• 內生安全框架

    2020年,我們提出“內生安全框架”,它是內生安全理念落地的方法?!皟壬踩蚣堋卑褍壬踩砟钣孟到y工程方法,將網絡安全能力統一規劃、分步實施,落地成完整的安全防護體系?!皟壬踩蚣堋睒s獲2020“世界互聯網領先科技成果”,并已經應用到了上百家重要客戶的十四五網絡安全規劃中,得到了很高的評價。

    首頁   >  創新安全理念

    相關講話

    內生安全 從安全框架開始

    奇安信集團董事長 齊向東
    BCS2020 戰略峰會上的演講

    尊敬的各位領導、來賓和媒體朋友們,上午好!

    感謝大家參加BCS戰略峰會。去年,我們在首屆BCS大會上提出了“內生安全”,得到了業界廣泛認同。很多客戶來找我們,想知道內生安全到底應該怎么做。

    所以從去年開始,我們專門成立了一個工作組,和20多個一線部門緊密協同,用系統工程的思想,把網絡安全能力,映射成為可工程建設的安全能力組件體系,并給出一套規劃方法論,設計工具集和配套的模型、架構、項目綱要,構建一個能夠適應形勢變化的網絡安全框架,來支撐內生安全體系建設。今年3月,我們正式公開發布了這套面向新基建的新一代網絡安全框架。

    截至目前,我們已經在近40個大型機構里應用了這套框架,包括部委、能源央企、金融、航空、大型制造業和數字城市,得到了很高的評價,他們說,有了這套框架,從頂層設計到落地建設運行變得很容易了。為了讓更多的政企機構能快速實現內生安全,我們把今年大會的主題定為“內生安全 從安全框架開始”。

    在開始講安全框架之前,我想先說一個觀點,也是我今天演講的第一部分:內生安全的關鍵是管理。

    去年的BCS大會上,我提出了“內生安全”,強調在政府、銀行和大型企業等機構,通過系統聚合、數據聚合和人的聚合,不斷從信息化系統內生長出安全能力,這種能力具有像免疫系統一樣的自主、自成長、自適應的特點,持續保證業務安全。

    我們都知道,網絡安全是高度對抗性的行業,網絡安全系統包括技術、數據、人員和體制機制等,是一個復雜的系統。為了保障業務的安全性,實現這個系統的有效運轉,就不能僅僅考慮產品和技術因素,而是要綜合技術、管理、運行等多方面的因素。

    一個網絡安全體系,必然面臨著層出不窮的攻擊。首先,漏洞是不可避免的,只要這個系統的0day漏洞還沒有被黑客窮盡,就永遠面臨著未知的威脅。這個漏洞可能存在于芯片、操作系統、應用系統、網絡設備等任何地方,可能掌握在任何一個未知的敵人手中,這個敵人可能隨時發動攻擊,造成的危害也難以掌握,它可能導致數據被盜,也有可能會直接導致系統崩潰。如果只用攻防技術來防護,被漏洞牽著鼻子走,這類安全問題是永遠無法解決的。

    其次,根據FBI和CIA等機構聯合做的一項安全調查報告顯示,超過85%的網絡安全威脅來自于內部,危害程度遠遠超過黑客攻擊和病毒造成的損失。這些威脅絕大部分是內部各種非法和違規的操作行為造成的。

    最后,所有的體系都是人來操控管理的,但人是不可靠的,人本身的弱點也是網絡體系最大的脆弱性。比如弱密碼、密碼丟失、使用不安全的設備等,甚至還有人會被策反成間諜。

    上述問題的存在,都導致了不管技術多高,我們的體系還是會失效。

    2016年,黑客控制大量攝像頭進行網絡攻擊,導致美國東海岸大規模斷網的事件,就是沒有管理好攝像頭的行為,而發生的悲劇。因為攝像頭的正常行為,只會向指定的地址回傳數據,而絕不會去訪問推特、Paypal等知名網站。

    2017年,在全球范圍內大規模爆發的“永恒之藍”勒索蠕蟲,利用Windows漏洞進行傳播,導致大量政企機構內網淪陷系統癱瘓,也是缺乏管理釀成的苦果。微軟在3月就下發了相關漏洞的補丁,但中招的各大機構因為各種各樣的原因沒有去修補這個漏洞,有的是沒能力補,有的是怕補了影響業務,有的純粹就是安全意識問題。

