“橘生淮南則為橘，生于淮北則為枳，葉徒相似，其實味不同。所以然者何?水土異也。”春秋末期，晏子出使楚國，用一個形象比喻，詮釋了土壤環(huán)境對事物的重要影響。

　　如今，數(shù)字化轉型如火如荼，新技術趨勢層出不窮，然而，廣大政企客戶實施網(wǎng)絡安全建設時，經(jīng)常在“打基礎”和“拔尖子”之間難以兼顧和平衡。如何更好的滿足“十四五”期間政企客戶數(shù)字化轉型的安全需求?如何避免全球新技術在國內(nèi)遭遇“水土不服”的情況?近日，奇安信&Gartner《數(shù)字化轉型需要內(nèi)生的安全框架》報告(簡稱：《報告》)給出了答案。

　　新技術“亂花迷人眼” 需避免“水土不服”

　　在網(wǎng)絡安全行業(yè)內(nèi)，Gartner報告素來被譽為行業(yè)趨勢的風向標，持續(xù)展示并指引了全球安全市場及技術的方向和趨勢，被業(yè)內(nèi)所熱捧。2020年，Gartner發(fā)布了年度TOP安全和風險管理趨勢，以及2020-2021年度十大安全項目;2021年，Gartner繼續(xù)提出了 2021年安全和風險管理領域的八大趨勢。

 

圖：Gartner所提及的部分領域安全技術集合

　　這些新安全技術趨勢，包括零信任網(wǎng)絡與安全訪問、擴展的安全檢測與響應、SASE、自動化威脅獵捕等等，旨在應對云、移動辦公、人工智能、軟件定義網(wǎng)絡等新一代IT技術帶來的安全挑戰(zhàn)及措施，包括個人隱私及數(shù)據(jù)安全，以及數(shù)字化轉型下對安全人員組織和能力的需求。

　　對于廣大正在進行數(shù)字化轉型的政企客戶而言，是否可以直接參考全球領先的安全技術研究機構，直接“拔尖子”、追隨潮流呢?《報告》提出了中肯的建議，“我們在關注安全技術新趨勢的時候，更要考慮到應用這些安全新技術的基礎。任何新技術的出現(xiàn)和應用都不是憑空的，都是要有一定的土壤和環(huán)境，比如要考慮到先期的基礎安全建設。”

　　從現(xiàn)實情況來看，國內(nèi)部分信息化乃至數(shù)字化的建設領域已經(jīng)與國際先進水平接軌，但在網(wǎng)絡安全領域，與歐美市場相比，我國在技術體系成熟度、IT環(huán)境、產(chǎn)業(yè)鏈等方面的差異較為明顯。歐美網(wǎng)絡安全建設起步早，經(jīng)歷了多年的累積建設，體系成熟度普遍較高，安全基礎比較雄厚。相比之下，我國網(wǎng)絡安全建設處于不同的發(fā)展階段。各行業(yè)在網(wǎng)絡安全基礎結構、安全管理、安全運營等方面處于構建和完善階段，安全技術的研究和應用情況也存在很大差別。國內(nèi)外安全建設和發(fā)展階段截然不同。

　　“如果我們把網(wǎng)絡安全體系建設形容成是調(diào)制一杯彩虹雞尾酒，那么建設安全體系的基礎積累就是這一杯雞尾酒的基酒。”奇安信集團副總裁韓永剛用雞尾酒做了一個比喻。“雞尾酒雖然千變?nèi)f化，卻有一定的公式可循，選擇合適的基酒，然后附在基酒上一層又一層的不同味道、不同色彩的調(diào)味酒，就像是Gartner每年所推出的新技術和新工程，一層一層累加。”

 

圖：網(wǎng)絡安全建設就像調(diào)制彩虹雞尾酒

　　由于Gartner的研究基礎主要是歐美市場，與我國網(wǎng)絡安全建設情況存在較大的差異。Gartner每年報告所描繪的網(wǎng)絡安全技術趨勢，是站在了國外那杯雞尾酒已經(jīng)調(diào)制大體完成的情況下，不斷去的發(fā)展新風味。我國信息化環(huán)境及網(wǎng)絡安全建設的差異性，尤其是存在基礎不牢，體系不足，能力缺失，實戰(zhàn)不足等因素，更需要一杯中國口味的網(wǎng)絡安全雞尾酒。

　　土壤不同，淮南為橘，淮北為枳，同樣對于網(wǎng)絡新技術而言，忽視了土壤環(huán)境，極可能“水土不服”，產(chǎn)生反向效果。

　　“中國特色”安全能力建設 須以頂層設計為指引

　　談到網(wǎng)絡安全建設中國和歐美國家的差異，就不得不提“十四五”規(guī)劃。在國家一直強調(diào)統(tǒng)籌安全與發(fā)展的形式下，“十四五”不僅帶來了數(shù)字化規(guī)劃機遇，更帶來了網(wǎng)絡安全規(guī)劃的巨大機遇。

　　《報告》認為，政企機構需立足于我國網(wǎng)絡安全與信息化現(xiàn)狀，以高標準設計、高質(zhì)量建設、高可靠運行、高水平保障的要求開展高水準的網(wǎng)絡安全專項規(guī)劃，面向數(shù)字化轉型以頂層設計的視角，通盤考慮我國網(wǎng)絡安全建設的現(xiàn)狀和差異，有效的落地內(nèi)生安全，將網(wǎng)絡安全建設打造為一項基礎工程，指導未來數(shù)年的安全建設和運營，彌合網(wǎng)絡安全基礎積累的差距，使之既能夠適應我國網(wǎng)絡安全建設的現(xiàn)狀，又能夠順應網(wǎng)絡安全發(fā)展的技術新趨勢。

