“橘生淮南則為橘，生于淮北則為枳，葉徒相似，其實(shí)味不同。所以然者何?水土異也。”春秋末期，晏子出使楚國(guó)，用一個(gè)形象比喻，詮釋了土壤環(huán)境對(duì)事物的重要影響。

　　如今，數(shù)字化轉(zhuǎn)型如火如荼，新技術(shù)趨勢(shì)層出不窮，然而，廣大政企客戶實(shí)施網(wǎng)絡(luò)安全建設(shè)時(shí)，經(jīng)常在“打基礎(chǔ)”和“拔尖子”之間難以兼顧和平衡。如何更好的滿足“十四五”期間政企客戶數(shù)字化轉(zhuǎn)型的安全需求?如何避免全球新技術(shù)在國(guó)內(nèi)遭遇“水土不服”的情況?近日，奇安信&Gartner《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》報(bào)告(簡(jiǎn)稱：《報(bào)告》)給出了答案。

　　新技術(shù)“亂花迷人眼” 需避免“水土不服”

　　在網(wǎng)絡(luò)安全行業(yè)內(nèi)，Gartner報(bào)告素來被譽(yù)為行業(yè)趨勢(shì)的風(fēng)向標(biāo)，持續(xù)展示并指引了全球安全市場(chǎng)及技術(shù)的方向和趨勢(shì)，被業(yè)內(nèi)所熱捧。2020年，Gartner發(fā)布了年度TOP安全和風(fēng)險(xiǎn)管理趨勢(shì)，以及2020-2021年度十大安全項(xiàng)目;2021年，Gartner繼續(xù)提出了 2021年安全和風(fēng)險(xiǎn)管理領(lǐng)域的八大趨勢(shì)。

 

圖：Gartner所提及的部分領(lǐng)域安全技術(shù)集合

　　這些新安全技術(shù)趨勢(shì)，包括零信任網(wǎng)絡(luò)與安全訪問、擴(kuò)展的安全檢測(cè)與響應(yīng)、SASE、自動(dòng)化威脅獵捕等等，旨在應(yīng)對(duì)云、移動(dòng)辦公、人工智能、軟件定義網(wǎng)絡(luò)等新一代IT技術(shù)帶來的安全挑戰(zhàn)及措施，包括個(gè)人隱私及數(shù)據(jù)安全，以及數(shù)字化轉(zhuǎn)型下對(duì)安全人員組織和能力的需求。

　　對(duì)于廣大正在進(jìn)行數(shù)字化轉(zhuǎn)型的政企客戶而言，是否可以直接參考全球領(lǐng)先的安全技術(shù)研究機(jī)構(gòu)，直接“拔尖子”、追隨潮流呢?《報(bào)告》提出了中肯的建議，“我們?cè)陉P(guān)注安全技術(shù)新趨勢(shì)的時(shí)候，更要考慮到應(yīng)用這些安全新技術(shù)的基礎(chǔ)。任何新技術(shù)的出現(xiàn)和應(yīng)用都不是憑空的，都是要有一定的土壤和環(huán)境，比如要考慮到先期的基礎(chǔ)安全建設(shè)。”

　　從現(xiàn)實(shí)情況來看，國(guó)內(nèi)部分信息化乃至數(shù)字化的建設(shè)領(lǐng)域已經(jīng)與國(guó)際先進(jìn)水平接軌，但在網(wǎng)絡(luò)安全領(lǐng)域，與歐美市場(chǎng)相比，我國(guó)在技術(shù)體系成熟度、IT環(huán)境、產(chǎn)業(yè)鏈等方面的差異較為明顯。歐美網(wǎng)絡(luò)安全建設(shè)起步早，經(jīng)歷了多年的累積建設(shè)，體系成熟度普遍較高，安全基礎(chǔ)比較雄厚。相比之下，我國(guó)網(wǎng)絡(luò)安全建設(shè)處于不同的發(fā)展階段。各行業(yè)在網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)、安全管理、安全運(yùn)營(yíng)等方面處于構(gòu)建和完善階段，安全技術(shù)的研究和應(yīng)用情況也存在很大差別。國(guó)內(nèi)外安全建設(shè)和發(fā)展階段截然不同。

　　“如果我們把網(wǎng)絡(luò)安全體系建設(shè)形容成是調(diào)制一杯彩虹雞尾酒，那么建設(shè)安全體系的基礎(chǔ)積累就是這一杯雞尾酒的基酒。”奇安信集團(tuán)副總裁韓永剛用雞尾酒做了一個(gè)比喻。“雞尾酒雖然千變?nèi)f化，卻有一定的公式可循，選擇合適的基酒，然后附在基酒上一層又一層的不同味道、不同色彩的調(diào)味酒，就像是Gartner每年所推出的新技術(shù)和新工程，一層一層累加。”

 

