BCS2020主題公布 網(wǎng)安模式升級(jí)亟需新一代網(wǎng)絡(luò)安全框架

近日，2020 網(wǎng)絡(luò)安全大會(huì)(BCS2020)主辦方奇安信公布了大會(huì)主題，即“內(nèi)生安全 從安全框架開始”。自去年大會(huì)主題“聚合應(yīng)變，內(nèi)生安全”提出以來，內(nèi)生安全已經(jīng)成為行業(yè)共識(shí)，成為網(wǎng)絡(luò)安全模式升級(jí)的前進(jìn)方向。在今年3月，奇安信基于“內(nèi)生安全”理念，正式推出了新一代網(wǎng)絡(luò)安全框架，從頂層視角建立安全體系全景視圖以指導(dǎo)安全建設(shè)，強(qiáng)化安全與信息化的融合。

因此，今年大會(huì)主題一經(jīng)公布，就引起了業(yè)內(nèi)的熱議，內(nèi)生安全為什么需要新一代網(wǎng)絡(luò)安全框架?新一代網(wǎng)絡(luò)安全框架又當(dāng)如何指導(dǎo)網(wǎng)絡(luò)安全模式升級(jí)?這一系列問題，BCS 2020會(huì)帶來答案。

網(wǎng)絡(luò)安全建設(shè)缺乏統(tǒng)一框架指導(dǎo)

過去20年，國內(nèi)外在信息化建設(shè)方面，采用EA(Enterprise Architecture)方法論與TOGAF框架(開放組織體系結(jié)構(gòu)框架 The Open Group Architecture Framework)，引導(dǎo)與推動(dòng)了大規(guī)模、體系化、高效整合的信息化建設(shè)，很好地支撐了各行業(yè)的業(yè)務(wù)運(yùn)營(yíng)。但是與信息化發(fā)展不同的是，網(wǎng)絡(luò)安全行業(yè)一直缺乏與信息化系統(tǒng)工程方法相匹配的框架，指導(dǎo)未來的網(wǎng)絡(luò)安全體系建設(shè)。

以往在我國的網(wǎng)絡(luò)安全體系規(guī)劃與設(shè)計(jì)中，多數(shù)情況是照搬國外的安全框架。由于國內(nèi)與國外信息化發(fā)展歷程不同，網(wǎng)絡(luò)安全能力水平存在較大差異。這種照搬模式導(dǎo)致了安全規(guī)劃因?yàn)檫M(jìn)行套用國外框架而引發(fā)的“水土不服”。照搬模式導(dǎo)致政企對(duì)國內(nèi)外網(wǎng)絡(luò)安全基礎(chǔ)差距的忽視，而過分強(qiáng)調(diào)新技術(shù)、新概念導(dǎo)入，很多時(shí)候并沒有真正解決網(wǎng)絡(luò)安全的實(shí)際問題。

當(dāng)前，我國提出了更加廣泛、更加深入的國家級(jí)數(shù)字化戰(zhàn)略，在廣度上包含了各行業(yè)、各領(lǐng)域的數(shù)字化業(yè)務(wù)運(yùn)營(yíng)模式的再造，在深度上驅(qū)動(dòng)了政企機(jī)構(gòu)對(duì)信息化支撐體系的全面升級(jí)和替換。因此照搬硬套國外的安全框架，也面臨著達(dá)不到我數(shù)字化業(yè)務(wù)運(yùn)營(yíng)模式所必須的高標(biāo)準(zhǔn)要求。

對(duì)此有專家認(rèn)為，在數(shù)字化轉(zhuǎn)型、新基建建設(shè)中，需要有一套行之有效的、以系統(tǒng)工程方法論結(jié)合“內(nèi)生安全”理念而形成的網(wǎng)絡(luò)安全規(guī)劃建設(shè)框架，引導(dǎo)政企機(jī)構(gòu)規(guī)劃和建設(shè)網(wǎng)絡(luò)安全，使網(wǎng)絡(luò)安全逐漸從邊緣走向核心、從外掛走向內(nèi)生、從“走形式”轉(zhuǎn)向“實(shí)戰(zhàn)化”，推進(jìn)網(wǎng)絡(luò)安全向基礎(chǔ)設(shè)施化、服務(wù)化模式發(fā)展。

奇安信推出的新一代網(wǎng)絡(luò)安全框架從“客戶視角、信息化視角、網(wǎng)絡(luò)安全頂層視角”展現(xiàn)出政企網(wǎng)絡(luò)安全體系全景，通過以能力為導(dǎo)向的網(wǎng)絡(luò)安全體系設(shè)計(jì)方法，規(guī)劃出面向未來網(wǎng)絡(luò)安全模式升級(jí)的重點(diǎn)項(xiàng)目庫，并設(shè)計(jì)出將網(wǎng)絡(luò)安全與信息化相融合的目標(biāo)技術(shù)體系和目標(biāo)運(yùn)行體系，供政企參考借鑒。

