管理体系 6.6 安全治理 5.1 储能安全攻防测试理念 5.2 储能安全攻防测试 7.1 储能系统安全风险地图 7.2 储能安全量化评估模型 7.3 储能安全量化评估模型应用 13 13 15 15 16 16 10 11 18 18 19 20 储能全周期安全管理体系 储能安全攻防测试体系 储能安全量化评估体系 12 10 17 05 与冗余设计，实现从芯到网无断点防护。 全链路数字化防护：数字化贯穿全生命周期，联动五级架构数据，构建 “采集 - 分析 - 预警 - 优化” 管控链， 推动安全管理从事后补救转向事前预判。 全场景主动攻防：紧扣多元应用场景，引入 TTF/WST 攻防逻辑，模拟极端工况测试，以攻促防、优化设计，锻 造场景适配韧性。 全周期安全管理体系：构建端到端体系，贯通需求到价值与战略到执行双闭环，覆盖全业务环节，为安全落地提 供体系化支撑。

网的 全链条风险、全生命周期的动态隐患也愈发突出，传统被动防护模式已无法应对。 为此，本白皮书锚定不起火、不爆炸、不扩散、不伤人目标，系统提出 “全 架构安全设计、全链路数字化防护、全场景主动攻防、全维度安全量化、全周期 安全管理体系” 五大核心理念，构建系统性安全解决方案。期望凝聚全球行业共识， 推动储能产业从 “规模扩张” 转向 “安全提质”，为清洁低碳的全球能源新秩序 筑牢根基。 营销和服务领域安全管理体系 6.6 安全治理 5.1 储能安全攻防测试理念 5.2 储能安全攻防测试 7.1 储能系统安全风险地图 7.2 储能安全量化评估模型 7.3 储能安全量化评估模型应用 13 13 15 15 16 16 10 11 18 18 19 20 储能全周期安全管理体系 储能安全攻防测试体系 储能安全量化评估体系 12 10 17 05 与冗余设计，实现从芯到网无断点防护。 全链路数字化防护：数字化贯穿全生命周期，联动五级架构数据，构建 “采集 - 分析 - 预警 - 优化” 管控链， 推动安全管理从事后补救转向事前预判。 全场景主动攻防：紧扣多元应用场景，引入 TTF/WST 攻防逻辑，模拟极端工况测试，以攻促防、优化设计，锻 造场景适配韧性。 全周期安全管理体系：构建端到端体系，贯通需求到价值与战略到执行双闭环，覆盖全业务环节，为安全落地提 供体系化支撑。

079 2026年我国网络安全发展形势展望 【内容提要】 展望2026年，网络空间多边治理与大国博弈将深度交织，网络安全产 业迈入高质量增长新阶段，AI智能体成为攻防对抗核心引擎，算网融合安全防护体系加速 成型，量子安全过渡进入规模化落地期；同时，地缘政治驱动的网络对抗加剧、产业内生 动力不足、AI智能体安全风险凸显、新兴技术融合带来全新挑战、数字化转型对防护能力 提出更高要求等问题仍需高度 全投入。 （三）AI智能体重塑网络安全攻防生态 2025年，AI智能体在网络安全领域实现规模化落地，成为攻防对抗 的核心载体，推动安全体系从被动防御向主动预判转型。一方面，AI智 能体的技术成熟度显著提升，具备自主任务规划、多源数据融合分析及 动态决策能力的专用智能体，在金融、能源、政务等关键行业的部署率 提升；另一方面，AI智能体的应用呈现攻防双向渗透的特征，黑客利用 开源大模型快 展望2026年，AI智能体将进入安全可控、协同共生的发展新阶段， 成为网络安全产业创新的核心引擎。一是技术体系向“可信智能”升 级，联邦学习、可解释AI（XAI）等技术大规模应用，推动智能体误判 率显著下降。二是攻防对抗进入智能体博弈时代，攻防双方将围绕智能 084 中国工业和信息化 发展形势展望系列 体展开技术竞赛：防御端，多智能体协同防御体系广泛落地，通过分工 协作实现威胁预警、攻击拦截、溯源反制的全流程闭环；攻击端，AI生

IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 里，一 直专注于网络安全产品与服务领域。以创新研发和实战攻防为核心，致力于探索网络安全的最 新前沿方向。 在科研成果方面，累计获得了福建省、市科学技术进步奖 8 项；发明专利授权 10 项；拥 有软件著作权 100 多项。海峡信息独立承担的福建省高新技术重点项目、火炬计划项目及福建 省重大招标项目。所有产品均以创新研发和实战攻防为核心，构建了一个基于主动防御、动态 防御、精准防护、整体

效的漏洞补丁管理、统一的软件管理，及时进行系统加固，达到收缩暴露面、 40 网络安全专用产品指南 第二版（下册） 40 “强身健体”的目的。 ◎威胁防御与检测 集成多个防护引擎，再结合奇安信强大的攻防研究能力及丰富的规则库储备及生产能力， 实现对可疑行 为、已知病毒、未知病毒和各类攻击的实时拦截、高效检测、准确定位、完整溯 源，并有效防御针对停服系 统的漏洞利用攻击，确保终端始终安全。 ◎终端管控与审计 功能特点 ◎勒索挖矿防护 挖矿木马和勒索病毒的肆虐，对终端资源的榨取已经到了无以复加的地步。如何有效守护 合法拥有的计算资源、数据资源，是广大政企用户必须要重视的问题。终端作为网络攻防的主 战场，将持续聚焦攻防视角下的端点安全防护痛点与难点，围绕构建有效的查、杀、防体系， 坚强守护端点安全防线，提供动态化、持续化、高效化的安全防护能力。 ◎高级威胁检测与响应（EDR） 如今的网络威胁已 谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和代表处，深入开展全球业务。 绿盟科技高度重视安全研究和技术创新，致力于跟踪国内外最新网络安全攻防技术，星云、格 物、伏影、天机、天枢、天元、平行、威胁情报八大实验室，分别专注于云安全、物联网安全、 威胁感知与监测、漏洞挖掘与利用、数据智能、新型攻防对抗、网络空间安全战略、威胁情报 八个领域，在基础安全研究和前沿安全领域进行积极的探索。基于多年的安全研究，绿盟科技