    今年7月,奧巴馬、拜登、比爾·蓋茨、巴菲特等多位美國政商名流的推特賬號被劫持并發布詐騙信息,事后調查發現,是一個17歲的黑客竊取了推特員工內部管理系統賬號的權限,已經控制了好幾個月,并且在黑產市場交易獲利。如果對身份、行為做了有效的管理,這種事情就不會發生。

    這幾年,我們搞了很多實網攻防演習,每年都能發現一大堆問題,一打就穿,但很多機構“頭疼醫頭腳疼醫腳”后,由于管理不行,還是被打穿。

    所以我們認為,安全的關鍵是管理。我們所說的管理,不是傳統意義上的管理,它既不是單純的人員管理、行政管理、體制機制管理,也不是傳統的條文式管理、流程式管理,而是一套“新管理”模式,它由數據驅動,通過與安全體系中的能力平臺和服務平臺有效對接,實現對安全技術、安全運行等各方面要素的有效管理,從而發現和規避黑客利用安全體系里的漏洞發起的攻擊,克服人的不可靠性、彌補人的能力不足?!靶鹿芾怼蹦J?,它由數據驅動,通過與安全體系中的能力平臺和服務平臺有效對接,實現對安全技術、安全運行等各方

    面要素的有效管理,從而發現和規避黑客利用安全體系里的漏洞發起的攻擊,克服人的不可靠性、彌補人的能力不足。

    內生安全,代表的正是這種新形態的網絡安全管理模式。它用“一個中心五個濾網”,從網絡、數據、應用、行為、身份五個層面來有效實現對網絡安全體系的管理,從而構建無處不在,處處結合,實戰化運行的安全能力體系。這種新管理模式,需要有強大的能力體系支撐,需要用工程化、體系化的方式進行實施,這套方法的成果,就構成了內生安全框架。

    我今天要講的第二部分是:管理的關鍵是框架

    新時代需要新管理。要實現內生安全所代表的的這種新形態的網絡安全管理,是一套復雜的系統工程,它需要一個新形態的能力體系做支撐,需要用工程化、體系化的方式進行實施,實現它的關鍵就是安全框架。

    在系統科學里,有一個特性叫“涌現”,指的是構成系統的多個組成部分按照一定的方式相互聯系、相互作用,在整體上就能具備單個組成部分所沒有的性質,產生“1+12”的效果。比如,計算機系統可以實現工程計算、文字處理、軟件開發等功能,這些功能是CPU、電源、操作系統等單個組成部分所不具備的。

    內生安全也具有“涌現”效應,能實現“1+12”的效果。在信息化系統的功能越來越多、規模越來越大、與用戶的交互越來越深的時候,單一的、堆疊的安全產品和服務,哪怕是最新、最先進的,都無法保證不被黑客穿透,但內生安全系統,能夠讓安全產品和服務相互聯系、相互作用,在整體上具備單個產品和服務所沒有的功能,從而保障復雜系統的安全。建設內生安全,采用的就是系統工程的思想。

    過去20年,國內外在信息化建設方面,用的是系統工程思想,通過行之有效的EA方法論與框架,引導與推動了大規模、體系化、高效整合的信息化建設,很好地支撐了各行業的業務運營。

    針對網絡安全,一些西方發達國家采用體系化思想,也設計出了適應他們發展階段的NIST等框架。但由于我國的網絡安全基礎比較薄弱,一直采用的是“局部整改”為主的安全建設

    模式,導致網絡安全體系化缺失、碎片化嚴重、協同能力差,網絡安全防御能力與數字化業務的保障要求嚴重不匹配。在這樣的現狀下,無法套用西方現成的框架進行安全體系建設。

    今年,是我國“十三五”規劃收官、“十四五”規劃謀篇布局之年,86日,習近平總書記剛對“十四五”規劃編制工作做出了重要指示,要求“把加強頂層設計和堅持問計于民統一起來,齊心協力把‘十四五’規劃編制好?!?/p>

    我認為,這是非常重要的時間窗口,未來五年我國各行各業能不能取得高質量發展就取決于現在。所以,我們提出了內生安全框架,這是從工程實現的角度,針對我國的國情研制出來的,能將安全需求分步實施,逐步建成面向未來的安全體系。這套框架從頂層視角出發,支撐各行業的建設模式從“局部整改外掛式”走向“深度融合體系化”,在數字化環境內部建立無處不在的網絡安全“免疫力”,真正實現內生安全。

    就在前兩天,我和一位大型央企的領導交流,他非常興奮,非常感慨。他告訴我,他做大規模信息化建設的時候,與業務系統融合用的就是系統工程的方法,但他從來沒有見過、也沒想到過網絡安全公司也能按照系統工程的方法,做出這么具體、這么好用的框架來。他說:“網絡安全與數字化,用體系對體系,這就對了!”