　　換句話說，就是既要腳踏實地，又要仰望星空，滿足現(xiàn)狀的同時更要考慮長遠。

　　對此，《報告》提出，高水準的網(wǎng)絡安全規(guī)劃尤其需要一套行之有效的方法論和框架作為指引，以切實指導頂層設計工作，通過安全規(guī)劃承接國家網(wǎng)絡安全戰(zhàn)略，建立從頂層設計、部署實施到安全運行的一整套網(wǎng)絡安全新模式，確保網(wǎng)絡安全能夠積極、科學、有效地應對數(shù)字化轉型。具體包括幾個方面：

　　首先在方法論方面，可參考信息化多年來的發(fā)展建設經(jīng)驗?？梢詫A方法論用于網(wǎng)絡安全，使網(wǎng)絡安全建設也能夠服務于企業(yè)的戰(zhàn)略目標和管理目標，能夠敏捷應對未來的網(wǎng)絡安全擴展需求。

　　其次，在安全框架方面，需能以系統(tǒng)工程方法論結合“內(nèi)生安全”的理念而形成的網(wǎng)絡安全規(guī)劃建設框架，引導政企機構規(guī)劃和建設網(wǎng)絡安全，使網(wǎng)絡安全逐漸從邊緣走向核心、從外掛走向內(nèi)生、從“走形式”轉向“實戰(zhàn)化”，推進網(wǎng)絡安全向基礎設施化、服務化模式發(fā)展，適應于數(shù)字經(jīng)濟的發(fā)展。

　　“以一套行之有效的方法論和框架為指導開展頂層設計，政企組織才能夠識別清晰其在數(shù)字化轉型時期所需要的網(wǎng)絡安全能力，用全局的視角思考與數(shù)字化的融合，明確其自身網(wǎng)絡安全建設所處的發(fā)展階段，綜合考慮體系建設與運行工作，不至于在‘打基礎’和‘拔尖子’之間左右為難。”韓永剛如此總結道。

　　內(nèi)生安全框架將“打基礎”和“拔尖子”合二為一

　　在我國數(shù)字化轉型、“新基建”建設等國家戰(zhàn)略背景下，奇安信全面分析了國內(nèi)外網(wǎng)絡安全態(tài)勢和我國政企面臨的網(wǎng)絡安全挑戰(zhàn)，吸收最新網(wǎng)絡安全技術研究成果，在2019年提出了“內(nèi)生安全”理念，在2020年提出面向“十四五”期間的內(nèi)生安全框架，給出了新型網(wǎng)絡安全體系建設的落地框架指引。

　　2021年，奇安信提出了“經(jīng)營安全、安全經(jīng)營”，更具體說明如何利用內(nèi)生安全框架在大量實際的大型機構中的落地經(jīng)驗，做到安全的動態(tài)掌控，保障核心業(yè)務的經(jīng)營平穩(wěn)運行。奇安信&Gartner《數(shù)字化轉型需要內(nèi)生的安全框架》對數(shù)字化轉型中網(wǎng)絡安全的三部曲，進行了詳細論述。

　　《報告》中的內(nèi)生安全框架，旨在為政企“十四五”網(wǎng)絡安全規(guī)劃、設計提供思路與建議。其核心是通過以能力為導向的網(wǎng)絡安全體系設計方法，規(guī)劃出面向“十四五”期間的建設實施項目庫(重點工程與任務)，并設計出將網(wǎng)絡安全與信息化相融合的目標技術體系和目標運行體系，供政企參考借鑒。

 

圖：奇安信內(nèi)生安全框架

　　內(nèi)生安全框架包括了網(wǎng)絡安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設實施項目庫、政企機構網(wǎng)絡安全技術部署參考架構、政企機構網(wǎng)絡安全運行體系參考架構等多個組件，這些組件可被用于政企網(wǎng)絡安全規(guī)劃的不同階段，并隨著安全建設項目實施逐步融入信息化環(huán)境，從而構建體系化安全能力。更重要的是，內(nèi)生安全框架可以為新技術的持續(xù)引入、創(chuàng)新提供“土壤”，使得新技術在體系化網(wǎng)絡安全環(huán)境充分發(fā)揮效能。

　　《報告》認為，在我國的網(wǎng)絡安全建設發(fā)展階段存在差異的情況下，政企組織需要先建好自身的網(wǎng)絡安全底座，補足網(wǎng)絡安全必要能力的缺失，再根據(jù)自身信息化建設及數(shù)字化轉型的需要，統(tǒng)籌選擇應用最新的安全技術。比如，內(nèi)生安全框架所提出的“十大工程五大任務”綜合考慮了各類基礎能力、先進技術的體系化組合和應用，重點在于對中國安全建設現(xiàn)狀的適應，指導建設網(wǎng)絡安全基礎。

　　結束語：

　　近年來，國際上網(wǎng)絡安全技術新趨勢對我國網(wǎng)絡安全建設具有很多參考價值，適當?shù)膶W習和吸收會更利于發(fā)揮其在當代中國網(wǎng)絡安全建設的指引作用。但如果不關注“中國特色”的網(wǎng)絡安全現(xiàn)狀，盲目引進、全盤照搬，極易引起“消化不良”，先進技術“水土不服”。因此，《報告》中內(nèi)生安全框架所突出的兼顧“體系化建設網(wǎng)絡安全”及“有效應用安全新技術”，無疑是適合廣大政企客戶的建設思路，更能夠為十四五”期間數(shù)字化進程中業(yè)務發(fā)展提供重要保障。

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。