高质量安全数据集：从原始日志到安全业务的战略资产

前言

高质量安全数据集建设是一个结硬寨，打呆仗的过程

当前，数字化安全领域正经历一场深刻的范式变革。智能安全、数据驱动安全、AI赋能安全已成为行业发展的核心趋势。无论是安全行业的产品演进，还是数字化组织安全部门的建设方向，都指向同一个命题：如何让安全数据真正成为驱动决策、赋能运营、支撑实战的核心战略资产。

然而，当我们走进真实的数字化组织，看到的却是另一番景象。

每天，数以百万、千万计的安全原始日志从防火墙、终端、服务器、云平台、网络探针中喷涌而出。这些数据以不同的格式、通过不同的协议、带着不同的质量涌入企业的数据平台。安全运营人员面对的是浩如烟海的告警、杂乱无章的字段、难以追溯的上下文，以及永远无法对齐的时间戳。数据湖变成了数据沼泽，数据仓库变成了数据坟场。

这不仅是技术的困境，更是安全管理的困境、安全战略的困境。

安全决策层希望一眼洞察数字化组织的风险态势，一键下达指挥指令，让安全投入可衡量、可评估、可优化。但在现实中，他们面对的是底数不清的能力清单、状态不明的防护体系、效果难评的投入产出。

安全管理层希望组织好各领域的安全工作，让安全策略可落地、安全流程可执行、安全责任可追溯。但在现实中，他们陷入的是多系统切换的繁重操作、多源数据的反复核验、跨部门协同的沟通成本。

安全技术层和运营层希望安全数据不再是数据湖里的一盲数据、死数据、僵尸数据，而是成为能够看见威胁、洞见本质、预见风险的高水平利器。但在现实中，他们被困在海量告警的淹没中、被缚在低价值重复劳动中、被阻在缺乏高质量数据的分析瓶颈中。

这背后，是一个共同的、亟待破解的根本性问题：如何将海量、异构、低质的原始安全日志，治理成为高质量、可信、可用的战略数据资产？

这正是本文系列试图回答的核心命题。

作为长期深耕安全行业、深度参与多个行业领域（能源、电力、金融、交通、数字政府等）安全工程建设的一线从业者，我们亲历了从买产品到建体系的转型，见证了从重设备到重数据的跃迁，也深刻体会了从有数据到用好数据的艰辛。

在过去九年的实践中，基于“质由新生，信仰共造”的理念，参考“613N实践方法论”的探索与落地，累计完成了数百个安全能力的对接、数十类安全产品的数据治理、多个行业头部组织的数据底座建设。我们经历了从4280个字段到1074个字段再到1309个字段的EDR数据治理全过程，见证了一个厂商的告警字段从8个到83个的差异悬殊，也深刻理解了“数据治理不是技术问题，而是业务认知问题这一朴素却关键的真理，高质量安全数据集建设是一个结硬寨，打呆仗的过程，基本没有捷径可言。

在这个过程中，我们逐渐形成了一套关于“高质量安全数据集”的认知框架和实践方法：

我们认识到，安全数据工程是整个数字化安全、智能化安全体系的根基。没有稳固的底座，安全业务逻辑将成为无源之水，安全能力建设将陷入有架构无数据、有流程无支撑的困境，安全智能基本就是垃圾数据高效能运转器。

我们明确了，安全资源数据化是安全数据工程的核心使命。它要将分散的、异构的、孤立的安全能力统一纳管，转化为标准化、可复用的数据资产。

我们探索出，安全数据治理不能一刀切。不同规模的组织、不同层级的角色、不同场景的需求，决定了治理路径的差异化选择。对于特大型组织，数据湖可能是必需的；对于大中型组织，可信数据集才是核心；对于中小型组织，即插即用的场景化数据产品才是最优解。

我们建议，安全数据公共基础库作为数据资产化的核心载体。分析识别基础库、资产关联库、安全风险库、安全能力库、IP信息库、ID信息库、安全日志库、供应链安全管理库、数据要素底账信息库、安全知识语料库，共同构成了支撑上层安全应用的“数据底座”。