圖：新一代網(wǎng)絡(luò)安全框架

內(nèi)生安全從理念到落地

新一代網(wǎng)絡(luò)安全框架，是對(duì)網(wǎng)絡(luò)安全模式升級(jí)新方法的探索，是“內(nèi)生安全”理念的有效落地。該框架融合了網(wǎng)絡(luò)安全、系統(tǒng)工程、項(xiàng)目管理的理論和實(shí)踐經(jīng)驗(yàn)，采用“網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺”模型對(duì)疊加演進(jìn)的網(wǎng)絡(luò)安全能力識(shí)別方法，結(jié)合國內(nèi)外各類網(wǎng)絡(luò)安全規(guī)范標(biāo)準(zhǔn)要求，以及大量被證明切實(shí)有效的最佳實(shí)踐，全面的枚舉出了政企機(jī)構(gòu)網(wǎng)絡(luò)安全所需的各類安全能力。有分析師表示，隨著安全技術(shù)體系與安全運(yùn)行體系的建立完善，可以實(shí)現(xiàn)“內(nèi)生安全”的全面落地，使政企機(jī)構(gòu)能夠具備體系化的安全防御能力。

政企機(jī)構(gòu)可參考新一代網(wǎng)絡(luò)安全框架，采用新理念、新方法規(guī)劃建設(shè)能有效應(yīng)對(duì)數(shù)字化風(fēng)險(xiǎn)的新型網(wǎng)絡(luò)安全服務(wù)化工作模式?？蓪?ldquo;一體之兩翼、驅(qū)動(dòng)之雙輪”作為其信息化和網(wǎng)絡(luò)安全的戰(zhàn)略定位，構(gòu)建“關(guān)口前移，防患于未然”的網(wǎng)絡(luò)安全防御體系，以“統(tǒng)一謀劃”作為落實(shí)“四統(tǒng)一”的起點(diǎn)，在做好“關(guān)口前移”的基礎(chǔ)上，推動(dòng)網(wǎng)絡(luò)安全從“局部整改”、“輔助配套”建設(shè)模式向體系化規(guī)劃建設(shè)模式轉(zhuǎn)變。須重點(diǎn)設(shè)計(jì)所需安全能力之間的依賴協(xié)同關(guān)系，以及通過安全能力的協(xié)同所能提供給信息化的安全服務(wù)。明確安全服務(wù)能力與信息化各層次的結(jié)合方式，建立以能力為中心的安全能力服務(wù)化模式。

另外政企機(jī)構(gòu)還應(yīng)以保護(hù)信息化資產(chǎn)為基礎(chǔ)，進(jìn)一步關(guān)注人員、系統(tǒng)、數(shù)據(jù)以及運(yùn)行支撐體系之間的交互關(guān)系，進(jìn)行整體防護(hù)，避免“以偏概全”的傳統(tǒng)模式。需要面向疊加演進(jìn)的基礎(chǔ)結(jié)構(gòu)安全、網(wǎng)絡(luò)縱深防御、積極防御和威脅情報(bào)等能力，識(shí)別、設(shè)計(jì)構(gòu)成網(wǎng)絡(luò)安全防御體系的基礎(chǔ)設(shè)施、平臺(tái)、系統(tǒng)和工具集，并圍繞可持續(xù)的實(shí)戰(zhàn)化安全運(yùn)行體系以數(shù)據(jù)驅(qū)動(dòng)方式進(jìn)行集成整合，從而構(gòu)建出動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系。

圍繞網(wǎng)絡(luò)的縱深防御體系為基礎(chǔ)，進(jìn)一步圍繞數(shù)據(jù)確定防御重點(diǎn)，圍繞人員開展實(shí)戰(zhàn)化安全運(yùn)行，規(guī)劃建設(shè)動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系，使安全能力全面覆蓋云、終端、服務(wù)器、通信鏈路、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控、人員等IT要素，避免局部盲區(qū)而導(dǎo)致的防御體系失效;還需要將安全能力深度融入物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)與用戶等各個(gè)層次，確保安全能力能在IT的各層次有效集成。

隨著威脅向“有組織攻擊”發(fā)展，政企機(jī)構(gòu)需要以可量化的方式識(shí)別能力上限和底線，打破“緊平衡”建設(shè)方式來規(guī)劃、設(shè)計(jì)和建設(shè)網(wǎng)絡(luò)安全體系。正在推動(dòng)網(wǎng)絡(luò)安全模式升級(jí)的某企業(yè)CISO表示，在進(jìn)行規(guī)劃與設(shè)計(jì)時(shí)，要充分考慮隨時(shí)可能突發(fā)的網(wǎng)絡(luò)安全威脅升級(jí)情況，須本著“寧可備而不用、備而少用，不可用而不備”的原則，在建設(shè)中預(yù)置可擴(kuò)展的能力，在運(yùn)行中預(yù)留出必要的應(yīng)急資源，確保在面對(duì)網(wǎng)絡(luò)空間重大不確定性風(fēng)險(xiǎn)時(shí)數(shù)字化運(yùn)營(yíng)不會(huì)受到重大影響。

據(jù)悉，在8月7日至8月16日舉行的BCS 2020大會(huì)中，通過10場(chǎng)峰會(huì)、50多場(chǎng)論壇、16檔100多場(chǎng)特色欄目，來自全球各國的數(shù)百位重磅嘉賓，將就新一代網(wǎng)絡(luò)安全框架在不同行業(yè)、不同領(lǐng)域和不同場(chǎng)景之下的落地和實(shí)踐，進(jìn)行深入研討，一起激蕩思想、碰撞火花，共同把脈網(wǎng)絡(luò)安全行業(yè)未來發(fā)展的新航向，給數(shù)字化轉(zhuǎn)型升級(jí)的各類政企機(jī)構(gòu)給出安全建設(shè)的指導(dǎo)性建議。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）