    內生安全框架有三個重點,是把安全能力“理清楚”、“建起來”、“跑得贏”,目的是通過“新管理”,讓網絡安全體系具有動態防御,主動防御,縱深防御,精準防護,整體防護,聯防聯控的能力。

    先說“理清楚”。內生安全體系建設,需要先體系化地梳理、設計出保障政府和企業數字化業務所需要的安全能力,才能確保這些安全能力能夠融入到信息化與業務系統中去。

    就像建造一棟房子,需要算清楚、準備好所有的建筑材料和工具,才能打好地基、筑好框架、建好樓板、裝好防盜門窗、配齊消防設備、布好攝像頭、警報器,房子才會安全、堅固,抵御各種風險。

    在梳理的過程中,我們要充分考慮,這個系統的架構和功能將來是否可以調整?系統的安全能力能不能做到持續不斷的增強?網絡安全產品是否有維護升級的能力?未來是否

    根據需要增加新的安全產品模塊?系統是否有安全監控和數據采集的功能?

    在設計的過程中,我們要根據政府和企業自身信息化項目的實際情況,對安全能力進行挑選、組合和規劃,給出明確標準。

    再說“建起來”。融合是建設的關鍵,將安全能力深度融入物理、網絡、系統、應用、數據與用戶等各個層次,確保深度結合;還要將安全能力全面覆蓋云、終端、服務器、通信鏈路、網絡設備、安全設備、工控、人員等要素,避免局部盲區,實現全面覆蓋。

    這種將安全能力合理地分配到正確位置的建設過程,就是安全能力組件化的過程。這種安全能力組件,是軟件化、虛擬化、服務化的??茖W、合理地將安全能力組件進行組合、歸并,建立相互作用關系,確保了安全能力的可建設、可落地、可調度。

    在具體建設過程中,需要一個全景化的技術部署模型,全面描繪政企機構的整體網絡結構,信息化和網絡安全的融合關系,以及安全能力的部署形態。

    比如,按照區域,把政企機構的信息化系統分成總部、區域中心、分支機構以及網絡節點等多種類型;按照業務類別和功能,又把政企機構的信息化系統分成了全局網絡、骨干網絡、區域邊界、通信網絡、信息系統、云平臺、大數據平臺、數字化終端等層級、組件,并標記出它們的部署位置和形態。

    在這個基礎上,我們就可以把所有的安全能力組件,分別以系統、服務、軟硬件資源的形態,合理部署到信息化系統的不同區域、節點、層級中。各種安全能力組件之間,通過網絡和數據進行整體協同,使安全能力全面覆蓋信息化所有范圍,實現了對各個層次的管理,消除盲點,增強安全資源的豐富性、靈活性、完整性。

    第三個重點“跑得贏”。新基建、數字化轉型,催生了無數新的應用場景,帶來的安全風險劇增,推動網絡安全從輔助工程變成了基礎工程。

    缺乏安全運行的安全系統,相當于“靠天吃飯”。以前,由于網絡攻擊是小概率事件,就好比每年都風調雨順,“靠天吃飯”的網絡安全也很少出事;但隨著網絡攻擊成為大概率事件,好比“十年九災”,繼續“靠天吃飯”的網絡安全就會出大問題。

    內生安全體系強調安全運行,把管理作為關鍵,就能“人定勝天”,跑得贏漏洞、跑得贏內鬼、跑得贏黑客。

    我們將網絡安全運行的各個組件,以及網絡安全與信息化之間聚合、協同運行的狀態進行了詳盡的描繪,使安全工作中大量隱性活動顯性化、標準化、條令化,從而確保安全運行的可持續性,實現管理閉環。

    第三部分,框架的關鍵是組件化。

    落地內生安全,實現新管理模式,最理想的情況,是建設一個完整的框架。但現實情況是,大多數政府和企業的信息化系統,都是新老結合的,往往需要花若干年的時間,才能完成對老系統的替換,這是一個“立新破舊”的過程。

