“橘生淮南則為橘，生于淮北則為枳，葉徒相似，其實味不同。所以然者何?水土異也。”春秋末期，晏子出使楚國，用一個形象比喻，詮釋了土壤環(huán)境對事物的重要影響。

　　如今，數字化轉型如火如荼，新技術趨勢層出不窮，然而，廣大政企客戶實施網絡安全建設時，經常在“打基礎”和“拔尖子”之間難以兼顧和平衡。如何更好的滿足“十四五”期間政企客戶數字化轉型的安全需求?如何避免全球新技術在國內遭遇“水土不服”的情況?近日，奇安信&Gartner《數字化轉型需要內生的安全框架》報告(簡稱：《報告》)給出了答案。

　　新技術“亂花迷人眼” 需避免“水土不服”

　　在網絡安全行業(yè)內，Gartner報告素來被譽為行業(yè)趨勢的風向標，持續(xù)展示并指引了全球安全市場及技術的方向和趨勢，被業(yè)內所熱捧。2020年，Gartner發(fā)布了年度TOP安全和風險管理趨勢，以及2020-2021年度十大安全項目;2021年，Gartner繼續(xù)提出了 2021年安全和風險管理領域的八大趨勢。

 

圖：Gartner所提及的部分領域安全技術集合

　　這些新安全技術趨勢，包括零信任網絡與安全訪問、擴展的安全檢測與響應、SASE、自動化威脅獵捕等等，旨在應對云、移動辦公、人工智能、軟件定義網絡等新一代IT技術帶來的安全挑戰(zhàn)及措施，包括個人隱私及數據安全，以及數字化轉型下對安全人員組織和能力的需求。

　　對于廣大正在進行數字化轉型的政企客戶而言，是否可以直接參考全球領先的安全技術研究機構，直接“拔尖子”、追隨潮流呢?《報告》提出了中肯的建議，“我們在關注安全技術新趨勢的時候，更要考慮到應用這些安全新技術的基礎。任何新技術的出現和應用都不是憑空的，都是要有一定的土壤和環(huán)境，比如要考慮到先期的基礎安全建設。”

　　從現實情況來看，國內部分信息化乃至數字化的建設領域已經與國際先進水平接軌，但在網絡安全領域，與歐美市場相比，我國在技術體系成熟度、IT環(huán)境、產業(yè)鏈等方面的差異較為明顯。歐美網絡安全建設起步早，經歷了多年的累積建設，體系成熟度普遍較高，安全基礎比較雄厚。相比之下，我國網絡安全建設處于不同的發(fā)展階段。各行業(yè)在網絡安全基礎結構、安全管理、安全運營等方面處于構建和完善階段，安全技術的研究和應用情況也存在很大差別。國內外安全建設和發(fā)展階段截然不同。

　　“如果我們把網絡安全體系建設形容成是調制一杯彩虹雞尾酒，那么建設安全體系的基礎積累就是這一杯雞尾酒的基酒。”奇安信集團副總裁韓永剛用雞尾酒做了一個比喻。“雞尾酒雖然千變萬化，卻有一定的公式可循，選擇合適的基酒，然后附在基酒上一層又一層的不同味道、不同色彩的調味酒，就像是Gartner每年所推出的新技術和新工程，一層一層累加。”

 

圖：網絡安全建設就像調制彩虹雞尾酒

　　由于Gartner的研究基礎主要是歐美市場，與我國網絡安全建設情況存在較大的差異。Gartner每年報告所描繪的網絡安全技術趨勢，是站在了國外那杯雞尾酒已經調制大體完成的情況下，不斷去的發(fā)展新風味。我國信息化環(huán)境及網絡安全建設的差異性，尤其是存在基礎不牢，體系不足，能力缺失，實戰(zhàn)不足等因素，更需要一杯中國口味的網絡安全雞尾酒。

　　土壤不同，淮南為橘，淮北為枳，同樣對于網絡新技術而言，忽視了土壤環(huán)境，極可能“水土不服”，產生反向效果。

　　“中國特色”安全能力建設 須以頂層設計為指引

　　談到網絡安全建設中國和歐美國家的差異，就不得不提“十四五”規(guī)劃。在國家一直強調統(tǒng)籌安全與發(fā)展的形式下，“十四五”不僅帶來了數字化規(guī)劃機遇，更帶來了網絡安全規(guī)劃的巨大機遇。

　　《報告》認為，政企機構需立足于我國網絡安全與信息化現狀，以高標準設計、高質量建設、高可靠運行、高水平保障的要求開展高水準的網絡安全專項規(guī)劃，面向數字化轉型以頂層設計的視角，通盤考慮我國網絡安全建設的現狀和差異，有效的落地內生安全，將網絡安全建設打造為一項基礎工程，指導未來數年的安全建設和運營，彌合網絡安全基礎積累的差距，使之既能夠適應我國網絡安全建設的現狀，又能夠順應網絡安全發(fā)展的技術新趨勢。

