“橘生淮南则为橘,生于淮北则为枳,叶徒相似,其实味不同。所以然者何?水土异也。”春秋末期,晏子出使楚国,用一个形象比喻,诠释了土壤环境对事物的重要影响。
如今,数字化转型如火如荼,新技术趋势层出不穷,然而,广大政企客户实施网络安全建设时,经常在“打基础”和“拔尖子”之间难以兼顾和平衡。如何更好的满足“十四五”期间政企客户数字化转型的安全需求?如何避免全球新技术在国内遭遇“水土不服”的情况?近日,奇安信&Gartner《数字化转型需要内生的安全框架》报告(简称:《报告》)给出了答案。
新技术“乱花迷人眼” 需避免“水土不服”
在网络安全行业内,Gartner报告素来被誉为行业趋势的风向标,持续展示并指引了全球安全市场及技术的方向和趋势,被业内所热捧。2020年,Gartner发布了年度TOP安全和风险管理趋势,以及2020-2021年度十大安全项目;2021年,Gartner继续提出了 2021年安全和风险管理领域的八大趋势。
图:Gartner所提及的部分领域安全技术集合
这些新安全技术趋势,包括零信任网络与安全访问、扩展的安全检测与响应、SASE、自动化威胁猎捕等等,旨在应对云、移动办公、人工智能、软件定义网络等新一代IT技术带来的安全挑战及措施,包括个人隐私及数据安全,以及数字化转型下对安全人员组织和能力的需求。
对于广大正在进行数字化转型的政企客户而言,是否可以直接参考全球领先的安全技术研究机构,直接“拔尖子”、追随潮流呢?《报告》提出了中肯的建议,“我们在关注安全技术新趋势的时候,更要考虑到应用这些安全新技术的基础。任何新技术的出现和应用都不是凭空的,都是要有一定的土壤和环境,比如要考虑到先期的基础安全建设。”
从现实情况来看,国内部分信息化乃至数字化的建设领域已经与国际先进水平接轨,但在网络安全领域,与欧美市场相比,我国在技术体系成熟度、IT环境、产业链等方面的差异较为明显。欧美网络安全建设起步早,经历了多年的累积建设,体系成熟度普遍较高,安全基础比较雄厚。相比之下,我国网络安全建设处于不同的发展阶段。各行业在网络安全基础结构、安全管理、安全运营等方面处于构建和完善阶段,安全技术的研究和应用情况也存在很大差别。国内外安全建设和发展阶段截然不同。
“如果我们把网络安全体系建设形容成是调制一杯彩虹鸡尾酒,那么建设安全体系的基础积累就是这一杯鸡尾酒的基酒。”奇安信集团副总裁韩永刚用鸡尾酒做了一个比喻。“鸡尾酒虽然千变万化,却有一定的公式可循,选择合适的基酒,然后附在基酒上一层又一层的不同味道、不同色彩的调味酒,就像是Gartner每年所推出的新技术和新工程,一层一层累加。”
图:网络安全建设就像调制彩虹鸡尾酒
由于Gartner的研究基础主要是欧美市场,与我国网络安全建设情况存在较大的差异。Gartner每年报告所描绘的网络安全技术趋势,是站在了国外那杯鸡尾酒已经调制大体完成的情况下,不断去的发展新风味。我国信息化环境及网络安全建设的差异性,尤其是存在基础不牢,体系不足,能力缺失,实战不足等因素,更需要一杯中国口味的网络安全鸡尾酒。
土壤不同,淮南为橘,淮北为枳,同样对于网络新技术而言,忽视了土壤环境,极可能“水土不服”,产生反向效果。
“中国特色”安全能力建设 须以顶层设计为指引
谈到网络安全建设中国和欧美国家的差异,就不得不提“十四五”规划。在国家一直强调统筹安全与发展的形式下,“十四五”不仅带来了数字化规划机遇,更带来了网络安全规划的巨大机遇。
《报告》认为,政企机构需立足于我国网络安全与信息化现状,以高标准设计、高质量建设、高可靠运行、高水平保障的要求开展高水准的网络安全专项规划,面向数字化转型以顶层设计的视角,通盘考虑我国网络安全建设的现状和差异,有效的落地内生安全,将网络安全建设打造为一项基础工程,指导未来数年的安全建设和运营,弥合网络安全基础积累的差距,使之既能够适应我国网络安全建设的现状,又能够顺应网络安全发展的技术新趋势。