    從安全系統與信息化系統聚合的實施角度來看,如果割裂地對老系統用老辦法,新系統用新辦法,未來,當老系統被替代時,老的安全系統也不得不替換掉,造成巨大的浪費。

    這就要求我們對安全體系進行“統一設計,分步實施”,在體系的基礎上,把安全框架組件化,讓這些組件既能是新體系的一部分,又能部署到老系統中,從而適應信息化系統這種漸進式的、“立新破舊”的過程,避免不斷地把安全系統推倒重來,確?,F在安全上的投資是面向未來的。

    從國際的經驗看,ISO/IEC 27000信息安全管理體系就是按照組件化的方式設計的,它包含14個類別,35個目標,114個控制措施;NIST 的系統安全工程也列舉了從需求、設計、實現到驗證、部署、維護、棄置等14個過程應該開展的安全工作,包括54個任務、235項活動。在NIST網絡空間安全框架中,也通過IPDRR-識別、保護、檢測、響應、恢復的機制,以及多個落地子項來構造網絡安全的保護體系。

    遵循這樣的經驗,我們用工程化的思想,把體系中的安全能力,映射成為可執行、可建設的網絡安全能力組件,構成了內生安全框架,這些組件與信息化進行體系化地聚合,是安全框架落地的關鍵。

    為了窮盡安全能力組件的類型,我們研究了針對黨、政、軍、央企、金融等這些大型機構網絡安全的新技術產品和服務體系,為這些體系設計并解構出了十個網絡安全工程,以及五方面的支撐能力任務,簡稱“十大工程”“五大任務”。

    這“十工五任”是內生安全框架的具體落地手冊,具備了一個復雜龐大的信息化系統所需要的全部安全能力。這就相當于打造了一個信息化巨系統內生安全框架的建設樣板,每一個工程和任務,都可以理解成樣板房里的不同“房間”。政企機構可以結合自身信息化的特點,選取不同的“房間”進行組合,定義自己的關鍵工程和任務。

    以某個新基建項目為例,它包括了136個信息化組件,我們就依據“十工五任”手冊的具體指引,總結出了29個安全區域場景,部署了79類安全組件。

    所以,我們在進行安全體系建設時,首先必須對自己的安全框架有整體性的設計,就可以依據“十工五任”手冊,面向未來進行安全組件建設,避免“建好之時就是改造重建之日”。

    “十工五任”手冊,對每個組件的部署位置、部署順序、部署要求都給予了詳細的說明。就像房子裝修有水電改造、刷漆、鋪地板等固定流程,我們對每一個工程和任務都給出了具體的部署步驟和標準。

    下面,我給大家看一個實戰攻防的視頻,因為“網絡安全講一百遍不如打一遍”,實戰攻防是檢驗網絡安全能力的唯一標準。這個視頻呈現了一個網絡安全的“戰場沙盤”,很清楚地展示了我們在一個巨系統里部署的安全能力組件是怎么在物理層、虛擬化層、應用層逐層展開、協同聯動,讓安全體系真正運轉起來的。

    我相信,政府和企業按照我們提出的內生安全框架,投入三至五年時間,就能建立起完善的網絡安全協同聯動防御體系,真正實現內生安全。

    朋友們,數字化轉型和新一輪技術革命,正在重寫全球經濟、科技和政治格局。對網絡安全行業來說,這既是一次前所未有的機遇,也是一次前所未有的挑戰。讓我們攜起手,從安全框架開始,推動網絡安全產業再上新臺階。謝謝大家!

    尊敬的各位領導、來賓,觀眾朋友們,上午好!

    感謝大家參加BCS戰略峰會。去年,我們在首屆BCS大會上提出了“內生安全”,得到了業界廣泛認同。很多客戶來找我們,想知道內生安全到底應該怎么做。

    所以從去年開始,我們專門成立了一個工作組,和20多個一線部門緊密協同,用系統工程的思想,把網絡安全能力,映射成為可工程建設的安全能力組件體系,并給出一套規劃方法論,設計工具集和配套的模型、架構、項目綱要,構建一個能夠適應形勢變化的網絡安全框架,來支撐內生安全體系建設。今年3月,我們正式公開發布了這套面向新基建的新一代網絡安全框架。

