内生安全:新一代网络安全框架体系与实践
上QQ阅读APP看书,第一时间看更新
上一章目录下一章

随着数字经济时代的到来,政府和企业开始全面实施网络化、数字化,业务和数据的安全性也因此成为重中之重。尤其是伴随着5G、数据中心、工业互联网等新型基础设施建设的推进,数字经济加速向纵深发展,传统基础设施亟需转型升级,这进而形成了融合基础设施,加速了物理与虚拟边界的消融,带来了全新的安全挑战。

内生安全重塑网络安全体系

在新的网络安全形势下,政企机构的网络安全投入不断增加,但与此同时,网络攻击、数据泄露事件依然层出不穷。网络安全行业陷入投入不断增加、安全形势却日益严峻的尴尬局面。安全威胁之所以“防不住”,主要原因是传统的产品堆叠的网络安全体系已经不能有效应对当前的网络安全挑战。在传统的互联网时代,网络安全企业和个人习惯采取“事后补救”的措施来应对网络威胁,也就是等出了事后再采取安全措施。这种方式往往是“头痛医头、脚痛医脚”,是局部的、针对单点的,而不是彻底的和全面的。这种“局部整改”为主的安全建设模式,导致网络安全体系化缺失、碎片化严重、协同能力差,使得网络安全防御能力与数字化业务的保障要求严重不匹配。

为了满足数字化建设的安全防护需求,政企机构必须抛弃这种“事后补救”的安全建设思路,将防护关口前移,防患于未然,通过内生安全系统的工程建设,构建全面的“事前防控”网络安全防护体系,用“实战化、体系化、常态化”的要求,实现动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控。

“内生安全”通过系统聚合、数据聚合和人的聚合,内置于信息化环境中并不断自我生长出安全能力。内生安全有“一个中心,五个滤网”,从网络、数据、应用、行为、身份这5个层面来有效实现对网络安全体系的管理,从而构建无处不在、处处结合、实战化运行的安全能力体系。

内生安全落地的关键是框架

内生安全的实施是一套复杂的系统工程,需要一个新形态的能力体系做支撑,需要用工程化、体系化的方式实施,而实施的关键就是安全框架。

在信息化系统功能越来越多、规模越来越大、与用户的交互越来越深时,单一的、堆叠的安全产品和服务(哪怕是最新最先进的)都无法保证不被黑客攻破。但是,内生安全系统能够让安全产品和服务相互联系、相互作用,在整体上具备单个产品和服务所没有的功能,从而保障复杂系统的安全。

过去20年,在信息化建设方面,国内外采用的是系统工程思想,通过行之有效的EA(Enterprise Architecture,企业架构)方法论与框架,引导与推动了大规模、体系化、高效整合的信息化建设,很好地支撑了各行业的业务运营。针对网络安全,有些西方国家采用体系化思想,设计出了适应它们的发展阶段的NIST(美国国家标准与技术研究院)等框架。但由于我国的网络安全基础比较薄弱,无法套用西方现成的框架进行安全体系建设,因此采用了“局部整改”为主的安全建设模式。

针对我国的国情,我们提出了“内生安全——新一代网络安全框架”,从工程实现的角度,将安全需求分步实施,逐步建成面向未来的安全体系。这套框架从顶层视角出发,以系统工程的方法论结合内生安全的理念,支撑各行业的建设模式从“局部整改外挂式”走向“深度融合体系化”,在数字化环境内部建立无处不在的网络安全“免疫力”,真正实现内生安全。

框架实施的关键是组件

内生安全要想成功落地,最理想的情况是建设一个完整的框架。但现实情况是,大多数政府和企业的信息化系统都是新老结合,往往需要花费若干年的时间,才能完成对老系统的替换。这是一个“立新破旧”的过程。从安全系统与信息化系统聚合的实施角度来看,如果对老系统用老办法,对新系统用新办法,则未来老系统被替代时,老的安全系统也不得不替换掉,这种割裂的处理方式将造成巨大的浪费。这就要求我们对安全体系进行统一设计,并分步实施。在安全体系的基础上,把安全框架组件化,让这些组件既是新体系的一部分,又能部署到老系统中,从而适应信息化系统这种渐进式的、立新破旧的过程,以避免不断地把安全系统推倒重来,并确保现在安全上的投资是面向未来的。

我们用工程化的思想,把安全体系中的安全能力,映射成为可执行、可建设的网络安全能力组件,由此构成了内生安全框架。这些组件与信息化系统进行体系化的聚合,是安全框架落地的关键。

在“内生安全——新一代网络安全框架”中,我们设计解构出了“十大工程、五大任务”,这是该框架的具体落地指导,涵盖了当前所有的主流场景以及与技术相关的信息化系统所需要的安全能力。这个体系中包含了130多个信息化组件、79类网络安全组件,覆盖了29个安全域场景。这相当于打造了一个信息化巨系统内生安全框架的建设样板,每一个工程和任务都可以理解成样板房里的不同“房间”。政企机构可以结合自身信息化的特点,选取不同的“房间”进行组合,定义自己的关键工程和任务。

“内生安全——新一代网络安全框架”的意义

“内生安全——新一代网络安全框架”是从信息化的角度规划安全建设,立足解决未来10~20年的网络安全问题。这一框架可以指导政企机构进行体系化的网络安全规划建设,从过去“局部整改为主的外挂式”建设模式走向“深度融合的体系化”建设模式,使之能够输出体系化、全局化、实战化的网络安全能力,构建出动态综合的网络安全防御体系。

“内生安全——新一代网络安全框架”催生了新的安全需求,为网络安全生态发展创造了更大的空间。要满足新的网络安全需求,必须借助生态整合的力量,协同网络安全厂商、基础设施厂商、应用开发厂商,以及教育、科研机构、主管部门和用户,共同打造“产、学、研、用、管”一体化的网络安全产业生态。

——齐向东,奇安信集团董事长

上一章目录下一章