圖：網(wǎng)絡(luò)安全建設(shè)就像調(diào)制彩虹雞尾酒

　　由于Gartner的研究基礎(chǔ)主要是歐美市場(chǎng)，與我國(guó)網(wǎng)絡(luò)安全建設(shè)情況存在較大的差異。Gartner每年報(bào)告所描繪的網(wǎng)絡(luò)安全技術(shù)趨勢(shì)，是站在了國(guó)外那杯雞尾酒已經(jīng)調(diào)制大體完成的情況下，不斷去的發(fā)展新風(fēng)味。我國(guó)信息化環(huán)境及網(wǎng)絡(luò)安全建設(shè)的差異性，尤其是存在基礎(chǔ)不牢，體系不足，能力缺失，實(shí)戰(zhàn)不足等因素，更需要一杯中國(guó)口味的網(wǎng)絡(luò)安全雞尾酒。

　　土壤不同，淮南為橘，淮北為枳，同樣對(duì)于網(wǎng)絡(luò)新技術(shù)而言，忽視了土壤環(huán)境，極可能“水土不服”，產(chǎn)生反向效果。

　　“中國(guó)特色”安全能力建設(shè) 須以頂層設(shè)計(jì)為指引

　　談到網(wǎng)絡(luò)安全建設(shè)中國(guó)和歐美國(guó)家的差異，就不得不提“十四五”規(guī)劃。在國(guó)家一直強(qiáng)調(diào)統(tǒng)籌安全與發(fā)展的形式下，“十四五”不僅帶來了數(shù)字化規(guī)劃?rùn)C(jī)遇，更帶來了網(wǎng)絡(luò)安全規(guī)劃的巨大機(jī)遇。

　　《報(bào)告》認(rèn)為，政企機(jī)構(gòu)需立足于我國(guó)網(wǎng)絡(luò)安全與信息化現(xiàn)狀，以高標(biāo)準(zhǔn)設(shè)計(jì)、高質(zhì)量建設(shè)、高可靠運(yùn)行、高水平保障的要求開展高水準(zhǔn)的網(wǎng)絡(luò)安全專項(xiàng)規(guī)劃，面向數(shù)字化轉(zhuǎn)型以頂層設(shè)計(jì)的視角，通盤考慮我國(guó)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀和差異，有效的落地內(nèi)生安全，將網(wǎng)絡(luò)安全建設(shè)打造為一項(xiàng)基礎(chǔ)工程，指導(dǎo)未來數(shù)年的安全建設(shè)和運(yùn)營(yíng)，彌合網(wǎng)絡(luò)安全基礎(chǔ)積累的差距，使之既能夠適應(yīng)我國(guó)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀，又能夠順應(yīng)網(wǎng)絡(luò)安全發(fā)展的技術(shù)新趨勢(shì)。

　　換句話說，就是既要腳踏實(shí)地，又要仰望星空，滿足現(xiàn)狀的同時(shí)更要考慮長(zhǎng)遠(yuǎn)。

　　對(duì)此，《報(bào)告》提出，高水準(zhǔn)的網(wǎng)絡(luò)安全規(guī)劃尤其需要一套行之有效的方法論和框架作為指引，以切實(shí)指導(dǎo)頂層設(shè)計(jì)工作，通過安全規(guī)劃承接國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略，建立從頂層設(shè)計(jì)、部署實(shí)施到安全運(yùn)行的一整套網(wǎng)絡(luò)安全新模式，確保網(wǎng)絡(luò)安全能夠積極、科學(xué)、有效地應(yīng)對(duì)數(shù)字化轉(zhuǎn)型。具體包括幾個(gè)方面：

　　首先在方法論方面，可參考信息化多年來的發(fā)展建設(shè)經(jīng)驗(yàn)。可以將EA方法論用于網(wǎng)絡(luò)安全，使網(wǎng)絡(luò)安全建設(shè)也能夠服務(wù)于企業(yè)的戰(zhàn)略目標(biāo)和管理目標(biāo)，能夠敏捷應(yīng)對(duì)未來的網(wǎng)絡(luò)安全擴(kuò)展需求。

　　其次，在安全框架方面，需能以系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”的理念而形成的網(wǎng)絡(luò)安全規(guī)劃建設(shè)框架，引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全，使網(wǎng)絡(luò)安全逐漸從邊緣走向核心、從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”，推進(jìn)網(wǎng)絡(luò)安全向基礎(chǔ)設(shè)施化、服務(wù)化模式發(fā)展，適應(yīng)于數(shù)字經(jīng)濟(jì)的發(fā)展。

　　“以一套行之有效的方法論和框架為指導(dǎo)開展頂層設(shè)計(jì)，政企組織才能夠識(shí)別清晰其在數(shù)字化轉(zhuǎn)型時(shí)期所需要的網(wǎng)絡(luò)安全能力，用全局的視角思考與數(shù)字化的融合，明確其自身網(wǎng)絡(luò)安全建設(shè)所處的發(fā)展階段，綜合考慮體系建設(shè)與運(yùn)行工作，不至于在‘打基礎(chǔ)’和‘拔尖子’之間左右為難。”韓永剛?cè)绱丝偨Y(jié)道。