    截至目前,我們已經在近40個大型機構里應用了這套框架,包括部委、能源央企、金融、航空、大型制造業和數字城市,得到了很高的評價,他們說,有了這套框架,從頂層設計到落地建設運行變得很容易了。為了讓更多的政企機構能快速實現內生安全,我們把今年大會的主題定為“內生安全 從安全框架開始”。

    在開始講安全框架之前,我想先說一個觀點,也是我今天演講的第一部分:內生安全的關鍵是管理。

    去年的BCS大會上,我提出了內生安全,強調在政府、銀行和大型企業等機構,通過系統聚合、數據聚合和人的聚合,不斷從信息化系統內生長出安全

    能力,這種能力具有像免疫系統一樣的自主、自成長、自適應的特點,持續保證業務安全。

    我們都知道,網絡安全是高度對抗性的行業,網絡安全系統包括技術、數據、人員和體制機制等,是一個復雜的系統。為了保障業務的安全性,實現這個系統的有效運轉,就不能僅僅考慮產品和技術因素,而是要綜合技術、管理、運行等多方面的因素。

    一個網絡安全體系,必然面臨著層出不窮的攻擊。首先,漏洞是不可避免的,只要這個系統的0day漏洞還沒有被黑客窮盡,就永遠面臨著未知的威脅。這個漏洞可能存在于芯片、操作系統、應用系統、網絡設備等任何地方,可能掌握在任何一個未知的敵人手中,這個敵人可能隨時發動攻擊,造成的危害也難以掌握,它可能導致數據被盜,也有可能會直接導致系統崩潰。如果只用攻防技術來防護,被漏洞牽著鼻子走,這類安全問題是永遠無法解決的。

    其次,根據FBICIA等機構聯合做的一項安全調查報告顯示,超過85%的網絡安全威脅來自于內部,危害程度遠遠超過黑客攻擊和病毒造成的損失。這些威脅絕大部分是內部各種非法和違規的操作行為造成的。

    最后,所有的體系都是人來操控管理的,但人是不可靠的,人本身的弱點也是網絡體系最大的脆弱性。比如弱密碼、密碼丟失、使用不安全的設備等,甚至還有人會被策反成間諜。

    上述問題的存在,都導致了不管技術多高,我們的體系還是會失效。

    2016年,黑客控制大量攝像頭進行網絡攻擊,導致美國東海岸大規模斷網的事件,就是沒有管理好攝像頭的行為,而發生的悲劇。因為攝像頭的正常行為,只會向指定的地址回傳數據,而絕不會去訪問推特、Paypal等知名網站。

    2017年,在全球范圍內大規模爆發的永恒之藍勒索蠕蟲,利用Windows漏洞進行傳播,導致大量政企機構內網淪陷系統癱瘓,也是缺乏管理釀成的苦果。微軟在3月就下發了相關漏洞的補丁,但中招的各大機構因為各種各樣的原因沒有去修補這個漏洞,有的是沒能力補,有的是怕補了影響業務,有的純粹就是安全意識問題。

    今年7月,奧巴馬、拜登、比爾·蓋茨、巴菲特等多位美國政商名流的推特賬號被劫持并發布詐騙信息,事后調查發現,是一個17歲的黑客竊取了推特員工內部管理系統賬號的權限,已經控制了好幾個月,并且在黑產市場交易獲利。如果對身份、行為做了有效的管理,這種事情就不會發生。

    這幾年,我們搞了很多實網攻防演習,每年都能發現一大堆問題,一打就穿,但很多機構“頭疼醫頭腳疼醫腳”后,由于管理不行,還是被打穿。

    所以我們認為,安全的關鍵是管理。我們所說的管理,不是傳統意義上的管理,它既不是單純的人員

    管理、行政管理、體制機制管理,也不是傳統的條文式管理、流程式管理,而是一套“新管理”模式,它由數據驅動,通過與安全體系中的能力平臺和服務平臺有效對接,實現對安全技術、安全運行等各方面要素的有效管理,從而發現和規避黑客利用安全體系里的漏洞發起的攻擊,克服人的不可靠性、彌補人的能力不足?!靶鹿芾怼蹦J?,它由數據驅動,通過與安全體系中的能力平臺和服務平臺有效對接,實現對安全技術、安全運行等各方面要素的有效管理,從而發現和規避黑客利用安全體系里的漏洞發起的攻擊,克服人的不可靠性、彌補人的能力不足。