换句话说,就是既要脚踏实地,又要仰望星空,满足现状的同时更要考虑长远。
对此,《报告》提出,高水准的网络安全规划尤其需要一套行之有效的方法论和框架作为指引,以切实指导顶层设计工作,通过安全规划承接国家网络安全战略,建立从顶层设计、部署实施到安全运行的一整套网络安全新模式,确保网络安全能够积极、科学、有效地应对数字化转型。具体包括几个方面:
首先在方法论方面,可参考信息化多年来的发展建设经验。可以将EA方法论用于网络安全,使网络安全建设也能够服务于企业的战略目标和管理目标,能够敏捷应对未来的网络安全扩展需求。
其次,在安全框架方面,需能以系统工程方法论结合“内生安全”的理念而形成的网络安全规划建设框架,引导政企机构规划和建设网络安全,使网络安全逐渐从边缘走向核心、从外挂走向内生、从“走形式”转向“实战化”,推进网络安全向基础设施化、服务化模式发展,适应于数字经济的发展。
“以一套行之有效的方法论和框架为指导开展顶层设计,政企组织才能够识别清晰其在数字化转型时期所需要的网络安全能力,用全局的视角思考与数字化的融合,明确其自身网络安全建设所处的发展阶段,综合考虑体系建设与运行工作,不至于在‘打基础’和‘拔尖子’之间左右为难。”韩永刚如此总结道。
内生安全框架将“打基础”和“拔尖子”合二为一
在我国数字化转型、“新基建”建设等国家战略背景下,奇安信全面分析了国内外网络安全态势和我国政企面临的网络安全挑战,吸收最新网络安全技术研究成果,在2019年提出了“内生安全”理念,在2020年提出面向“十四五”期间的内生安全框架,给出了新型网络安全体系建设的落地框架指引。
2021年,奇安信提出了“经营安全、安全经营”,更具体说明如何利用内生安全框架在大量实际的大型机构中的落地经验,做到安全的动态掌控,保障核心业务的经营平稳运行。奇安信&Gartner《数字化转型需要内生的安全框架》对数字化转型中网络安全的三部曲,进行了详细论述。
《报告》中的内生安全框架,旨在为政企“十四五”网络安全规划、设计提供思路与建议。其核心是通过以能力为导向的网络安全体系设计方法,规划出面向“十四五”期间的建设实施项目库(重点工程与任务),并设计出将网络安全与信息化相融合的目标技术体系和目标运行体系,供政企参考借鉴。
图:奇安信内生安全框架
内生安全框架包括了网络安全能力体系、规划方法论与工具体系、能力化组件模型、建设实施项目库、政企机构网络安全技术部署参考架构、政企机构网络安全运行体系参考架构等多个组件,这些组件可被用于政企网络安全规划的不同阶段,并随着安全建设项目实施逐步融入信息化环境,从而构建体系化安全能力。更重要的是,内生安全框架可以为新技术的持续引入、创新提供“土壤”,使得新技术在体系化网络安全环境充分发挥效能。
《报告》认为,在我国的网络安全建设发展阶段存在差异的情况下,政企组织需要先建好自身的网络安全底座,补足网络安全必要能力的缺失,再根据自身信息化建设及数字化转型的需要,统筹选择应用最新的安全技术。比如,内生安全框架所提出的“十大工程五大任务”综合考虑了各类基础能力、先进技术的体系化组合和应用,重点在于对中国安全建设现状的适应,指导建设网络安全基础。
结束语:
近年来,国际上网络安全技术新趋势对我国网络安全建设具有很多参考价值,适当的学习和吸收会更利于发挥其在当代中国网络安全建设的指引作用。但如果不关注“中国特色”的网络安全现状,盲目引进、全盘照搬,极易引起“消化不良”,先进技术“水土不服”。因此,《报告》中内生安全框架所突出的兼顾“体系化建设网络安全”及“有效应用安全新技术”,无疑是适合广大政企客户的建设思路,更能够为十四五”期间数字化进程中业务发展提供重要保障。