阿里云在 AI 基础设施建设中，采用“内部红蓝对抗 + 外部多方校验”的双重机制， 确保安全能力在实战中持续有效。 ● 内部红蓝对抗。阿里云建立了常态化的红蓝对抗机制，其中蓝军团队持续研究前 沿攻防技术，以接近真实 APT 组织的攻击强度，对包括模型训练推理平台、GPU 容 器等在内的各类 AI 基础设施产品发起模拟渗透测试。通过高强度、高频次的实战演练， 发现潜在漏洞并推动快速修复，不断提升系统的抗攻击能力。 3.1 输入与输出内容安全 AI 安全护栏的核心职责是保障模型交互内容的安全性与合规性，通过一套分层且可定 制的策略，有效应对提示词注入和多模态内容风险。 ● 提示词注入攻击防御：内置了经过大量攻防样本训练的检测模型，能够精准识别 和拦截“越狱”、“角色扮演”等直接注入攻击。同时，能对输入数据源进行扫描， 剥离和清洗其中潜藏的、针对模型的间接注入指令。避免大模型在重要领域被误导， 产生决策失误。 其所依赖的阿里云基础设施，久经世界级的实战攻防考验，其安全水位与攻防技术水 位已在全球范围内得到了验证与认可。阿里云百炼的安全能力建立在这一坚实基础之 上，除了延续过往的安全高要求之外，还基于服务千行百业的 MaaS 客户实践，针对 4 构建可验证的信任：阿里云百炼的安全承 诺与未来愿景 MaaS 场景特定的安全风险，扩展实施了一系列安全加固，并持续性地接受实战级的 攻防检验； ● 权威的第三方

需要的信息。  情报处理。实现高效的信息提取、理解和生成，适用于多种格式和复杂内容的处理，显著提升文 档处理的智能化水平。  钓鱼邮件生成。根据钓鱼邮件主题，自动生成对应内容钓鱼邮件，满足攻防演练需求。  威胁检测。通过结合 AI 技术，进行威胁检测。例如引入视觉神经网络来替代传统的钓鱼监测、挖 矿监测。  自动生成报告。快速生成事件报告。  推荐剧本。在安全分析研判之后，推荐可以进行处置的剧本。 NGSOC 平台紧密结合，实现数据共 享、能力互补，其 QAX-GPT 安全机器人更是将大模型技术应用于威胁分析、事件调查和响应决策支持。 碳泽注重安全运营流程的自动化，通过自主研发的 SOAR 平台实现攻防两端的场景剧本自动化，并集成 AI 驱动的异常检测模型。 通过响应流程剧本化满足智能处置各类安全事件的需求，利用自主研发的 SOAR 安全自动化编排平台实 60 第五章 国内外 ISOC 发展现状 向发展。各厂商基于自身的技术积累、产品优势和对客户需求的理解，纷纷推出各具特色的 AI 创新应用，呈现 出百花齐放的态势。 AI 应用的广泛度和成熟度 各厂商结合自身优势，在安全运营的各细分领域进行 AI 应用的创新。 现攻防两端的场景剧本自动化，并通过集成了 AI 驱动的异常检测模型实现全链路威胁检测。 神州泰岳强调多源异构安全数据的自动化融合，构建全面的安全数据中心，并利用其 Ultra-SOAR 平台整合安全要

慧城市、智慧医疗等生命线，却也可能因一次“脑梗”让整个系统停摆。 下面是从公开媒体报道的几类数据中心重大事故，可以让我们理解数据中心安全稳定运行面临的巨大挑战： 从物理空间的实体防护失效，到网络攻防的动态博弈；从瞬时业务洪峰的弹性瓶颈，到软件供应链的隐蔽缺 陷。这揭示了数据中心作为数字社会的神经中枢时，必须要思考“底线生存能力”，即如何在日益复杂的运 行环境中，建立贯穿全生命周期的多维韧性体系。 接入层 应用层 数据层 硬件层 DC1 图 3 - 2 4 三 阶 段 实 现 一 键 切 换 快速恢复管理中心 韧性 DC 白皮书 51 50 一份给 CIO 规划建设数据中心的参考 智能攻防时代到来，传统安全防护体系难以为继 安全攻击技术正在经历一场高度自动化和智能化的变革，这不仅改变了攻击者的手段，也大大降低了发动复 杂攻击所需的技术门槛。 企业数据中心面临越来越多的数据泄露、勒索攻击 全焦点转向内容合规、AI完整性、隐私和数据保护 等领域。此外，企业IT基础设施的升级演进引入新 的 软 硬 件 和 生 态 ， 也 会 带 来 新 的 安 全 威 胁 。 企业IT架构转型，引入新的安全威胁 智能攻防时代，国家与行业合规要求升级 图 3 - 2 7 安 全 代 际 演 进 IT 驱动 1990-2010 万物互联 保障网络数据传输 与应用安全 大数据、云计算， 追求数据流动