    內生安全,代表的正是這種新形態的網絡安全管理模式。它用“一個中心五個濾網”,從網絡、數據、應用、行為、身份五個層面來有效實現對網絡安全體系的管理,從而構建無處不在,處處結合,實戰化運行的安全能力體系。這種新管理模式,需要有強大的能力體系支撐,需要用工程化、體系化的方式進行實施,這套方法的成果,就構成了內生安全框架。

    我今天要講的第二部分是:管理的關鍵是框架

    新時代需要新管理。要實現內生安全所代表的的這種新形態的網絡安全管理,是一套復雜的系統工程,它需要一個新形態的能力體系做支撐,需要用工程化、體系化的方式進行實施,實現它的關鍵就是安全框架。

    在系統科學里,有一個特性叫“涌現”,指的是構

    成系統的多個組成部分按照一定的方式相互聯系、相互作用,在整體上就能具備單個組成部分所沒有的性質,產生“1+12”的效果。比如,計算機系統可以實現工程計算、文字處理、軟件開發等功能,這些功能是CPU、電源、操作系統等單個組成部分所不具備的。

    內生安全也具有“涌現”效應,能實現“1+12”的效果。在信息化系統的功能越來越多、規模越來越大、與用戶的交互越來越深的時候,單一的、堆疊的安全產品和服務,哪怕是最新、最先進的,都無法保證不被黑客穿透,但內生安全系統,能夠讓安全產品和服務相互聯系、相互作用,在整體上具備單個產品和服務所沒有的功能,從而保障復雜系統的安全。建設內生安全,采用的就是系統工程的思想。

    過去20年,國內外在信息化建設方面,用的是系統工程思想,通過行之有效的EA方法論與框架,引導與推動了大規模、體系化、高效整合的信息化建設,很好地支撐了各行業的業務運營。

    針對網絡安全,一些西方發達國家采用體系化思想,也設計出了適應他們發展階段的NIST等框架。但由于我國的網絡安全基礎比較薄弱,一直采用的是“局部整改”為主的安全建設模式,導致網絡安全體系化缺失、碎片化嚴重、協同能力差,網絡安全防御能力與數字化業務的保障要求嚴重不匹配。在這樣的現狀下,無法套用西方現成的框架進行安全體系建設。

    今年,是我國“十三五”規劃收官、“十四五”規劃謀篇布局之年,86日,習近平總書記剛對“十四五”規劃編制工作做出了重要指示,要求“把加強頂層設計和堅持問計于民統一起來,齊心協力把‘十四五’規劃編制好?!?/p>

    我認為,這是非常重要的時間窗口,未來五年我國各行各業能不能取得高質量發展就取決于現在。所以,我們提出了內生安全框架,這是從工程實現的角度,針對我國的國情研制出來的,能將安全需求分步實施,逐步建成面向未來的安全體系。這套框架從頂層視角出發,支撐各行業的建設模式從“局部整改外掛式”走向“深度融合體系化”,在數字化環境內部建立無處不在的網絡安全“免疫力”,真正實現內生安全。

    就在前兩天,我和一位大型央企的領導交流,他非常興奮,非常感慨。他告訴我,他做大規模信息化建設的時候,與業務系統融合用的就是系統工程的方法,但他從來沒有見過、也沒想到過網絡安全公司也能按照系統工程的方法,做出這么具體、這么好用的框架來。他說:“網絡安全與數字化,用體系對體系,這就對了!”

    內生安全框架有三個重點,是把安全能力“理清楚”、“建起來”、“跑得贏”,目的是通過“新管理”,讓網絡安全體系具有動態防御,主動防御,縱深防御,精準防護,整體防護,聯防聯控的能力。

    先說“理清楚”。內生安全體系建設,需要先體系

    化地梳理、設計出保障政府和企業數字化業務所需要的安全能力,才能確保這些安全能力能夠融入到信息化與業務系統中去。

    就像建造一棟房子,需要算清楚、準備好所有的建筑材料和工具,才能打好地基、筑好框架、建好樓板、裝好防盜門窗、配齊消防設備、布好攝像頭、警報器,房子才會安全、堅固,抵御各種風險。

    在梳理的過程中,我們要充分考慮,這個系統的架構和功能將來是否可以調整?系統的安全能力能不能做到持續不斷的增強?網絡安全產品是否有維護升級的能力?未來是否根據需要增加新的安全產品模塊?系統是否有安全監控和數據采集的功能?