我们验证了，高质量数据集的最终价值在于赋能业务。无论是安全指挥决策的宏观态势感知，还是安全管理的中观策略优化，抑或安全技术运营的微观威胁狩猎，都离不开稳定、可靠、标准化的数据支撑。正是基于这些认知和实践，我们推出了本系列文章。

系列第一篇：《高质量安全数据集 ‖ 从原始日志到安全业务的战略资产》

这一篇将聚焦安全数据底座工程的定位、定义与核心价值。我们将阐述为什么安全数据治理是数字化安全工程的基石，如何通过安全数据底座工程破解管理、互通、数据三大共性困境，以及五大任务如何构成从资源混沌到智慧应用的完整价值实现路径。

系列第二篇：《高质量安全数据集 ‖ 实现安全数据治理的路径与核心任务》

这一篇将深入数据治理的核心环节。我们将揭示基础安全数据源识别与收集的关键要点，阐述数据治理路径选择的三大核心原则，通过EDR治理全过程的真实案例展示从4280个字段到27类数据子集的价值提炼路径，并以五类安全能力的横向对比，直观呈现不同厂商产品在数据供给层面的真实差异。

系列第三篇：《高质量安全数据集 ‖ 构建企业级数字化安全数据基础设施》

这一篇将系统介绍安全公共基础库的定位、功能与价值。我们将逐一解析分析识别库、资产关联库、安全风险库、安全能力库、IP信息库、ID信息库、安全日志库、供应链安全管理库、数据要素底账信息库、安全知识语料库的核心内涵，并展示它们如何赋能安全指挥决策、安全管理、安全技术运营三大核心业务场景。

当下，智能安全正从概念走向实践，AI赋能安全从愿景走向现实。但无论技术如何演进，数据始终是安全的根基，质量始终是数据的前提。

高质量的原始数据是AI模型的“粮食”，没有高质量的粮食，再先进的算法也无法孕育出智能的果实。可信的安全数据集是自动化响应的“燃料”，没有稳定的燃料，再完善的剧本也无法自动执行。标准化的数据资产是协同联动的“语言”，没有统一的语言，再强大的能力也无法形成合力。这既是挑战，也是机遇。

我们希望通过这一系列文章，与行业同仁分享我们在实践中的思考、探索与教训，为正在或即将踏上安全数据治理之路的数字化组织提供一些可参考的路径、可复用的方法和可落地的方案。从原始日志到战略资产，这条路并不平坦，但每一步都值得。

期待与您共同探索，共同实践，共同见证安全数据治理的价值绽放。

欢迎关注本系列文章，让我们一同构建数字化、智能化安全的坚实底座。

安全数据底座工程是整个数字化安全的前提和基础

没有稳固的安全数据底座整个数字化安全工程将成为无源之水，陷入有业务逻辑，无数据支撑的困境。在这一复杂而多维的体系中，安全数据底座工程肩负着安全资源数据化的核心使命，是整个体系的安全业务数据基石与安全能力基座。它不仅为框架工程中精心设计的业务流程和管理要素提供赖以生存的土壤，更是、效能工程实现自动化和智能化的数据引擎。一个强大的安全数据底座工程，确保了从数据到决策的通道畅通无阻，是驱动整个数字化安全工程有效运作的根本前提。

本文将系统阐述安全数据底座工程的定位、定义与核心价值，详细介绍为框架工程、效能工程、评价工程和协同工程提供源源不断的高质量数据燃料，并封装可复用的安全能力。通过具象化展示安全数据底座工程在统一纳管、数据治理与模型固化方面的实践路径，展现其如何为各子工程提供坚实基础，最终通过数据驱动高效能安全体系从孤立分散走向生态协同。同时还将深入探讨安全数据底座工程的参考标准、方法论与行业最佳实践，为构建稳健可靠的数字化安全基座提供全面指导。

安全数据底座工程的定位、定义与核心价值

安全资源数据化的载体

安全数据底座工程在数字化安全工程中处于基础性地位，是连接基础层安全能力及相关资源服务上层业务应用的关键载体，它承担着将各类异构安全能力统一纳管后，将安全能力数据转化为标准化、可复用数据资产的重要使命，从横向维度看，安全数据底座工程跨越网络安全能力、数据安全能力、应用安全能力、终端安全能力、开发安全等多个安全能力领域，实现对分散安全能力及资源的统一整合，从纵向维度看，它贯穿安全数据采集、处理、分析到服务的全价值链，构建完整的高质量特定数据集供给安全业务体系。

