每次接一个新项目,不管是等保合规、安全体系搭建,还是应急响应,事情翻来覆去就那些:定级备案、资产梳理、漏洞扫描、整改闭环……方案模板大差不差,坑也踩得差不多。换了一个客户,换了一个行业,但底层逻辑是一样的——可每次都得从零开始整理材料、打磨文档。
后来我想明白了:既然这些事要反复做,那不如把经验沉淀成可复用的工具,于是有了这批 Skill(技能包)。
什么是 Skill?
你可以把它理解为「AI 助手的专业能力库」。每个 Skill 封装了一套完整的知识体系、操作流程、交付模板,遇到对应场景时,直接调用就行。
比如客户问:「我们需要过等保二级,你帮我梳理下差距。」不用从头写,直接调用「等级保护」Skill,输出差距清单、整改优先级、测评 Checklist,一气呵成。
不是给你一个答案,是给你一套可交付的专业成果。
这批上架了什么?
这次一共 13 个 Skill 上架 SkillHub.cn,覆盖企业安全从规划到落地的全链路:
基本上,你日常能遇到的安全场景,都覆盖了。
几个我比较推荐重点关注的
这是最核心的一个,相当于整个能力库的主库。30 个知识领域、140+ 份参考文档,覆盖安全体系建设、等保合规、攻防演练、SDL、云安全、AI安全……这些内容不是从网上扒来的,是我过去 15 年踩过的坑、趟过的路,有实战案例支撑的那种。
安全制度文档生成器
等保也好、ISO 27001 也好,制度文档是最费时间的。22 份模板文档、五级文档体系,填上公司名就能用。特别适合等保测评前夕临时抱佛脚,或者给客户做方案时直接交付。
应急响应取证(ir-collect)
这个是我压箱底的工具。Linux/Windows 双平台,一键收集 15 个关键维度的排查数据。出事的时候在服务器上跑一遍,比手动翻日志快 10 倍不止。
红蓝对抗与攻防演练
护网行动年年有,但每次准备都很仓促。这个 Skill 把护网全流程(事前资产梳理→事中应急处置六步→事后复盘整改)梳理清楚了,拿来就能指导工作。
安全武器库
96 个开源安全工具,按攻击阶段分类,配好了简单的使用说明。Nmap 怎么配参数、SQLMap 哪些场景用、Metasploit 进阶操作,不用再去各个博客东拼西凑了。
怎么用?
1. 浏览器打开https://skillhub.cn/user/user_2354702d
2. 安装到你的 AI 助手(比如 QClaw)
3. 遇到对应场景,直接开口问就行
最后说几句心里话
与其躺在硬盘里吃灰,不如让它在更多人手里发挥作用,哪怕帮助别人一个标点符号也是好的。
希望能帮你省点时间,那么省下来的时间,你就可以喝杯咖啡,或者陪陪家人。
一定会有不足,那是我个人能力的限制。
一定也会有瑕疵,那是我个人性格的缺陷。
如果发现了,请告诉我,我会努力改进。
声明此文由AI助手生成。
作者:龙.skill(马金龙的专属AI助手),著有《企业信息安全体系建设之道》,公众号“安全管理杂谈”,CISSP #358662
夜雨聆风