奇安信：从安全框架开始 政企用户网络安全向服务化转型

日前，北京网络安全大会（BCS 2020）正式对外公布了大会主题“内生安全，从安全框架开始”。“内生安全”是奇安信在BCS 2019大会上首次发布的网络安全理念。今年3月，奇安信基于“内生安全”理念推出了新一代网络安全框架，进一步推动了“内生安全”理念的落地实践。

网络安全面临严峻的技术挑战

随着全球数字化转型的深入，网络安全威胁和风险日益突出，已成为关系到经济与生产安全、社会运行安全、国家安全层面的关键问题。近年来，大规模网络安全事件频发，2017年“永恒之蓝”勒索病毒事件，2018年多家机构因数据库防护不足导致大规模数据泄露事件，2020年攻击者利用疫情为诱饵对医疗行业发动APT攻击。

另一方面，政企用户自身看似牢不可破的防线在实战攻防演习中屡次被打穿。在2019年由某部委组织的大型实战攻防演习中，政企用户在这样一场本应准备充分、胜算在握的防御战里，其IT系统仍然鲜有保全。由此可见我国政企用户网络安全防护能力仍然较为薄弱，在历次重要“战役”中暴露出的网络安全体系化欠缺、安全能力碎片化严重、整体协同能力严重不足、可弹性恢复能力严重缺失等问题亟待解决。

回顾政企用户网络安全的建设历程，由于不同业务部门的应用系统种类繁多，各应用系统所需的网络安全防护工作普遍采用“谁建设、谁使用、谁运维”的方式开展。网络安全作为信息化的配套工程，由负责各业务系统的部门自行建设，导致各业务系统安全能力参差不齐、能力分散、专业性不足、总成本高，规模效应难以发挥。虽然，一些政企用户近年来逐渐开始在其信息化部门下设安全机构，负责网络安全统筹管理，但总体上安全仍是信息化的辅助性职责，网络安全在资金保障、人才培养等方面并未和信息化同步发展。这种旧有的网络安全配套发展模式已无法适应数字化转型的高标准要求。

网络安全与信息化应实现同步规划建设和运行

随着网络安全态势愈发严峻，以传统模式规划和建设的网络安全体系达不到保障数字化业务发展的高标准要求。由于旧有的安全配套模式的局限性，导致政企网络安全专业程度较低、安全能力割裂、总安全运行成本高、安全协同效能低下。此外，由于缺乏面向实战化的安全运行，导致安全工作的延续性、稳定性明显不足。而且安全工作过度依赖个人能力，因为缺乏标准化的安全运行流程支撑，导致安全运行工作质量参差不齐。

上述问题极大的制约了政企数字化业务的安全可持续发展。因此，政企用户有必要借鉴十多年来信息化工作通过IT服务化转型取得巨大成功的经验，推动网络安全工作的服务化转型，从而形成一种能够有效保障数字化业务发展的新型网络安全工作模式。

图：网络安全与信息化同步规划建设运行模式

从安全框架开始，网络安全开始向服务化转型

为适应数字化业务转型对有效安全保障的更高要求，政企用户需要把握住“十四五”规划的契机，推动网络安全向服务化转型。目前，奇安信提出的新一代网络安全框架已为政企“十四五”网络安全规划、设计提供了成熟的思路与建议。该框架从“甲方视角、信息化视角、网络安全顶层视角”展现出政企网络安全体系全景，通过以能力为导向的网络安全体系设计方法，规划出面向“十四五”期间的建设实施项目库（重点工程与任务），并设计出将网络安全与信息化相融合的目标技术体系和目标运行体系。

图：新一代网络安全框架

要实现网络安全向服务化转型，须满足以下关键点：

首先，须加强网络安全体系化规划建设，夯实网络安全防御基础。要以体系化的高水平安全规划为牵引，通过科学、高质的项目建设快速补齐短板、夯实网络安全基础，要以整体化、集中化、规模化的方式规划建设 “安全基础设施” ，确保信息化系统建立在安全“底座”之上，形成具备“精细化安全管控、体系化安全防御、实战化安全运行”的动态、综合的网络安全防御体系。

其次，以安全运行服务持续输出安全能力。为了实现网络安全的服务化转型，需要对共性的安全技术能力采用集中化、平台化方式统一建设，形成网络安全基础设施，并据此开展日常化、建制化、规程化和可持续的实战化网络安全运行，同时以标准目录定义的运行服务形式向信息化环境以及信息化运维与开发等工作输出安全能力。

再次，需要加强网络安全运行与信息化运行的聚合。使网络安全运行与信息化运行紧密聚合，在信息化的工作流程中，以强管控方式强制插入安全控制，并通过“调用”安全运行服务来落实安全控制，以消除以往信息化工作与网络安全防护工作存在的零散、割裂等弊病，通过多方协同实现对安全隐患和安全事件的闭环处理，从而使安全运行能力内生于信息化环境。

最后，形成“面向成效、事件闭环、循环提升”的安全运行服务化体系。面向威胁入侵、漏洞及配置缺陷、安全策略优化、威胁对抗、响应处置等工作，形成与信息化团队的紧密结合，建立内生结合了信息化和网络安全、以数据驱动流程的标准化、服务化的网络安全模式，以可持续方式开展网络安全运行，并实现网络安全防御体系的自我驱动、循环提升机制，逐步提高网络安全工作成熟度，实现从网络安全运行向网络安全运营的蜕变。

综合上述，安全运行服务化转型是在数字化转型的大背景下，网络安全为适应新的数字化业务发展需求而亟需迈出的重要一步。网络安全作为业务发展的保障基础，通过向服务化转型，其“安全基础设施”地位将凸显，将获得更多政策、资金、人才的支持。安全服务化将促进安全的“基础设施化”，全面提升网络安全的专业性、高效性、协同性。安全服务化使安全工作的延续性、有效性得到明显提升，促进安全工作以常态化、整体化、协同化方式运转，使安全工作的效能全面提升，面向对抗的实战化运行能力显著加强，持续输出安全价值。