在数字化组织日益复杂的安全环境下，各类安全设备、系统产生的数据呈现爆炸式增长，但普遍存在格式不一致、接口不统一、质量参差不齐等问题。安全数据底座工程通过建立标准化的数据治理体系和服务化的能力供给模式，有效解决了安全资源的数用分离难题既确保数据生产与使用的相对独立，又实现二者的有机统一，为上层应用提供稳定可靠的数据支撑。只有当安全数据底座工程提供高质量、准确、全面的数据来源时，数字化安全工程的各个环节才能实现有效运作，否则就会导致业务流程设计成为空中楼阁，关键要素管理缺乏可靠依据的尴尬局面。

安全能力服务化的枢纽

安全数据底座工程可定义为通过系统化的若干公共基础库技术平台、安全数据规范和安全业务管理流程，将分散的安全工具、异构的安全数据、离散的安全分析逻辑进行统一整合、治理与封装，形成集中、有序、可编排、可调用的安全基础设施的工程实践，其核心特征体现在能力标准化，通过API化、服务化的技术路径，将防火墙、WAF、NDR、EDR等各类安全设备的控制能力进行统一封装，形成微服务化的安全能力组件。实现了安全能力运行可视、数据出入可监、实时状态可控。通过建立统一的数据模型和治理规范，对多源异构[47][48]的安全数据进行标准化处理，数据格式标准化，解决不同系统间日志格式差异，数据语义标准化，统一字段定义和枚举值，数据质量标准化，确保数据的准确性、完整性和一致性。这种标准化使得原本杂乱无章的原始数据转化为高质量、可信的数据资产。通过一定规则接口和服务门户形成可复用的安全能力。成为安全能力与数据服务的核心枢纽，实现了安全资源从离散到集中、从无序到有序的管理飞跃。

安全运营高效化的基础

安全数据底座工程的核心价值体现在对数字化组织长期面临的管理、互通、数据三大共性问题的系统性解决。

破解管理之困，实现安全能力的可视、可管、可评，通过统一的能力纳管和全景视图，安全数据底座工程使安全决策者能够基于准确数据做出科学的投资决策，避免盲目采购和重复建设，使安全管理者能够实时掌握各类安全能力的运行状态和使用效果，实现精细化管理，使安全运营人员从繁重的多系统切换中解放出来，聚焦于高价值的分析研判工作。具体而言，安全数据底座工程通过建立统一的能力目录、实现全生命周期监控、构建效能评估体系，彻底改变了低效能安全能力底数不清、状态不明、效果难评的困境。

破解互通之困，实现安全生态的即插即用、协同联动，通过生态闪接机制和标准化接口，安全数据底座工程打破了不同安全产品之间的技术壁垒，解决了安全产业呼吁十余年却始终未能突破的互联互通难题。建立的统一产品分类和接口规范，为安全产业的生态化协作奠定了技术基础。这种互通不仅体现在技术层面的接口对接，更体现在业务层面的能力协同，使得不同厂商、不同类型的安全能力能够围绕特定安全场景形成有机整体，发挥协同效应。

破解数据之困，实现数据价值的优质供给、充分释放，通过全链路的数据治理流程，安全数据底座工程将原始、杂乱的安全数据转化为高质量、可信的数据资产。基于精而细策略构建的安全数据集，有效解决了数据质量参差不齐、数据孤岛林立、数据价值难以挖掘等长期痛点。这种数据治理不是简单的技术处理，而是涵盖数据战略、数据标准、数据质量[49]、数据架构的全方位体系化建设，确保数据能够真正成为驱动安全运营的核心生产要素。

安全数据底座的主要任务与逻辑框架

安全数据底座工程的主要任务是一个将各类安全能力、安全设备、IT资源等相关资源转化为可信高质量的、支撑处理和分析的数据形式的系统性工作，这个过程通常包括以下几个关键任务和步骤。

