前言
经历了过去二十多年的发展,网络安全已经落后于以体系化发展的信息化,与信息化发展不匹配,不仅仅是安全能力达不到要求,还存在规模落差、成熟度落差和覆盖面落差。这不但无法支撑数字化、智能化时代的信息化保障,同时也带来了网络安全产业发展自身的诸多问题,比如小规模、零散化、同质化。要解决网络安全发展问题,不能依靠单个产品创新,也不是等待政策的来临,更不能要求客户无限制地增加预算。
网络安全产业要改变零散发展的模式,重要的是从信息化的角度,采用面向规划的新一代网络安全框架,构建内生安全能力,同时布局产业增长。
根据中国信息通信研究院2019年的数据,我国网络安全产业规模为608亿元,在整个数字经济产业中占比只有1.7%;而IDC(国际数据公司)的数据显示,网络安全投入在IT整体预算中的占比仅为1.84%,不仅远低于美国的4.78%,甚至低于全球平均的3.74%。网络安全产业规模与市场预期不平衡,与数字化转型和数字经济发展所需要的信息化保障能力不匹配,网络安全产业亟待破解规模小的困局。
奇安信自2014年成立以来,一直在开展技术创新,提出了包括数据驱动安全等创新理念。但在逐渐壮大规模的过程中,奇安信也碰到了业界很多网安企业都面临的问题——如何破解产业规模小的困局。
回顾网络安全产业的发展历程,过去主要受事件和合规驱动,并没有相应的方法论,网络安全建设非常零散,而且多是应激式的局部建设。网络安全建设长期存在缺规划、缺预算、缺人手、缺运营的情况,这导致其难以支撑数字化、智能化时代的信息化保障。
近年来,实战演练正在成为监督、检查和检验网络安全工作和能力水平的常态化手段。事实证明,实战演练对于网络安全的推动效果十分明显,如何常态化对抗威胁是亟待解决的难题。
如何解决这一难题,扩大网络安全产业规模,这一直困扰着网络安全行业的每个人。
在信息化的重构和新建过程中,在云网改造、大数据系统建设,以及业务、数据和应用发生变化时,通过系统融合、数据融合、人员融合,实现网络安全能力与信息化环境的融合内生,在这个过程中可以有效地把安全方法论与IT(信息技术)对标,解决网络安全落后于信息化发展的主要问题。
信息化使用EA(企业架构)方法论,将信息化从零散的建设发展到系统化的服务,使信息化有更好的发展和未来。对网络安全来说,在规划建设信息化系统时就嵌入安全机制和措施;同时,在规划时确立安全运行的机制;这种机制可以有效破解产业规模小、发展散乱的困境。
要改变过去网络安全零散发展的模式,以甲方视角,从信息化角度,用面向规划的内生安全框架来布局产业增长。所谓内生安全框架,是指奇安信基于长期政企网络安全防护实践形成的安全框架。该框架的核心是指导政企机构体系化的网络安全规划建设,从过去局部整改为主的外挂式建设模式走向深度融合的体系化建设模式,使之能够输出体系化、全局化、实战化的网络安全能力,以内生安全理念建立数字化环境内部无处不在的“免疫力”,构建出动态综合的网络安全防御体系。而在这个过程中,通过规划、建设、服务等扩大网络安全预算,进而提升网络安全产值。内生安全框架具有集约化和工程化的特点,更符合我国政企机构通过开展“五年规划”来集中力量办大事、解决大问题的成功做法。
内生安全框架的落地实践可以总结为:一套方法论、四个放大器、两个全景模型、贯穿项目全生命周期和两个确保。其中,一套方法论是指从信息化角度,用系统工程思想与EA方法进行网络安全规划设计,以能力为导向,以架构为驱动。基于这套方法论形成了安全产业的四个放大器:一是基于SANS(美国系统网络安全协会)的滑动窗口模型识别出客户所需的所有安全能力;二是安全能力与信息化深度融合;三是安全能力全面覆盖信息化环境;四是形成可闭环运行体系。通过采用工程化思想,规划建设内生安全框架,最终会生成两个全景模型——通过规划形成政企机构防御技术全景模型和政企机构防御运行全景模型,以此指导政企机构的网络安全防御体系的建设和运行。与此同时,网络安全服务过程将贯穿项目全生命周期——从规划、可研、立项、招投标、集成交付到可运行,确保客户安全项目可建设、能运行。
由此,可以形成一个巨大的网络安全服务化的市场。以内生网络安全框架体系的两个全景模型为基础可以生成网络安全建设视图和网络安全产业机遇地图,可用于指导网络安全产业的创新和发展。
内生安全框架对于政企机构来说,可以帮助规划设计和落地,同时推动政企机构需求侧的不断打开,由此拓宽供给侧的市场。这对于网络安全行业而言,可实现标准化、体系化、集约化生产,加快形成布局合理、分工有序、相互衔接的规模效应,从而告别此前的“小零同”(小规模、零散化、同质竞争)状况,在更宽的赛道上发展。
在这个过程中,整个国家的网络空间安全亦将受益。因为通过体系化的建设,关键信息行业与机构真正拥有的网络安全能力体系,将成为国家网络空间中有效防御的一环,保障整体的国家网络安全战略落地。
在《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》(以下简称《建议》)中,提出了加快数字化发展,并明确要求保障国家数据安全,加强个人信息保护;《建议》提出了统筹发展和安全的新理念,网络安全作为国家安全能力体系的一部分,要全面加强网络安全保障体系和能力建设。
网络安全行业要抓住“十四五”规划机会,落实中央要求,面向国家大数据战略的信息化发展保障需要,依托内生安全框架进行网络安全顶层规划,指引网络安全建设从“零散”走向“全局”,彻底改变过去“头痛医头、脚痛医脚”的局部的、针对单点的建设模式,走向彻底、全面解决问题的体系化全局建设模式,全面加强网络安全保障体系和能力建设,为国家大数据战略保障护航。