• “局部整改”式的、零散的、碎片化的网络安全建设,与信息化割裂、没有结合点而且经常是滞后的,这是我们的网络安全产业发展滞后的根本原因。

  • 新基建对网络安全产业是机会,更是极大挑战:建立满足保障需求的能 力;同时发现机会、扩大规模、提升产业。

  • 新一代网络安全框架的目标首先是要建设内生安全能力,保证安全系统与业务系统深度融合;其次是用系统工程的思路进行网络安全规划设计,实现安全融入IT战略和企业战略,保证安全系统与IT系统融合,同时匹配业务战略。

零散化安全建设无法匹配信息化发展

近年来中国网络安全产业快速发展,增长速度全球领先,但与美国相比,我们的网络安全产业规模依然较小,与经济总量、数字经济规模严重不匹配。

网络安全投入在IT整体预算中的占比更是远低于美国。IDC的数据显示,中国网络安全在IT投入中的占比只有1.84%,而美国可以达到4.78%。美国联邦政府公布的2020财年网络安全预算为174亿美元,在IT预算的占比高达19.8%,其中民事部门、国防部和国土安全部的占比分别为15.3%、26.2%和27%,而我国政企机构的网络安全投入占比要低很多。

我们需要思考一个问题,到底发生了什么,使得我们的网络安全产业与美国有如此大的差距?

首先回顾一下发展历程,我们会发现网络安全严重滞后,与信息化发展完全不匹配。我国的信息化始于上世纪的80年代,从初期比较原始的辅助性信息化手段、到90年的体系规划阶段、到2005年之后IT变成了业务高度依赖的服务,再到现在的数据化和智能化,核心业务运行在IT之上。整个信息化过程中,从EA架构、服务管理到运维管理等,都是按照体系化规划的思维来构建IT系统。

网络安全经历的却是“二十年零散发展”:网络安全建设是“局部整改”式的、零散的、碎片化的,与信息化是割裂的、没有结合点而且经常是滞后的,这是我们的网络安全产业没有跟随信息化获得很好发展的根本原因。

除此之外,信息化中的IT规划、建设和运营都有相应的机构来承担,而在网络安全行业,无论是上市公司还是创业企业,所有厂商都集中在网络安全建设阶段做产品,在网络安全行业中咨询规划和运行角色缺位。规划直接关系到如何与信息化结合,影响安全预算,也直接影响安全规模;而运营则关系建设的安全系统能否有效输出安全能力。

从网络安全产业角度看,市场缺少行业领军公司,带动产业规模的扩大,也缺少咨询角色和运营角色,造成网络安全无规划、缺经费、少人手、没有有效运营,难以形成体系化的能力为数字化、智能化时代的信息化提供安全保障。

这既是我们网络安全产业的现状和不足,也是与美国网络安全产业的根本差距。如果网络安全产业继续延续这样的零散化发展模式,将无力也无法适应信息化的高速发展,我们需要做出改变。

体系化建设支撑信息化发展

新冠肺炎疫情爆发后,国家大力度推动新型基础设施建设、政企机构的数字化转型和以远程办公、远程医疗、远程教育为代表的“宅经济”发展,信息化投资和建设加速,这对于网络安全产业是机会,更是极大挑战。

我们希望用全新的网络安全框架,来建立满足新基建保障需求的能力;同时在这个网络安全框架中发现机会、扩大规模、提升产业。

通过框架将包括基础架构安全、纵深防御、积极防御、情报和反制不同阶段的安全能力,及其对应的产品、人、能力和服务,内生到信息化系统中。

这个过程中需要安全和信息化的同步规划,规划过程是用信息化“听得懂”的方式,实现安全与信息化的同步和对话。

建设过程是要建设两个体系:一是技术体系,二是运营体系。只有这么做,才有可能把整个网络安全内生在信息化过程当中,实现安全规模的提升,这样的建设模式就不再是过去局部整改为主的外挂式建设,而是走向深入融合的体系化建设。

新一代网络安全框架

奇安信推出的新一代网络安全框架,是面向新基建建设、面向数字化业务,以系统工程的方法论结合“内生安全”的理念,形成的网络安全建设框架,通过建立这个框架指导我们整个规划建设过程。

这个框架的目标首先是要建设内生安全能力,保证安全系统与业务系统深度融合、安全能力伴随业务变化日渐强壮、即使网络被攻破也能保证业务安全。只有通过这样的信息化和安全的嵌入才有可能形成内生安全,解决安全和IT“两张皮”的问题。

其次,用系统工程的思路进行网络安全规划设计,实现安全融入IT战略和企业战略,用标准化的工具和方法,使得安全、IT和业务用同样的语言体系、同样的层次架构进行对话,将有各自目的的个体连接在一起,保证安全系统与IT系统融合,同时匹配业务战略。

这种系统工程的方法,早已在我国航空航天系统得到成功实践,保证了大飞机、太空探月等大工程的成功。

用新一代网络安全框架带动产业规模化发展

新一代网络安全框架以实体工程和支撑任务两个维度,划分为“十大工程”和“五大任务”。

其中“十大工程”落地为政企网络安全的防御体系,在新基建和数字化转型背景的数字化、智能化的信息化建设体系上,全面覆盖和深度融合安全体系,将安全能力嵌入信息化的每个层次。

“五大任务”是为了支撑整体网络全防御体系真正运行起来,将安全运行嵌入IT运行,保证防御体系的安全能力有效输出。

如果把这个框架落地在一个行业、一个企业、一个政府机构客户,再把它具像化,落实到整个五年规划当中去,客户就可以“得到”网络安全的预算,包括了运营预算、能力方面的预算,还有人员编制的预算。在这样的框架下所需要的能力是政企机构客户的真实需求,其中的很多能力在我们的安全行业还是“空缺”,填补这些“空缺”将意味着产业规模的扩大和提升,这将是中国网络安全产业发展的机会。

对于网络安全产业来说,这个框架让安全厂商、服务商和甲方有了共同的视图,来解决网络安全与信息化不匹配的问题,解决网络安全产业规模不够大的问题,这是中国网络安全产业共同的视图。

要抓住新基建机会,网络安全行业需要面向甲方信息化发展保障需要,依托体系框架围绕能力价值链条推动集成应用,发挥好大厂商大集成商的牵引作用,通过和信息化同步的安全规划入手、同步建设和同步运行以扩大产业规模,促进与产品厂商和技术创新厂商的共同发展,夯实网络强国建设的网络安全产业基础。

(本内容整理自奇安信集团总裁吴云坤3月24日在北京网络安全大会主办的“RSAC主题分享万人云峰会”上的演讲内容)

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。