　　內(nèi)生安全框架將“打基礎(chǔ)”和“拔尖子”合二為一

　　在我國(guó)數(shù)字化轉(zhuǎn)型、“新基建”建設(shè)等國(guó)家戰(zhàn)略背景下，奇安信全面分析了國(guó)內(nèi)外網(wǎng)絡(luò)安全態(tài)勢(shì)和我國(guó)政企面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，吸收最新網(wǎng)絡(luò)安全技術(shù)研究成果，在2019年提出了“內(nèi)生安全”理念，在2020年提出面向“十四五”期間的內(nèi)生安全框架，給出了新型網(wǎng)絡(luò)安全體系建設(shè)的落地框架指引。

　　2021年，奇安信提出了“經(jīng)營(yíng)安全、安全經(jīng)營(yíng)”，更具體說明如何利用內(nèi)生安全框架在大量實(shí)際的大型機(jī)構(gòu)中的落地經(jīng)驗(yàn)，做到安全的動(dòng)態(tài)掌控，保障核心業(yè)務(wù)的經(jīng)營(yíng)平穩(wěn)運(yùn)行。奇安信&Gartner《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》對(duì)數(shù)字化轉(zhuǎn)型中網(wǎng)絡(luò)安全的三部曲，進(jìn)行了詳細(xì)論述。

　　《報(bào)告》中的內(nèi)生安全框架，旨在為政企“十四五”網(wǎng)絡(luò)安全規(guī)劃、設(shè)計(jì)提供思路與建議。其核心是通過以能力為導(dǎo)向的網(wǎng)絡(luò)安全體系設(shè)計(jì)方法，規(guī)劃出面向“十四五”期間的建設(shè)實(shí)施項(xiàng)目庫(重點(diǎn)工程與任務(wù))，并設(shè)計(jì)出將網(wǎng)絡(luò)安全與信息化相融合的目標(biāo)技術(shù)體系和目標(biāo)運(yùn)行體系，供政企參考借鑒。

 

圖：奇安信內(nèi)生安全框架

　　內(nèi)生安全框架包括了網(wǎng)絡(luò)安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設(shè)實(shí)施項(xiàng)目庫、政企機(jī)構(gòu)網(wǎng)絡(luò)安全技術(shù)部署參考架構(gòu)、政企機(jī)構(gòu)網(wǎng)絡(luò)安全運(yùn)行體系參考架構(gòu)等多個(gè)組件，這些組件可被用于政企網(wǎng)絡(luò)安全規(guī)劃的不同階段，并隨著安全建設(shè)項(xiàng)目實(shí)施逐步融入信息化環(huán)境，從而構(gòu)建體系化安全能力。更重要的是，內(nèi)生安全框架可以為新技術(shù)的持續(xù)引入、創(chuàng)新提供“土壤”，使得新技術(shù)在體系化網(wǎng)絡(luò)安全環(huán)境充分發(fā)揮效能。

　　《報(bào)告》認(rèn)為，在我國(guó)的網(wǎng)絡(luò)安全建設(shè)發(fā)展階段存在差異的情況下，政企組織需要先建好自身的網(wǎng)絡(luò)安全底座，補(bǔ)足網(wǎng)絡(luò)安全必要能力的缺失，再根據(jù)自身信息化建設(shè)及數(shù)字化轉(zhuǎn)型的需要，統(tǒng)籌選擇應(yīng)用最新的安全技術(shù)。比如，內(nèi)生安全框架所提出的“十大工程五大任務(wù)”綜合考慮了各類基礎(chǔ)能力、先進(jìn)技術(shù)的體系化組合和應(yīng)用，重點(diǎn)在于對(duì)中國(guó)安全建設(shè)現(xiàn)狀的適應(yīng)，指導(dǎo)建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)。

　　結(jié)束語：

　　近年來，國(guó)際上網(wǎng)絡(luò)安全技術(shù)新趨勢(shì)對(duì)我國(guó)網(wǎng)絡(luò)安全建設(shè)具有很多參考價(jià)值，適當(dāng)?shù)膶W(xué)習(xí)和吸收會(huì)更利于發(fā)揮其在當(dāng)代中國(guó)網(wǎng)絡(luò)安全建設(shè)的指引作用。但如果不關(guān)注“中國(guó)特色”的網(wǎng)絡(luò)安全現(xiàn)狀，盲目引進(jìn)、全盤照搬，極易引起“消化不良”，先進(jìn)技術(shù)“水土不服”。因此，《報(bào)告》中內(nèi)生安全框架所突出的兼顧“體系化建設(shè)網(wǎng)絡(luò)安全”及“有效應(yīng)用安全新技術(shù)”，無疑是適合廣大政企客戶的建設(shè)思路，更能夠?yàn)槭奈?rdquo;期間數(shù)字化進(jìn)程中業(yè)務(wù)發(fā)展提供重要保障。

特別提醒：本網(wǎng)信息來自于互聯(lián)網(wǎng)，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。