随着数字世界的临近，数字安全能力体系从建设阶段向运营阶段过渡，安全运营的效果开始成为用户关心的核心问题，即从“有没有”到“行不行”，再到“好不好”。因此，对安全能力的评估与验证成为国内安全从业者——特别是安全运营人员——越来越多讨论的话题。这一现象背后，首先有政策的因素，例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中；其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平，用户自身的安全评估验证需求已经自然而然发展出来；第三，这也与国际局势的变化直接相关，国家级 APT 威胁使得“安全”二字提升到了“网络战”的高度，攻击之前自我评估，威胁之侧持续评估，成为了实战化需求下安全运营的必修课。在这样的背景下，近几年国内出现了多家专门满足这一需求的初创安全企业，不少传统综合安全大厂也内部蕴育出了相关的产线能力，业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。然而，话题热度之后更加应当看清的是，目前国内的安全建设水平仍然有明显的不均衡特点：一是区域不均衡，北上广深成渝西安以及 GDP 排名较靠前的省份城市，安全建设水平相对较高；二是行业不均衡，金融、运营商、电力能源等关基行业已经走在了前面，但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度；三是即便同行业内，其头部、腰部及以下机构用户，安全能力也存在着明显的不均衡。由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来，因此这一新赛道的供需双方，目前还只集中在“不均衡”发展的“头部”群体中。那么，腰部及以下的机构用户就不需要评估与验证能力吗？答案是显然的，当然需要。只不过，因为这类用户的“安全家底”本身就比较薄，因此不必像“头部”一样做得那么重，只需要标准化或最小化的评估验证能力即可。因此，无论用户规模大小，无论用户处在头部腰部甚至以下，评估与验证都不是为了给用户“找麻烦”，而是要在传统的安全能力建设之外（绝不限于设备采购、产品部署、驻场服务），使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全运营”的下限，并且持续提升这个“下限”，也就是说，将评估与验证能力与安全运营同步建设，同步提升！用持续的评估，重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。鉴于此，数世咨询撰写本报告，希望能抛砖引玉，对这一领域的产业现状做出初步调研与阐述。