站長(zhǎng)資訊網(wǎng)“橘生淮南則為橘,生于淮北則為枳,葉徒相似,其實(shí)味不同。所以然者何?水土異也。”春秋末期,晏子出使楚國(guó),用一個(gè)形象比喻,詮釋了土壤環(huán)境對(duì)事物的重要影響。
如今,數(shù)字化轉(zhuǎn)型如火如荼,新技術(shù)趨勢(shì)層出不窮,然而,廣大政企客戶實(shí)施網(wǎng)絡(luò)安全建設(shè)時(shí),經(jīng)常在“打基礎(chǔ)”和“拔尖子”之間難以兼顧和平衡。如何更好的滿足“十四五”期間政企客戶數(shù)字化轉(zhuǎn)型的安全需求?如何避免全球新技術(shù)在國(guó)內(nèi)遭遇“水土不服”的情況?近日,奇安信&Gartner《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》報(bào)告(簡(jiǎn)稱:《報(bào)告》)給出了答案。
新技術(shù)“亂花迷人眼” 需避免“水土不服”
在網(wǎng)絡(luò)安全行業(yè)內(nèi),Gartner報(bào)告素來(lái)被譽(yù)為行業(yè)趨勢(shì)的風(fēng)向標(biāo),持續(xù)展示并指引了全球安全市場(chǎng)及技術(shù)的方向和趨勢(shì),被業(yè)內(nèi)所熱捧。2020年,Gartner發(fā)布了年度TOP安全和風(fēng)險(xiǎn)管理趨勢(shì),以及2020-2021年度十大安全項(xiàng)目;2021年,Gartner繼續(xù)提出了 2021年安全和風(fēng)險(xiǎn)管理領(lǐng)域的八大趨勢(shì)。
圖:Gartner所提及的部分領(lǐng)域安全技術(shù)集合
這些新安全技術(shù)趨勢(shì),包括零信任網(wǎng)絡(luò)與安全訪問(wèn)、擴(kuò)展的安全檢測(cè)與響應(yīng)、SASE、自動(dòng)化威脅獵捕等等,旨在應(yīng)對(duì)云、移動(dòng)辦公、人工智能、軟件定義網(wǎng)絡(luò)等新一代IT技術(shù)帶來(lái)的安全挑戰(zhàn)及措施,包括個(gè)人隱私及數(shù)據(jù)安全,以及數(shù)字化轉(zhuǎn)型下對(duì)安全人員組織和能力的需求。
對(duì)于廣大正在進(jìn)行數(shù)字化轉(zhuǎn)型的政企客戶而言,是否可以直接參考全球領(lǐng)先的安全技術(shù)研究機(jī)構(gòu),直接“拔尖子”、追隨潮流呢?《報(bào)告》提出了中肯的建議,“我們?cè)陉P(guān)注安全技術(shù)新趨勢(shì)的時(shí)候,更要考慮到應(yīng)用這些安全新技術(shù)的基礎(chǔ)。任何新技術(shù)的出現(xiàn)和應(yīng)用都不是憑空的,都是要有一定的土壤和環(huán)境,比如要考慮到先期的基礎(chǔ)安全建設(shè)。”
從現(xiàn)實(shí)情況來(lái)看,國(guó)內(nèi)部分信息化乃至數(shù)字化的建設(shè)領(lǐng)域已經(jīng)與國(guó)際先進(jìn)水平接軌,但在網(wǎng)絡(luò)安全領(lǐng)域,與歐美市場(chǎng)相比,我國(guó)在技術(shù)體系成熟度、IT環(huán)境、產(chǎn)業(yè)鏈等方面的差異較為明顯。歐美網(wǎng)絡(luò)安全建設(shè)起步早,經(jīng)歷了多年的累積建設(shè),體系成熟度普遍較高,安全基礎(chǔ)比較雄厚。相比之下,我國(guó)網(wǎng)絡(luò)安全建設(shè)處于不同的發(fā)展階段。各行業(yè)在網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)、安全管理、安全運(yùn)營(yíng)等方面處于構(gòu)建和完善階段,安全技術(shù)的研究和應(yīng)用情況也存在很大差別。國(guó)內(nèi)外安全建設(shè)和發(fā)展階段截然不同。
“如果我們把網(wǎng)絡(luò)安全體系建設(shè)形容成是調(diào)制一杯彩虹雞尾酒,那么建設(shè)安全體系的基礎(chǔ)積累就是這一杯雞尾酒的基酒。”奇安信集團(tuán)副總裁韓永剛用雞尾酒做了一個(gè)比喻。“雞尾酒雖然千變?nèi)f化,卻有一定的公式可循,選擇合適的基酒,然后附在基酒上一層又一層的不同味道、不同色彩的調(diào)味酒,就像是Gartner每年所推出的新技術(shù)和新工程,一層一層累加。”
圖:網(wǎng)絡(luò)安全建設(shè)就像調(diào)制彩虹雞尾酒
