“任何新技术的出现和应用都不是凭空的,都是要有一定的土壤和环境,比如要考虑到先期的基础安全建设。”面对数字化转型对政企机构运营模式带来的颠覆性转变,日前,奇安信&Gartner发布《数字化转型需要内生的安全框架》报告(以下简称《报告》),重点强调网络安全建设工作在追求新技术的同时,更要打好基础。同时,《报告》还重点对比了国内外网络安全建设差异化现状,提出了一种更具中国特色的、切实有效的网络安全建设体系。
图:奇安信&Gartner《数字化转型需要内生的安全框架》
拥抱新技术要打好基础,面对新挑战需要内生安全
数字化转型为网络安全带来更多新威胁、新挑战,旧有的网络安全建设模式已经无法满足业务和安全要求,国内外领先的组织和研究机构开始关注安全技术新趋势,帮助组织机构的管理者采取相应的技术措施和建设工作,以适应时代背景下更复杂、更庞大、更具价值的安全需求。
“新的安全技术越来越强调协同和联动。”对此,《报告》强调:“需要注意到,我们在关注安全技术新趋势的时候,更要考虑到应用这些安全新技术的基础。”跟紧前沿技术,必要的前提工作就是安全基础的积累。
就国内网络安全建设工作而言,各组织机构继续建设高水平的新安全能力来应对新挑战。《报告》提到,早期的网络安全建设大多是围墙式的,随着业务与信息化的融合深入,人们开始在内部业务系统的IT环境中部署更多安全措施,结合内外部安全大数据,采用外挂式安全建设提升整体防护能力。
无论是围墙式还是外挂式,都无法做到业务与安全真正融合,其本质仍然是传统防护手段的组合、叠加。政企机构的信息化建设,需要一种新的安全思维,即本身与信息化环境相融合的能力,具有内在“抵抗力”的内生安全思想,也是我国数字经济发展所需要的全新的网络安全建设思想。从用户业务需求出发,围绕其核心业务形成自适应、自主、自生长的新安全能力,真正解决数字经济时代的业务安全问题。
网络安全建设差异化明显,“十四五”带来破局新契机
在网络安全建设差异化现状层面,《报告》指出,我国网络安全建设发展差异主要集中在两个方面,即我国和欧美国家之间、国内政企机构之间的差异。一方面,与起步早、成熟度较高的欧美市场相比,我国网络安全建设在网络安全基础结构、安全管理、安全运营等方面处于构建和完善阶段,安全技术的研究和应用情况也存在很大差别。
而另一方面,在国内早期等保合规与应对威胁的驱动下,网络安全呈现“应对合规、局部整改”的特点,导致国内各行业的安全建设与发展出现明显差别,如电力、金融等领域的安全保障水平国内领先,甚至已经与国际水平相接轨。国内政企机构之间的发展差异集中体现为,网络安全的高度体系化仍然只存在于小部分领先组织,各政企机构在基础设施完备度、安全对信息化环境的覆盖面、安全与信息化各层次结合程度、安全运行可持续性、应急能力就绪度、资源保障等方面差异明显。
概括来说,我国网络安全建设和发展阶段与欧美截然不同,国内各政企机构之间的安全建设及安全基础积累更是差异明显。弥合安全能力基础积累的差异并有效落地内生安全,是对我国网络安全建设的新挑战。
当前,我国网络安全建设发展迎来机遇期,“十四五”规划及国家统筹下相关法律法规、政策制度的密集出台,从发展与治理两个方面,为我国网络安全基础能力提升、数字化转型带来破局契机。对此,政企机构应牢牢把握机遇,以顶层设计的视角考虑安全建设现状与差异,有效落地内生安全,兼顾我国网络安全建设现状与技术发展新趋势。
以奇安信内生安全框架为土壤,承接技术发展新趋势
“高水准的网络安全规划尤其需要一套行之有效的方法论和框架作为指引。”《报告》建议,首先在方法论方面,可将以企业架构(EA,Enterprise Architecture)为代表的系统性方法论用于网络安全;其次,在安全框架方面,需能以系统工程方法论结合“内生安全”理念而形成的建设框架,以引导政企机构规划和建设网络安全,使其从外挂走向内生、从“走形式”转向“实战化”,适应数字经济的发展。
图:奇安信内生安全框架
在上述背景下,奇安信全面分析了国内外网络安全态势和我国政企面临的挑战,结合政府、央企、金融等大型机构面临的普遍性需求,借鉴国内外网络安全最佳实践,吸收最新网络安全技术研究成果,提出面向“十四五”期间的新一代企业网络安全框架,即内生安全框架,为政企机构提供从“甲方视角、信息化视角、网络安全全景视角”出发的顶层规划与体系设计思路与建议。
《报告》介绍,内生安全框架包括网络安全能力体系、规划方法论与工具体系、能力化组件模型、建设实施项目库、政企机构网络安全技术部署参考架构、政企机构网络安全运行体系参考架构等多个组件,这些组件可被用于政企网络安全规划的不同阶段,并随着安全建设项目实施逐步融入信息化环境,从而构建体系化安全能力。更重要的是,内生安全框架可以为新技术的持续引入、创新提供“土壤”,使得新技术在体系化网络安全环境充分发挥效能。
总体而言,国际网络安全技术新趋势对我国网络安全建设具有重要参考价值,但我们应综合考虑发展差距和差异化现状,牢牢把握时代发展契机,选择具有中国特色的、符合发展需求的内生安全框架这一方法论,从而切实指导各政企机构网络安全建设,提升实战化运行能力,有效保障数字化业务发展。
如若转载,请注明原文地址