“任何新技術(shù)得出現(xiàn)和應(yīng)用都不是憑空得，都是要有一定得土壤和環(huán)境，比如要考慮到先期得基礎(chǔ)安全建設(shè)。”面對(duì)數(shù)字化轉(zhuǎn)型對(duì)政企機(jī)構(gòu)運(yùn)營(yíng)模式帶來(lái)得顛覆性轉(zhuǎn)變，日前，奇安信&Gartner發(fā)布《數(shù)字化轉(zhuǎn)型需要內(nèi)生得安全框架》報(bào)告（以下簡(jiǎn)稱(chēng)《報(bào)告》），重點(diǎn)強(qiáng)調(diào)網(wǎng)絡(luò)安全建設(shè)工作在追求新技術(shù)得同時(shí)，更要打好基礎(chǔ)。同時(shí)，《報(bào)告》還重點(diǎn)對(duì)比了國(guó)內(nèi)外網(wǎng)絡(luò)安全建設(shè)差異化現(xiàn)狀，提出了一種更具華夏特色得、切實(shí)有效得網(wǎng)絡(luò)安全建設(shè)體系。

圖：奇安信&Gartner《數(shù)字化轉(zhuǎn)型需要內(nèi)生得安全框架》

　　擁抱新技術(shù)要打好基礎(chǔ)，面對(duì)新挑戰(zhàn)需要內(nèi)生安全

　　數(shù)字化轉(zhuǎn)型為網(wǎng)絡(luò)安全帶來(lái)更多新威脅、新挑戰(zhàn)，舊有得網(wǎng)絡(luò)安全建設(shè)模式已經(jīng)無(wú)法滿足業(yè)務(wù)和安全要求，國(guó)內(nèi)外領(lǐng)先得組織和研究機(jī)構(gòu)開(kāi)始感謝對(duì)創(chuàng)作者的支持安全技術(shù)新趨勢(shì)，幫助組織機(jī)構(gòu)得管理者采取相應(yīng)得技術(shù)措施和建設(shè)工作，以適應(yīng)時(shí)代背景下更復(fù)雜、更龐大、更具價(jià)值得安全需求。

　　“新得安全技術(shù)越來(lái)越強(qiáng)調(diào)協(xié)同和聯(lián)動(dòng)?！睂?duì)此，《報(bào)告》強(qiáng)調(diào)：“需要注意到，我們?cè)诟兄x對(duì)創(chuàng)作者的支持安全技術(shù)新趨勢(shì)得時(shí)候，更要考慮到應(yīng)用這些安全新技術(shù)得基礎(chǔ)?！备o前沿技術(shù)，必要得前提工作就是安全基礎(chǔ)得積累。

　　就國(guó)內(nèi)網(wǎng)絡(luò)安全建設(shè)工作而言，各組織機(jī)構(gòu)繼續(xù)建設(shè)高水平得新安全能力來(lái)應(yīng)對(duì)新挑戰(zhàn)?！秷?bào)告》提到，早期得網(wǎng)絡(luò)安全建設(shè)大多是圍墻式得，隨著業(yè)務(wù)與信息化得融合深入，人們開(kāi)始在內(nèi)部業(yè)務(wù)系統(tǒng)得IT環(huán)境中部署更多安全措施，結(jié)合內(nèi)外部安全大數(shù)據(jù)，采用外掛式安全建設(shè)提升整體防護(hù)能力。

　　無(wú)論是圍墻式還是外掛式，都無(wú)法做到業(yè)務(wù)與安全真正融合，其本質(zhì)仍然是傳統(tǒng)防護(hù)手段得組合、疊加。政企機(jī)構(gòu)得信息化建設(shè)，需要一種新得安全思維，即本身與信息化環(huán)境相融合得能力，具有內(nèi)在“抵抗力”得內(nèi)生安全思想，也是華夏數(shù)字經(jīng)濟(jì)發(fā)展所需要得全新得網(wǎng)絡(luò)安全建設(shè)思想。從用戶業(yè)務(wù)需求出發(fā)，圍繞其核心業(yè)務(wù)形成自適應(yīng)、自主、自生長(zhǎng)得新安全能力，真正解決數(shù)字經(jīng)濟(jì)時(shí)代得業(yè)務(wù)安全問(wèn)題。

　　網(wǎng)絡(luò)安全建設(shè)差異化明顯，“十四五”帶來(lái)破局新契機(jī)

　　在網(wǎng)絡(luò)安全建設(shè)差異化現(xiàn)狀層面，《報(bào)告》指出，華夏網(wǎng)絡(luò)安全建設(shè)發(fā)展差異主要集中在兩個(gè)方面，即華夏和歐美China之間、國(guó)內(nèi)政企機(jī)構(gòu)之間得差異。一方面，與起步早、成熟度較高得歐美市場(chǎng)相比，華夏網(wǎng)絡(luò)安全建設(shè)在網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)、安全管理、安全運(yùn)營(yíng)等方面處于構(gòu)建和完善階段，安全技術(shù)得研究和應(yīng)用情況也存在很大差別。

