新基建.jpg" alt="新基建.jpg"/>

一、數(shù)字化從可選變成必選

2020年開端，一場突如其來的新型冠狀疫情，無形中加速了全球擁抱數(shù)字化的步伐。從疫情防控到遠程辦公，人類社會首次大范圍感受到數(shù)字化轉型帶來的效率提升。數(shù)字化已經(jīng)成為治理體系和治理能力現(xiàn)代化建設的必要一環(huán)。3月4日，中央政治局會議強調加快5G網(wǎng)絡、數(shù)據(jù)中心等新型基礎設施建設，為我國數(shù)字化轉型按下了加速鍵?！靶禄ā睂咏?jīng)濟高質量增長，但新技術的應用也引入了新的安全風險。一旦發(fā)生重大網(wǎng)絡安全事件，將使數(shù)字化帶來的收益“一失萬無”。如何保障數(shù)字化業(yè)務的平穩(wěn)、有序和高效運營，是“新基建”過程中的一次大考。

二、安全從輔助變成基礎

自中央政治局會議強調加快新型基礎設施建設以來，我國各地方政府紛紛公布“新基建”投資計劃。截至目前，全國31個省份推出了超過40萬億的投資藍圖。網(wǎng)絡安全是“新基建”的基礎。以前，網(wǎng)絡安全是輔助性工程，但在“新基建”里是基礎工程?！靶禄ā睍M一步加快網(wǎng)絡世界和物理世界的融合。這意味著兩者的邊界將基本消失，對網(wǎng)絡的攻擊就等于對物理世界的攻擊，直接影響人民生活、社會穩(wěn)定和國家安全。比如，5G遠程手術遭遇網(wǎng)絡攻擊，可能會威脅到人們的生命安全；車聯(lián)網(wǎng)遭受攻擊，可能會直接造成車毀人亡。未來，絕大部分的安全問題都集中在應用場景上，因此需要把安全升級，作為基礎設施來建設。以新能源汽車充電樁為例，未來每個充電樁都會聯(lián)網(wǎng)，當協(xié)議出現(xiàn)漏洞，就出現(xiàn)了新的攻擊方法，安全問題瞬息萬變。傳統(tǒng)的解決方法是給每個充電樁部署安全設施，但未來充電樁會遍布城鄉(xiāng)各地，一個個分布式解決是行不通的。只有通過分層解耦、異構兼容，把安全能力資源化、目錄化、云化，用網(wǎng)絡調度來增減安全措施，才能保障系統(tǒng)的正常運轉。美國聯(lián)邦首席信息官肯特（Suzette Kent）于近日表示，網(wǎng)絡安全必須是“高度優(yōu)先”的，必須將其“嵌入”到技術的各個方面。她認為，從現(xiàn)在開始進行的每個技術項目，都必須以網(wǎng)絡安全為基礎。

三、“新基建”需要新一代網(wǎng)絡安全框架

過去20年，國內外在信息化建設方面，有一套行之有效的框架與方法論，即采用以系統(tǒng)工程思想結合IT的EA（Enterprise Architecture）方法論，形成TOGAF框架（開放組織體系結構框架 The Open Group Architecture Framework），引導與推動了大規(guī)模、體系化、高效整合的信息化建設，很好地支撐了各行業(yè)的業(yè)務運營。網(wǎng)絡安全行業(yè)一直盼望著能有與信息化系統(tǒng)工程方法相匹配的框架，指導未來的網(wǎng)絡安全體系建設。因為此前，在網(wǎng)絡安全行業(yè)，一直采用的是“局部整改”為主的安全建設模式，致使網(wǎng)絡安全體系化缺失、碎片化嚴重，網(wǎng)絡安全防御能力與數(shù)字化業(yè)務運營的保障要求嚴重不相匹配。把網(wǎng)絡安全升級成“新基建”的基礎工程，就必須有一套行之有效的框架作為指導。奇安信的戰(zhàn)略部門從2019年開始潛心研究，并于近日發(fā)布新一代網(wǎng)絡安全框架。這是面向“新基建”建設、面向數(shù)字化業(yè)務，以系統(tǒng)工程的方法論結合“內生安全”的理念，形成的網(wǎng)絡安全建設框架。這套框架從頂層視角出發(fā)，幫助各行業(yè)在數(shù)字化環(huán)境內部建立無處不在的“免疫力”，構建出動態(tài)綜合的網(wǎng)絡安全防御體系，全方位保障業(yè)務安全。

四、十大工程五大任務

新一代網(wǎng)絡安全框架，以實體工程和支撐任務兩個維度，劃分為“十大工程”和“五大任務”。它適用于幾乎所有網(wǎng)絡空間各個應用場景下的安全需求，能指導不同的行業(yè)輸出符合其業(yè)務特點的網(wǎng)絡安全架構。

十大工程

工程一：新一代身份安全。對應新場景下身份管理和使用模式的改變，構建基于屬性的身份管理與訪問控制體系，全面納管數(shù)字化身份，為網(wǎng)絡安全與業(yè)務運營奠定基礎。