    在設計的過程中,我們要根據政府和企業自身信息化項目的實際情況,對安全能力進行挑選、組合和規劃,給出明確標準。

    再說“建起來”。融合是建設的關鍵,將安全能力深度融入物理、網絡、系統、應用、數據與用戶等各個層次,確保深度結合;還要將安全能力全面覆蓋云、終端、服務器、通信鏈路、網絡設備、安全設備、工控、人員等要素,避免局部盲區,實現全面覆蓋。

    這種將安全能力合理地分配到正確位置的建設過程,就是安全能力組件化的過程。這種安全能力組件,是軟件化、虛擬化、服務化的??茖W、合理地將安全能力組件進行組合、歸并,建立相互作用關系,

    確保了安全能力的可建設、可落地、可調度。

    在具體建設過程中,需要一個全景化的技術部署模型,全面描繪政企機構的整體網絡結構,信息化和網絡安全的融合關系,以及安全能力的部署形態。

    比如,按照區域,把政企機構的信息化系統分成總部、區域中心、分支機構以及網絡節點等多種類型;按照業務類別和功能,又把政企機構的信息化系統分成了全局網絡、骨干網絡、區域邊界、通信網絡、信息系統、云平臺、大數據平臺、數字化終端等層級、組件,并標記出它們的部署位置和形態。

    在這個基礎上,我們就可以把所有的安全能力組件,分別以系統、服務、軟硬件資源的形態,合理部署到信息化系統的不同區域、節點、層級中。各種安全能力組件之間,通過網絡和數據進行整體協同,使安全能力全面覆蓋信息化所有范圍,實現了對各個層次的管理,消除盲點,增強安全資源的豐富性、靈活性、完整性。

    第三個重點“跑得贏”。新基建、數字化轉型,催生了無數新的應用場景,帶來的安全風險劇增,推動網絡安全從輔助工程變成了基礎工程。

    缺乏安全運行的安全系統,相當于“靠天吃飯”。以前,由于網絡攻擊是小概率事件,就好比每年都風調雨順,“靠天吃飯”的網絡安全也很少出事;但隨著網絡攻擊成為大概率事件,好比“十年九災”,繼續“靠天吃飯”的網絡安全就會出大問題。

    內生安全體系強調安全運行,把管理作為關鍵,就能“人定勝天”,跑得贏漏洞、跑得贏內鬼、跑得贏黑客。

    我們將網絡安全運行的各個組件,以及網絡安全與信息化之間聚合、協同運行的狀態進行了詳盡的描繪,使安全工作中大量隱性活動顯性化、標準化、條令化,從而確保安全運行的可持續性,實現管理閉環。

    第三部分,框架的關鍵是組件化。

    落地內生安全,實現新管理模式,最理想的情況,是建設一個完整的框架。但現實情況是,大多數政府和企業的信息化系統,都是新老結合的,往往需要花若干年的時間,才能完成對老系統的替換,這是一個“立新破舊”的過程。

    從安全系統與信息化系統聚合的實施角度來看,如果割裂地對老系統用老辦法,新系統用新辦法,未來,當老系統被替代時,老的安全系統也不得不替換掉,造成巨大的浪費。

    這就要求我們對安全體系進行“統一設計,分步實施”,在體系的基礎上,把安全框架組件化,讓這些組件既能是新體系的一部分,又能部署到老系統中,從而適應信息化系統這種漸進式的、“立新破舊”的過程,避免不斷地把安全系統推倒重來,確?,F在安全上的投資是面向未來的。

    從國際的經驗看,ISO/IEC 27000信息安全管理體系就是按照組件化的方式設計的,它包含14個類別,35個目標,114個控制措施;NIST 的系統安全工程也列舉了從需求、設計、實現到驗證、部署、維護、棄置等14個過程應該開展的安全工作,包括54個任務、235項活動。在NIST網絡空間安全框架中,也通過IPDRR-識別、保護、檢測、響應、恢復的機制,以及多個落地子項來構造網絡安全的保護體系。

    遵循這樣的經驗,我們用工程化的思想,把體系中的安全能力,映射成為可執行、可建設的網絡安全能力組件,構成了內生安全框架,這些組件與信息化進行體系化地聚合,是安全框架落地的關鍵。