任务一：安全能力的统一纳管

主要为解决数字化组织中大量购买的安全能力底账不清、分散异构、应用不足的问题，实现各类安全能力的集中管理与可视化呈现，一方面支撑决策者依据全局数据制定投资策略，抑制盲目采购与资源浪费，另一方面赋能管理者动态掌握安全能力运行状况及效果，推动管理向精细化转型。

任务二：基础安全数据源识别与收集

主要为解决数字化组织中垃圾、重复、无效安全数据源问题，实现精准识别可数据化的安全资源范围，这可能包括资产测绘、CMDB、资产管理、网络全流量数据、NDR、EDR、HIDS、主机系统日志、WAF、攻击溯源、邮件溯源、上网用户行为记录、网络审计、终端管理等安全设备的警报信息、漏洞扫描报告、IAM、堡垒机等，然后进行多种方式数据采集与预处理，将原始数据进行文档识别、接口识别、实景验证后，去除重复、错误或不完整的数据，进行数据格式的统一和标准化，使其能够在后续处理中易于使用。

任务三：安全数据治理实现路径选择

主要为解决不同视角分歧导致的数据治理工程线路选择问题，实现真实可落地的高质量构建可信数据集的治理方法，避免就数据治理而数据治理的僵化处理，更不能不考虑业务需求一股脑将数据汇聚入湖浪费存储和计算资源，例如，同样的数字化组织的业务与资产，不同的财务视角、IT服务视角和安全视角和业务场景，导致实现路线的选择必须具有高度的针对性和策略性，同样的资产管理问题有重合的部分，但关注点和数据粒度完全不同。

任务四：形成高质量安全数据公共基础库

主要为解决脏数据、僵尸数据和不可信、不动态、不实时的数据问题，实现支撑数字化组织安全业务场景的公共安全数据基础库，通过构建可复用的数据与能力组件形成全面、统一的可信的高质量公共安全数据基础库，如资产基础库、安全风险库、安全能力库、IP信息库、ID信息库、安全日志库、供应链安全库、数据要素底账库、安全知识语料库等，确保数据的完整、可信、高效访问和实时闭环。

任务五：公共基础库支撑上层安全应用

主要为解决数据灵活与安全业务应用对接不及时、不准确的问题，实现安全数据公共基础库数据价值赋能于具体业务。包含安全指挥决策核心业务场景、安全管理核心业务场景、安全技术及运营核心业务场景，在安全业务场景中开展数据分析与建模，运用数据分析技术，如统计分析、关联分析等，挖掘数据中的潜在模式和关系，建立数据模型，如预测模型、风险评估模型等，形成可信数据集，以更好地理解和预测安全态势。

安全数据底座工程以安全资源数据化为使命，对各类能力及探针上采集的基础数据源进行数据治理，形成高质量数据集，打造资产关联库、安全风险库等公共基础库，服务于业务职能与场景，助力安全业务目标的实现。安全资源数据化-安全数据底座工程实现逻辑架构如图所示。

五大任务共同构成了一条从资源混沌到智慧应用的价值实现路径，核心逻辑为先理清对象，再规范数据，继而治理成库，最终赋能业务。其中任务一是将分散、异构的安全能力从黑盒变为白盒，为任务二提供了最基础的数据源清单和目标范围。任务二依据任务一的成果定向地从各类安全能力和IT资源中采集原始数据，确保输入系统的不是垃圾，而是经过初步筛选的矿石，产出的标准化数据是任务三和任务四的加工原料，任务三解决的是如何高效、经济地加工这些数据的问题，基于任务二提供的数据特性和最终任务五的业务场景需求，来选择最合适的实现路径。任务四按照任务三选择的路径和方法，对任务二收集的数据进行深度治理、关联、整合，形成一系列主题明确、质量过硬的公共数据产品（如资产库、风险库），这些库直接为任务五的上层应用提供弹药。任务五消费和使用任务四产生的公共基础库直接赋能安全指挥、管理、运营三大核心领域，业务场景中产生的新数据和需求，又会反向驱动前面任务的优化。

敬请期待第二篇：《高质量安全数据集 || 实现安全数据治理的路径与核心任务》！

声明：本文来自PCSA智御未来，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。