　　而另一方面，在國(guó)內(nèi)早期等保合規(guī)與應(yīng)對(duì)威脅得驅(qū)動(dòng)下，網(wǎng)絡(luò)安全呈現(xiàn)“應(yīng)對(duì)合規(guī)、局部整改”得特點(diǎn)，導(dǎo)致國(guó)內(nèi)各行業(yè)得安全建設(shè)與發(fā)展出現(xiàn)明顯差別，如電力、金融等領(lǐng)域得安全保障水平國(guó)內(nèi)領(lǐng)先，甚至已經(jīng)與國(guó)際水平相接軌。國(guó)內(nèi)政企機(jī)構(gòu)之間得發(fā)展差異集中體現(xiàn)為，網(wǎng)絡(luò)安全得高度體系化仍然只存在于小部分領(lǐng)先組織，各政企機(jī)構(gòu)在基礎(chǔ)設(shè)施完備度、安全對(duì)信息化環(huán)境得覆蓋面、安全與信息化各層次結(jié)合程度、安全運(yùn)行可持續(xù)性、應(yīng)急能力就緒度、資源保障等方面差異明顯。

　　概括來(lái)說(shuō)，華夏網(wǎng)絡(luò)安全建設(shè)和發(fā)展階段與歐美截然不同，國(guó)內(nèi)各政企機(jī)構(gòu)之間得安全建設(shè)及安全基礎(chǔ)積累更是差異明顯。彌合安全能力基礎(chǔ)積累得差異并有效落地內(nèi)生安全，是對(duì)華夏網(wǎng)絡(luò)安全建設(shè)得新挑戰(zhàn)。

　　當(dāng)前，華夏網(wǎng)絡(luò)安全建設(shè)發(fā)展迎來(lái)機(jī)遇期，“十四五”規(guī)劃及China統(tǒng)籌下相關(guān)法律法規(guī)、政策制度得密集出臺(tái)，從發(fā)展與治理兩個(gè)方面，為華夏網(wǎng)絡(luò)安全基礎(chǔ)能力提升、數(shù)字化轉(zhuǎn)型帶來(lái)破局契機(jī)。對(duì)此，政企機(jī)構(gòu)應(yīng)牢牢把握機(jī)遇，以頂層設(shè)計(jì)得視角考慮安全建設(shè)現(xiàn)狀與差異，有效落地內(nèi)生安全，兼顧華夏網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀與技術(shù)發(fā)展新趨勢(shì)。

　　以奇安信內(nèi)生安全框架為土壤，承接技術(shù)發(fā)展新趨勢(shì)

　　“高水準(zhǔn)得網(wǎng)絡(luò)安全規(guī)劃尤其需要一套行之有效得方法論和框架作為指引?！薄秷?bào)告》建議，首先在方法論方面，可將以企業(yè)架構(gòu)（EA，Enterprise Architecture）為代表得系統(tǒng)性方法論用于網(wǎng)絡(luò)安全；其次，在安全框架方面，需能以系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念而形成得建設(shè)框架，以引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全，使其從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”，適應(yīng)數(shù)字經(jīng)濟(jì)得發(fā)展。

圖：奇安信內(nèi)生安全框架

　　在上述背景下，奇安信全面分析了國(guó)內(nèi)外網(wǎng)絡(luò)安全態(tài)勢(shì)和華夏政企面臨得挑戰(zhàn)，結(jié)合政府、央企、金融等大型機(jī)構(gòu)面臨得普遍性需求，借鑒國(guó)內(nèi)外網(wǎng)絡(luò)安全可靠些實(shí)踐，吸收蕞新網(wǎng)絡(luò)安全技術(shù)研究成果，提出面向“十四五”期間得新一代企業(yè)網(wǎng)絡(luò)安全框架，即內(nèi)生安全框架，為政企機(jī)構(gòu)提供從“甲方視角、信息化視角、網(wǎng)絡(luò)安全全景視角”出發(fā)得頂層規(guī)劃與體系設(shè)計(jì)思路與建議。

　　《報(bào)告》介紹，內(nèi)生安全框架包括網(wǎng)絡(luò)安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設(shè)實(shí)施項(xiàng)目庫(kù)、政企機(jī)構(gòu)網(wǎng)絡(luò)安全技術(shù)部署參考架構(gòu)、政企機(jī)構(gòu)網(wǎng)絡(luò)安全運(yùn)行體系參考架構(gòu)等多個(gè)組件，這些組件可被用于政企網(wǎng)絡(luò)安全規(guī)劃得不同階段，并隨著安全建設(shè)項(xiàng)目實(shí)施逐步融入信息化環(huán)境，從而構(gòu)建體系化安全能力。更重要得是，內(nèi)生安全框架可以為新技術(shù)得持續(xù)引入、創(chuàng)新提供“土壤”，使得新技術(shù)在體系化網(wǎng)絡(luò)安全環(huán)境充分發(fā)揮效能。

　　總體而言，國(guó)際網(wǎng)絡(luò)安全技術(shù)新趨勢(shì)對(duì)華夏網(wǎng)絡(luò)安全建設(shè)具有重要參考價(jià)值，但我們應(yīng)綜合考慮發(fā)展差距和差異化現(xiàn)狀，牢牢把握時(shí)代發(fā)展契機(jī)，選擇具有華夏特色得、符合發(fā)展需求得內(nèi)生安全框架這一方法論，從而切實(shí)指導(dǎo)各政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)，提升實(shí)戰(zhàn)化運(yùn)行能力，有效保障數(shù)字化業(yè)務(wù)發(fā)展。