由于Gartner的研究基礎(chǔ)主要是歐美市場(chǎng),與我國(guó)網(wǎng)絡(luò)安全建設(shè)情況存在較大的差異。Gartner每年報(bào)告所描繪的網(wǎng)絡(luò)安全技術(shù)趨勢(shì),是站在了國(guó)外那杯雞尾酒已經(jīng)調(diào)制大體完成的情況下,不斷去的發(fā)展新風(fēng)味。我國(guó)信息化環(huán)境及網(wǎng)絡(luò)安全建設(shè)的差異性,尤其是存在基礎(chǔ)不牢,體系不足,能力缺失,實(shí)戰(zhàn)不足等因素,更需要一杯中國(guó)口味的網(wǎng)絡(luò)安全雞尾酒。
土壤不同,淮南為橘,淮北為枳,同樣對(duì)于網(wǎng)絡(luò)新技術(shù)而言,忽視了土壤環(huán)境,極可能“水土不服”,產(chǎn)生反向效果。
“中國(guó)特色”安全能力建設(shè) 須以頂層設(shè)計(jì)為指引
談到網(wǎng)絡(luò)安全建設(shè)中國(guó)和歐美國(guó)家的差異,就不得不提“十四五”規(guī)劃。在國(guó)家一直強(qiáng)調(diào)統(tǒng)籌安全與發(fā)展的形式下,“十四五”不僅帶來(lái)了數(shù)字化規(guī)劃?rùn)C(jī)遇,更帶來(lái)了網(wǎng)絡(luò)安全規(guī)劃的巨大機(jī)遇。
《報(bào)告》認(rèn)為,政企機(jī)構(gòu)需立足于我國(guó)網(wǎng)絡(luò)安全與信息化現(xiàn)狀,以高標(biāo)準(zhǔn)設(shè)計(jì)、高質(zhì)量建設(shè)、高可靠運(yùn)行、高水平保障的要求開展高水準(zhǔn)的網(wǎng)絡(luò)安全專項(xiàng)規(guī)劃,面向數(shù)字化轉(zhuǎn)型以頂層設(shè)計(jì)的視角,通盤考慮我國(guó)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀和差異,有效的落地內(nèi)生安全,將網(wǎng)絡(luò)安全建設(shè)打造為一項(xiàng)基礎(chǔ)工程,指導(dǎo)未來(lái)數(shù)年的安全建設(shè)和運(yùn)營(yíng),彌合網(wǎng)絡(luò)安全基礎(chǔ)積累的差距,使之既能夠適應(yīng)我國(guó)網(wǎng)絡(luò)安全建設(shè)的現(xiàn)狀,又能夠順應(yīng)網(wǎng)絡(luò)安全發(fā)展的技術(shù)新趨勢(shì)。
換句話說(shuō),就是既要腳踏實(shí)地,又要仰望星空,滿足現(xiàn)狀的同時(shí)更要考慮長(zhǎng)遠(yuǎn)。
對(duì)此,《報(bào)告》提出,高水準(zhǔn)的網(wǎng)絡(luò)安全規(guī)劃尤其需要一套行之有效的方法論和框架作為指引,以切實(shí)指導(dǎo)頂層設(shè)計(jì)工作,通過(guò)安全規(guī)劃承接國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略,建立從頂層設(shè)計(jì)、部署實(shí)施到安全運(yùn)行的一整套網(wǎng)絡(luò)安全新模式,確保網(wǎng)絡(luò)安全能夠積極、科學(xué)、有效地應(yīng)對(duì)數(shù)字化轉(zhuǎn)型。具體包括幾個(gè)方面:
首先在方法論方面,可參考信息化多年來(lái)的發(fā)展建設(shè)經(jīng)驗(yàn)。可以將EA方法論用于網(wǎng)絡(luò)安全,使網(wǎng)絡(luò)安全建設(shè)也能夠服務(wù)于企業(yè)的戰(zhàn)略目標(biāo)和管理目標(biāo),能夠敏捷應(yīng)對(duì)未來(lái)的網(wǎng)絡(luò)安全擴(kuò)展需求。
其次,在安全框架方面,需能以系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”的理念而形成的網(wǎng)絡(luò)安全規(guī)劃建設(shè)框架,引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全,使網(wǎng)絡(luò)安全逐漸從邊緣走向核心、從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”,推進(jìn)網(wǎng)絡(luò)安全向基礎(chǔ)設(shè)施化、服務(wù)化模式發(fā)展,適應(yīng)于數(shù)字經(jīng)濟(jì)的發(fā)展。
“以一套行之有效的方法論和框架為指導(dǎo)開展頂層設(shè)計(jì),政企組織才能夠識(shí)別清晰其在數(shù)字化轉(zhuǎn)型時(shí)期所需要的網(wǎng)絡(luò)安全能力,用全局的視角思考與數(shù)字化的融合,明確其自身網(wǎng)絡(luò)安全建設(shè)所處的發(fā)展階段,綜合考慮體系建設(shè)與運(yùn)行工作,不至于在‘打基礎(chǔ)’和‘拔尖子’之間左右為難。”韓永剛?cè)绱丝偨Y(jié)道。
內(nèi)生安全框架將“打基礎(chǔ)”和“拔尖子”合二為一