工程二：重構企業(yè)級網(wǎng)絡縱深防御。對應新技術應用產(chǎn)生的更多網(wǎng)絡出口、更復雜的管理挑戰(zhàn)，采用標準化、模塊化的網(wǎng)絡安全防護集群，適配網(wǎng)絡節(jié)點接入模式，構建覆蓋多層次的網(wǎng)絡縱深防御體系。

工程三：數(shù)字化終端及接入環(huán)境安全。對應數(shù)字化時代終端類別繁多、接入與管控、數(shù)據(jù)安全的風險，在終端和接入環(huán)境上構建一體化終端安全技術棧，構建全面覆蓋多場景的數(shù)字化終端安全管理體系。

工程四：面向云的數(shù)據(jù)中心安全防護。對應云數(shù)據(jù)中心復雜的應用場景，將安全能力深入融合到云數(shù)據(jù)中心多層次的網(wǎng)絡縱深和組件中，同時滿足傳統(tǒng)數(shù)據(jù)中心安全和云計算安全要求。

工程五：面向大數(shù)據(jù)應用的數(shù)據(jù)安全防護。對應數(shù)據(jù)集中、流轉和應用場景中的安全挑戰(zhàn)，以數(shù)據(jù)安全治理為基礎，將數(shù)據(jù)生命周期與數(shù)據(jù)應用場景結合，嚴控數(shù)據(jù)流轉與使用，加強行為監(jiān)控與審計，確保數(shù)據(jù)安全。

工程六：面向實戰(zhàn)化的全局態(tài)勢感知體系。對應目前重展現(xiàn)輕分析，實戰(zhàn)支撐力不足的現(xiàn)狀，覆蓋所有信息資產(chǎn)的全面實時安全監(jiān)測，持續(xù)檢驗安全防御機制的有效性、動態(tài)分析安全威脅并及時處置。

工程七：面向資產(chǎn)/漏洞/配置/補丁的系統(tǒng)安全。對應當前各大機構安全體系的最短板，聚合IT資產(chǎn)、配置、漏洞、補丁等數(shù)據(jù)，提高漏洞修復的確定性，實現(xiàn)及時、準確、可持續(xù)的系統(tǒng)安全保護。

工程八：工業(yè)生產(chǎn)網(wǎng)安全防護。對應企業(yè)工業(yè)生產(chǎn)網(wǎng)長期以來安全防護普遍缺失的現(xiàn)狀，面向工控網(wǎng)絡內部、工控與IT網(wǎng)絡邊界、數(shù)據(jù)采集與運維、集團總部數(shù)據(jù)中心構建多層次安全措施，強化縱深防御，全面掌握工業(yè)生產(chǎn)網(wǎng)的安全態(tài)勢。

工程九：內部威脅防控體系。對應內部人員導致嚴重業(yè)務損失的巨大威脅，基于操作監(jiān)控、訪問控制、行為分析等手段，結合管控制度、意識培訓等管理措施，提升內部威脅防護能力。

工程十：密碼專項。對應密碼相關的法律要求和業(yè)務需求，秉承“內生安全”理念規(guī)劃、設計密碼體系，實現(xiàn)密碼與信息系統(tǒng)、數(shù)據(jù)和業(yè)務應用緊密結合。

五大任務

任務一：實戰(zhàn)化安全運行能力建設。按次開展的安全檢查與測評模式無法達到業(yè)務安全保障要求。應全面涵蓋安全團隊、安全運行流程、安全操作規(guī)程、安全運行支撐平臺和安全工具等，并持續(xù)的評估、優(yōu)化，持續(xù)提升安全運行成熟度，以達成對信息系統(tǒng)的持久性防護。

任務二：應用安全能力支撐。應用系統(tǒng)建設過程中安全長期缺位，安全與信息化建設普遍割裂，系統(tǒng)帶病上線，后期整改困難。結合開發(fā)運行一體化（DevOps）模式，推進安全能力與信息系統(tǒng)持續(xù)集成，使安全屬性內生于信息系統(tǒng)，保持敏捷的同時滿足合規(guī)，使信息系統(tǒng)天然具有免疫力。

任務三：安全人員能力支撐。人的能力決定安全體系建設和運行的能力。設計企業(yè)網(wǎng)絡安全團隊、設置崗位與能力要求，開展能力實訓，建設網(wǎng)絡安全實戰(zhàn)訓練靶場，提升人員的實戰(zhàn)能力，形成安全團隊建制化。

任務四：物聯(lián)網(wǎng)安全能力支撐。物聯(lián)網(wǎng)設備類型碎片化、網(wǎng)絡異構化、部署泛在化的特性引入了大量安全風險。結合物聯(lián)網(wǎng)“端邊云”的架構，構建具有靈活性、自適應性和邊云協(xié)同能力的物聯(lián)網(wǎng)安全支撐體系。

任務五：業(yè)務安全能力支撐。數(shù)字化業(yè)務劇增，由惡意操作、誤操作行為引發(fā)的業(yè)務風險顯著增長。聚合業(yè)務與行為數(shù)據(jù)，利用大數(shù)據(jù)分析技術，保護客戶隱私、交易安全，加強欺詐防范，打擊涉黃、涉政等行為，保障業(yè)務運營。