一、引子

月圆之夜，紫禁之巅，一剑西来，天外飞仙。

—《陆小凤传奇》

寥寥16字，融合了时间、地点、人物和事件，带着画面感，将一副生动的场景投入我们脑海，仿佛剑神西门吹雪与白云城主叶孤城的惊世一战就在眼前。

二、场景化

近年来，场景概念逐步深入人心，场景化学习、场景化设计、场景化营销等等，不一而足。但场景究竟是什么？

场景是影视语言，本意为戏剧、电影中的场面。一般指在特定时间、空间内发生的行动，或者因人物关系构成的具体生动画面，无数连续的场景组成了完整的故事。

从广义角度看，场景一词可以概括为特定环境下发生的人类行为，包含时间、地点、人物、事件关系、目的等要素。主要的构成因素是“时间+空间+事件（人物、关系、目的、过程、结果等构成当下事件）”。

回到安全行业，场景化安全方案也是一个热词，几乎“言必称场景”。结合场景概念，场景化的安全方案应该具备如下特点：

1.  特定时间：当前或可预期的未来时间内；

2.  特定空间：特定的物理环境、网络环境、计算环境等；

3.  特定人物：特定的主客体或不特定的攻击者；

4.  事件：访问行为发生（前、中、后）。

就是综合客户实际情况定制的安全方案，以符合客户的个性化需求。

由于各类限定条件的存在，场景化无疑是高度离散化、碎片化的，需要更高维度的能力来统筹，例如影视中的剧本和导演意志。绝对意义上的场景化方案可移植性会很差，出于综合成本考虑，通常的场景化方案，基本是局部的行业安全方案或者专项的业务安全方案，这类方案基于特定行业/业务场景的共性提取，普适性增强，但离散化本质未变，因而并非全局性、整体性的方案。

三、安全能力

安全能力也是行业内热度较高的词儿，属于另一个“言必称”，毕竟当下，单说安全产品、安全服务、乃至安全方案都显得“BIG”不够。但什么是安全能力？我们先格一下能力。

能力是完成一项目标或者任务所体现出来的综合素质，是对自然探索、认知、改造水平的度量。

安全能力呢？以攻防视角整体来看，安全能力即保障网络免受侵入、干扰和破坏水平的度量。

能力总是和实践联系在一起，离开了具体实践，既不能表现能力，也不能发展能力。实践又必然处于某个/类特定的时空环境下，所以能力也是场景化的。安全能力基于特定的安全场景，因此也是离散化、碎片化的，需要体系化统筹建设。

抛开具体的安全能力类型，如识别、检测、防护、响应、恢复等，探究安全能力的通用属性，至少有以下四个特点：

1.  可评估，“是骡子是马，拉出来遛遛”，这是安全能力的基本属性，评估的方法不能脱离具体实践。可参考美国C2M2、CMMC等网络安全能力成熟度模型，国内的DSMM数据安全能力成熟度模型等。

2.  可进化，能力可持续提升，弹性应对动态风险，评估则是促进能力提升的基础。

3.  可融合，在统一调度下，通过API或GUI接口与其他能力按需整合。

4.  即时性，可按需随时调用。偶尔能用偶尔不能用、能用但需要花费时间才能生效，都不能说是好的能力。

总体来说，安全能力是在运营者场景要素（时间+空间+实践）影响下呈现出来的网络防护状态，反映深层感知和应对风险的水平，相对稳定。同种安全能力可以有不同的实现方式，防护水平一致即可。

四、能力运营

厂商的安全能力与运营者的安全能力不同。厂商的安全产品、安全服务是自身能力（确切地讲是功能）有形或无形的载体，并不意味着获得这些载体的运营者可以拥有相同甚至相近的安全能力。这方面例证很多，大多数安全产品在厂商的产品研发部门手中、厂商的安全服务团队手中、运营者手中，能起到的作用，即表现出的能力相差巨大，功能越复杂的产品越是如此。

而安全能力建设最终应该是面向运营者的，如何通过实践，有效吸收、转化厂商的安全能力，体系化培育和构建运营者的安全能力，是网络安全建设的难点和重中之重。

在内、外因素的共同驱动下，能力建设的最终目标是形成统筹能力的能力。确定的场景、确定的能力组成以及两者之间的关联关系，决定了能力的整体性。如何在确定的场景下，协调与控制不同类型、不同层级的能力，确保能力不断发展融合，在整体上形成各组成能力所没有的性质，达成安全防护效率的极大提升，这是能力提升的内在逻辑。

网络安全的本质，归根结底还是人与人之间的对抗，所有的工具，只是提升了效率。所以，从整个安全产业生态角度辩证地看：

产品是最好的能力，也是最差的能力；

服务是最差的能力，也是最好的能力。

单纯的安全产品和安全服务的能力转化率差强人意，而将技术（产品）、服务（人员）、规程（实践）有机融合的安全运营，尤其自动化、智能化安全运营，成为安全能力提升的一个可期待方向。由此，一条可能的进化之路如下：

1.  安全基础设施-产品-安全控制措施成熟度（技防）；

2.  安全基础服务-人员-网络安全实践成熟度（人防）；

3.  网络安全运营-综合-安全运营规程成熟度（SOAR）；

4.  安全能力共享-综合-整体协调联动成熟度（IACD）。