在我國(guó)數(shù)字化轉(zhuǎn)型、“新基建”建設(shè)等國(guó)家戰(zhàn)略背景下,奇安信全面分析了國(guó)內(nèi)外網(wǎng)絡(luò)安全態(tài)勢(shì)和我國(guó)政企面臨的網(wǎng)絡(luò)安全挑戰(zhàn),吸收最新網(wǎng)絡(luò)安全技術(shù)研究成果,在2019年提出了“內(nèi)生安全”理念,在2020年提出面向“十四五”期間的內(nèi)生安全框架,給出了新型網(wǎng)絡(luò)安全體系建設(shè)的落地框架指引。
2021年,奇安信提出了“經(jīng)營(yíng)安全、安全經(jīng)營(yíng)”,更具體說(shuō)明如何利用內(nèi)生安全框架在大量實(shí)際的大型機(jī)構(gòu)中的落地經(jīng)驗(yàn),做到安全的動(dòng)態(tài)掌控,保障核心業(yè)務(wù)的經(jīng)營(yíng)平穩(wěn)運(yùn)行。奇安信&Gartner《數(shù)字化轉(zhuǎn)型需要內(nèi)生的安全框架》對(duì)數(shù)字化轉(zhuǎn)型中網(wǎng)絡(luò)安全的三部曲,進(jìn)行了詳細(xì)論述。
《報(bào)告》中的內(nèi)生安全框架,旨在為政企“十四五”網(wǎng)絡(luò)安全規(guī)劃、設(shè)計(jì)提供思路與建議。其核心是通過(guò)以能力為導(dǎo)向的網(wǎng)絡(luò)安全體系設(shè)計(jì)方法,規(guī)劃出面向“十四五”期間的建設(shè)實(shí)施項(xiàng)目庫(kù)(重點(diǎn)工程與任務(wù)),并設(shè)計(jì)出將網(wǎng)絡(luò)安全與信息化相融合的目標(biāo)技術(shù)體系和目標(biāo)運(yùn)行體系,供政企參考借鑒。
圖:奇安信內(nèi)生安全框架
內(nèi)生安全框架包括了網(wǎng)絡(luò)安全能力體系、規(guī)劃方法論與工具體系、能力化組件模型、建設(shè)實(shí)施項(xiàng)目庫(kù)、政企機(jī)構(gòu)網(wǎng)絡(luò)安全技術(shù)部署參考架構(gòu)、政企機(jī)構(gòu)網(wǎng)絡(luò)安全運(yùn)行體系參考架構(gòu)等多個(gè)組件,這些組件可被用于政企網(wǎng)絡(luò)安全規(guī)劃的不同階段,并隨著安全建設(shè)項(xiàng)目實(shí)施逐步融入信息化環(huán)境,從而構(gòu)建體系化安全能力。更重要的是,內(nèi)生安全框架可以為新技術(shù)的持續(xù)引入、創(chuàng)新提供“土壤”,使得新技術(shù)在體系化網(wǎng)絡(luò)安全環(huán)境充分發(fā)揮效能。
《報(bào)告》認(rèn)為,在我國(guó)的網(wǎng)絡(luò)安全建設(shè)發(fā)展階段存在差異的情況下,政企組織需要先建好自身的網(wǎng)絡(luò)安全底座,補(bǔ)足網(wǎng)絡(luò)安全必要能力的缺失,再根據(jù)自身信息化建設(shè)及數(shù)字化轉(zhuǎn)型的需要,統(tǒng)籌選擇應(yīng)用最新的安全技術(shù)。比如,內(nèi)生安全框架所提出的“十大工程五大任務(wù)”綜合考慮了各類基礎(chǔ)能力、先進(jìn)技術(shù)的體系化組合和應(yīng)用,重點(diǎn)在于對(duì)中國(guó)安全建設(shè)現(xiàn)狀的適應(yīng),指導(dǎo)建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)。
結(jié)束語(yǔ):
近年來(lái),國(guó)際上網(wǎng)絡(luò)安全技術(shù)新趨勢(shì)對(duì)我國(guó)網(wǎng)絡(luò)安全建設(shè)具有很多參考價(jià)值,適當(dāng)?shù)膶W(xué)習(xí)和吸收會(huì)更利于發(fā)揮其在當(dāng)代中國(guó)網(wǎng)絡(luò)安全建設(shè)的指引作用。但如果不關(guān)注“中國(guó)特色”的網(wǎng)絡(luò)安全現(xiàn)狀,盲目引進(jìn)、全盤照搬,極易引起“消化不良”,先進(jìn)技術(shù)“水土不服”。因此,《報(bào)告》中內(nèi)生安全框架所突出的兼顧“體系化建設(shè)網(wǎng)絡(luò)安全”及“有效應(yīng)用安全新技術(shù)”,無(wú)疑是適合廣大政企客戶的建設(shè)思路,更能夠?yàn)槭奈?rdquo;期間數(shù)字化進(jìn)程中業(yè)務(wù)發(fā)展提供重要保障。
特別提醒:本網(wǎng)信息來(lái)自于互聯(lián)網(wǎng),目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系我們,本站將會(huì)在24小時(shí)內(nèi)處理完畢。