    為了窮盡安全能力組件的類型,我們研究了針對黨、政、軍、央企、金融等這些大型機構網絡安全的新技術產品和服務體系,為這些體系設計并解構出了十個網絡安全工程,以及五方面的支撐能力任務,簡稱“十大工程”“五大任務”。

    這“十工五任”是內生安全框架的具體落地手冊,具備了一個復雜龐大的信息化系統所需要的全部安全能力。這就相當于打造了一個信息化巨系統內生安全框架的建設樣板,每一個工程和任務,都可以理解成樣板房里的不同“房間”。政企機構可以結合自身信息化的特點,選取不同的“房間”進行組合,定義自己的關鍵工程和任務。

    以某個新基建項目為例,它包括了136個信息化

    組件,我們就依據“十工五任”手冊的具體指引,總結出了29個安全區域場景,部署了79類安全組件。

    所以,我們在進行安全體系建設時,首先必須對自己的安全框架有整體性的設計,就可以依據“十工五任”手冊,面向未來進行安全組件建設,避免“建好之時就是改造重建之日”。

    “十工五任”手冊,對每個組件的部署位置、部署順序、部署要求都給予了詳細的說明。就像房子裝修有水電改造、刷漆、鋪地板等固定流程,我們對每一個工程和任務都給出了具體的部署步驟和標準。

    下面,我給大家看一個實戰攻防的視頻,因為“網絡安全講一百遍不如打一遍”,實戰攻防是檢驗網絡安全能力的唯一標準。這個視頻呈現了一個網絡安全的“戰場沙盤”,很清楚地展示了我們在一個巨系統里部署的安全能力組件是怎么在物理層、虛擬化層、應用層逐層展開、協同聯動,讓安全體系真正運轉起來的。

    我相信,政府和企業按照我們提出的內生安全框架,投入三至五年時間,就能建立起完善的網絡安全協同聯動防御體系,真正實現內生安全。

    朋友們,數字化轉型和新一輪技術革命,正在重寫全球經濟、科技和政治格局。對網絡安全行業來說,這既是一次前所未有的機遇,也是一次前所未有的挑戰。讓我們攜起手,從安全框架開始,推動網絡安全產業再上新臺階。謝謝大家!

    參考書目

    安全三部曲成就零事故之路

    內生安全

    2019年,我們提出“內生安全”,它是DT時代的安全理念?!皟壬踩笔前寻踩芰戎玫叫畔⒒h境中,通過信息化系統和安全系統的聚合、業務數據和安全數據的聚合、IT人才和安全人才的三個聚合,讓安全系統像人的免疫系統一樣,實現自適應、自主和自成長。

    查看詳情

    內生安全框架

    2020年,我們提出“內生安全框架”,它是內生安全理念落地的方法?!皟壬踩蚣堋卑褍壬踩砟钣孟到y工程方法,將網絡安全能力統一規劃、分步實施,落地成完整的安全防護體系?!皟壬踩蚣堋睒s獲2020“世界互聯網領先科技成果”,并已經應用到了上百家重要客戶的十四五網絡安全規劃中,得到了很高的評價。

    查看詳情

    經營安全 安全經營

    2021年,我們提出“經營安全”,它是對網絡安全的動態掌控?!敖洜I安全”通過打造認知、安全和授信三大能力,讓網絡安全體系動起來,不斷循環升級,讓安全能力與日俱增,保障企業經營活動的安全運轉,保障國家和社會的安全穩定運行。

    查看詳情

    零事故之路

    網絡安全“零事故”是一個結果,更是一個開始。北京冬奧這場世界級的網絡安全實戰充分證明,“零事故”是可以實現的目標?!傲闶鹿省睉摮蔀樾袠I新目標,向千行百業推廣。網絡安全“零事故”具體有三條標準:業務不中斷、數據不出事、合規不踩線。對應“零事故”的三個標準,我們總結了三大要求:聯合作戰、精準防護、深度運營。

    查看詳情
    奇安信 在線客服 奇安信 95015

    您對奇安信的任何疑問可用以下方式告訴我們

    將您對奇安信的任何疑問

    用以下方式告訴我們

    聯系客服 提交信息

    網絡安全服務熱線:95015

    久久99曰韩国产精品久久99,久久久无码精品亚洲日韩京东传媒,久久精品女人天堂AV综合色