奇安信董事长齐向东：内生安全框架的关键是组件化

　　8月10日，北京网络安全大会(BCS2020)战略日峰会顺利召开，北京网络安全大会主席、奇安信董事长齐向东发表了《内生安全，从安全框架开始》主题演讲，详细阐述了如何落地内生安全。齐向东认为，内生安全的关键是管理，管理的关键是框架，而落地内生安全框架的关键是组件化。

　　2019年北京网络安全大会，齐向东首次公开提出了“内生安全”的理念。“内生安全”是指在面对不断变化的网络威胁，网络安全进化到了“内生安全”时代，需要依靠信息化系统和安全系统的聚合，业务数据和安全数据的聚合，IT人才和安全人才的聚合，从信息化系统内不断生长出自适应、自主和自成长的安全能力。一年以来，内生安全得到了业界的广泛认同，但如何在政企机构落地是人们讨论的话题。

　　齐向东表示，落地内生安全，实现新管理模式，最理想的情况，是建设一个完整的框架。但现实情况是，大多数政府和企业的信息化系统都是新老结合的，往往需要花若干年的时间，才能完成对老系统的替换，这是一个“立新破旧”的过程。但是如果割裂地对老系统用老办法，新系统用新办法，未来，当老系统被替代时，老的安全系统也不得不替换掉，造成巨大的浪费。

　　为此，齐向东创新性的提出对安全体系进行“统一设计，分步实施”，在体系的基础上，把安全框架组件化，让这些组件既能是新体系的一部分，又能部署到老系统中，从而适应信息化系统这种渐进式的、“立新破旧”的过程，避免不断地把安全系统推倒重来，确保现在安全上的投资是面向未来的。

　　事实上，从国际经验看，ISO/IEC 27000信息安全管理体系就是按照组件化的方式设计的，它包含14个类别，35个目标，114个控制措施;NIST 的系统安全工程也列举了从需求、设计、实现到验证、部署、维护、弃置等14个过程应该开展的安全工作，包括54个任务、235项活动。在NIST网络空间安全框架中，也通过IPDRR-识别、保护、检测、响应、恢复的机制，以及多个落地子项来构造网络安全的保护体系。

　　齐向东表示，遵循这样的经验，我们用工程化的思想，把体系中的安全能力，映射成为可执行、可建设的网络安全能力组件，构成了内生安全框架，这些组件与信息化进行体系化地聚合，是安全框架落地的关键。

　　为了穷尽安全能力组件的类型，奇安信研究了党、政、军、央企、金融等这些大型机构网络安全的新技术产品和服务体系，为这些体系设计并解构出了十个网络安全工程，以及五方面的支撑能力任务，简称“十大工程”“五大任务”。

　　据了解，“十工五任”是内生安全框架的具体落地手册，具备了一个复杂庞大的信息化系统所需要的全部安全能力。这就相当于打造了一个信息化巨系统内生安全框架的建设样板，每一个工程和任务，都可以理解成样板房里的不同“房间”。政企机构可以结合自身信息化的特点，选取不同的“房间”进行组合，定义自己的关键工程和任务。

　　齐向东以某个“新基建”项目为例，它包括了136个信息化组件，奇安信就依据“十工五任”手册的具体指引，总结出了29个安全区域场景，部署了79类安全组件。

　　最后，齐向东表示，我相信政府和企业按照我们提出的内生安全框架，投入三至五年时间，就能建立起完善的网络安全协同联动防御体系，真正实现内生安全。

　　（免责声明：此文内容为本网站刊发或转载企业宣传资讯，仅代表作者个人观点，与本网无关。仅供读者参考，并请自行核实相关内容。）*广告*