吴云坤：用新一代安全框架提升网络安全产值

8月11日，在2020北京网络安全大会产业峰会上，奇安信集团总裁吴云坤在演讲中提出：要用新一代网络安全框架提升网络安全产值，破解我国网络安全产业规模小的困局。

• 产业规模增长不是靠单个产品创新，也不是等待政策的来临，更不是等待客户预算无限地增大。

• 网络安全产业要改变小零同（小规模、零散化、同质化）散发展的模式，重要的是从信息化的角度，用面向规划的新一代网络安全框架，来布局产业增长。

根据信通院2019的数据，我国网络安全产业规模为608亿元，在整个数字经济产业中占比只有1.7‰；网络安全投入在IT整体预算中的占比仅为1.84% ，不仅远低于美国的4.78%，甚至低于全球平均的 3.74%。网络安全产业规模与市场预期不平衡，与数字化转型和数字经济发展所需要的信息化保障能力不匹配，网络安全产业亟待破解规模小的困局。

产业规模增长不是靠单个产品创新，也不是等待政策的来临，更不是等待客户预算无名地增大。对网络安全产业来说，改变过去网络安全零散发展的模式，重要的是从信息化的角度，用面向规划的新一代网络安全框架，来布局产业增长。

“四缺”制约网络安全产业发展

自2014年成立以来，奇安信一直在开展技术创新，提出了包括数据驱动安全等创新理念，但在逐渐壮大规模过程中，奇安信也碰到了业界很多网安企业都面临的问题：如何破解产业规模小的困局。

回顾网络安全产业的发展历程，由于过去主要受事件和合规驱动，并没有相应的方法论，整个产业的发展非常零散，而且多是应激式的局部建设。

在这种模式下，主要安全厂商的服务都集中于“建设”阶段卖产品，缺少咨询规划角色和运行角色。

过去的规划，有人形象地描述为就是设计院让安全厂商把过去三年研制的产品放到未来三到五年IT规划中。用过去的安全产品来解决未来的信息化安全问题，这在技术上听着就不可靠，这一过程极大地影响了整个产业的发展。此外，很多互联网公司特别重视安全运营，这是安全产品能够真正发挥作用的最基本保障，但从产业来看，存在运营服务角色的缺失。

网络安全建设长期存在的四缺：缺规划、缺预算、缺人手、缺运营。这导致其难以支撑数字化、智能化时代的信息化保障：

• 没有规划，安全后置，“创可贴”式的建设导致产品堆砌、防护失衡，手段“碎片化”。

• 安全预算占比IT整体预算不足。应对“实战化、常态化”挑战，无法达到预期目标。

• 人是安全运行的基础。内部人员编制不足、外部采购没有明目、人员能力不足。

• 几乎没有运营，IT与安全“两张皮”，资产不清，管理难落地，安全体系无法有效运行。

破解产业困境的机会

要扩大网络安全产业规模，是等待所有的法规出来天上掉馅饼，还是等待客户的预算突然增大，或者等着信息化建设的更替？这一问题一直困扰着网络安全行业的每个人。

习总书记强调，网络安全和信息化是一体之两翼，驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。这一论断和要求让数字经济有了整体的发展思维，给扩大网络安全产业规模带来了机会：可以有效地把安全方法论与IT对标，解决网络安全落后于信息化发展的主要问题。

信息化使用EA方法论，将信息化从零散的建设，发展到系统化的服务，让信息化有更好的发展和未来。对网络安全来说，在（信息）大厦规划建设之时就把安全的机制和措施嵌入进去；同时，在规划时就确立安全运行的机制；这种机制可以有效破解产业规模小、发展散乱的困境。

内生安全框架的落地实践是产业破局关键

要改变过去网络安全零散发展的模式，应当以甲方视角、从信息化角度，用面向规划的内生安全框架，布局产业增长。

所谓内生安全框架，是指网络安全领军企业奇安信基于长期政企网络安全防护实践形成的安全框架，该框架的核心是指导政企机构体系化的网络安全规划建设，从过去局部整改为主的外挂式建设模式走向深度融合的体系化建设模式，使之能够输出体系化、全局化、实战化的网络安全能力，以“内生安全”理念建立数字化环境内部无处不在的“免疫力”，构建出动态综合的网络安全防御体系。而在这个过程中，通过规划、建设、服务等扩大网络安全预算，进而提升网络安全产值。

内生安全框架的落地实践可以总结为：一套方法论、四个放大器、两个全景模型、贯穿项目全生命周期和两个确保。

其中，一套方法论是指从信息化角度，用系统工程思想与EA方法进行网络安全规划设计，以能力为导向，以架构为驱动。

基于这套方法形成了安全产业的四个放大器：一是基于SANS的滑动窗口模型识别出客户所需的所有安全能力；二是安全能力与信息化深度融合；三是安全能力全面覆盖信息化环境；四是形成可闭环运行体系。

通过用工程化思想，规划建设内生安全框架，最终会生成两个全景模型：通过规划形成政企机构防御技术全景模型和政企机构防御运行全景模型，以此指导政企机构的网络安全防御体系建设和运行。

与此同时，网络安全服务过程将贯穿项目全生命周期：从规划、可研、立项、招投标、集成交付到可运行，确保客户安全项目可建设、能运行。

由此，可以形成一个巨大的网络安全服务化的市场。

内生安全框架对于政企机构来说，可以帮助规划设计和落地，同时推动政企机构需求侧的不断打开，由此供给侧的市场盘子将随之拓宽。这对于网络安全全行业而言，可实现标准化、体系化、集约化生产，加快形成布局合理、分工有序、相互衔接的规模效应，从而告别此前的“小零同”（小规模、零散化、同质竞争）状况，在更宽的赛道上发展。

在这个过程中，整个国家的网络空间安全亦将受益。因为通过体系化的建设，关键信息行业与机构真正拥有的网络安全能力体系，将成为国家网络空间中有效防御的一环，保障整体的国家网络安全战略落地。

网络安全行业要抓住新基建、数字化和十四五规划机会，面向甲方信息化发展保障需要，依托内生安全框架、围绕能力价值链条推动集成应用。

其中，安全大厂商、大集成商发挥好牵引作用，小企业专精细分领域的技术创新和能力建设，通过同步规划、同步建设、同步运行，实现整个网络安全生态与信息化的深度融合，促进与产品厂商和技术创新厂商的共同发展，进一步扩大网络安全产业规模，为我国信息安全产业提供更多发展的空间。

本文整理自奇安信集团总裁吴云坤在BCS 2020大会上的主题演讲。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。