　　換句話說，就是既要腳踏實地，又要仰望星空，滿足現狀的同時更要考慮長遠。

　　對此，《報告》提出，高水準的網絡安全規(guī)劃尤其需要一套行之有效的方法論和框架作為指引，以切實指導頂層設計工作，通過安全規(guī)劃承接國家網絡安全戰(zhàn)略，建立從頂層設計、部署實施到安全運行的一整套網絡安全新模式，確保網絡安全能夠積極、科學、有效地應對數字化轉型。具體包括幾個方面：

　　首先在方法論方面，可參考信息化多年來的發(fā)展建設經驗。可以將EA方法論用于網絡安全，使網絡安全建設也能夠服務于企業(yè)的戰(zhàn)略目標和管理目標，能夠敏捷應對未來的網絡安全擴展需求。

　　其次，在安全框架方面，需能以系統(tǒng)工程方法論結合“內生安全”的理念而形成的網絡安全規(guī)劃建設框架，引導政企機構規(guī)劃和建設網絡安全，使網絡安全逐漸從邊緣走向核心、從外掛走向內生、從“走形式”轉向“實戰(zhàn)化”，推進網絡安全向基礎設施化、服務化模式發(fā)展，適應于數字經濟的發(fā)展。

　　“以一套行之有效的方法論和框架為指導開展頂層設計，政企組織才能夠識別清晰其在數字化轉型時期所需要的網絡安全能力，用全局的視角思考與數字化的融合，明確其自身網絡安全建設所處的發(fā)展階段，綜合考慮體系建設與運行工作，不至于在‘打基礎’和‘拔尖子’之間左右為難。”韓永剛如此總結道。

　　內生安全框架將“打基礎”和“拔尖子”合二為一

　　在我國數字化轉型、“新基建”建設等國家戰(zhàn)略背景下，奇安信全面分析了國內外網絡安全態(tài)勢和我國政企面臨的網絡安全挑戰(zhàn)，吸收最新網絡安全技術研究成果，在2019年提出了“內生安全”理念，在2020年提出面向“十四五”期間的內生安全框架，給出了新型網絡安全體系建設的落地框架指引。

　　2021年，奇安信提出了“經營安全、安全經營”，更具體說明如何利用內生安全框架在大量實際的大型機構中的落地經驗，做到安全的動態(tài)掌控，保障核心業(yè)務的經營平穩(wěn)運行。奇安信&Gartner《數字化轉型需要內生的安全框架》對數字化轉型中網絡安全的三部曲，進行了詳細論述。

　　《報告》中的內生安全框架，旨在為政企“十四五”網絡安全規(guī)劃、設計提供思路與建議。其核心是通過以能力為導向的網絡安全體系設計方法，規(guī)劃出面向“十四五”期間的建設實施項目庫(重點工程與任務)，并設計出將網絡安全與信息化相融合的目標技術體系和目標運行體系，供政企參考借鑒。

 

圖：奇安信內生安全框架

　　內生安全框架包括了網絡安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設實施項目庫、政企機構網絡安全技術部署參考架構、政企機構網絡安全運行體系參考架構等多個組件，這些組件可被用于政企網絡安全規(guī)劃的不同階段，并隨著安全建設項目實施逐步融入信息化環(huán)境，從而構建體系化安全能力。更重要的是，內生安全框架可以為新技術的持續(xù)引入、創(chuàng)新提供“土壤”，使得新技術在體系化網絡安全環(huán)境充分發(fā)揮效能。

　　《報告》認為，在我國的網絡安全建設發(fā)展階段存在差異的情況下，政企組織需要先建好自身的網絡安全底座，補足網絡安全必要能力的缺失，再根據自身信息化建設及數字化轉型的需要，統(tǒng)籌選擇應用最新的安全技術。比如，內生安全框架所提出的“十大工程五大任務”綜合考慮了各類基礎能力、先進技術的體系化組合和應用，重點在于對中國安全建設現狀的適應，指導建設網絡安全基礎。

　　結束語：

　　近年來，國際上網絡安全技術新趨勢對我國網絡安全建設具有很多參考價值，適當的學習和吸收會更利于發(fā)揮其在當代中國網絡安全建設的指引作用。但如果不關注“中國特色”的網絡安全現狀，盲目引進、全盤照搬，極易引起“消化不良”，先進技術“水土不服”。因此，《報告》中內生安全框架所突出的兼顧“體系化建設網絡安全”及“有效應用安全新技術”，無疑是適合廣大政企客戶的建設思路，更能夠為十四五”期間數字化進程中業(yè)務發(fā)展提供重要保障。

特別提醒：本網信息來自于互聯網，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創(chuàng)性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。