內生安全的關鍵是管理

       “內生安全”是齊向東在2019年首屆BCS大會上發布的最新理念，指出需要依靠聚合，從信息化系統內不斷生長出自適應、自主和自成長的安全能力，一經提出就得到了業界的廣泛認同。

       “內生安全的關鍵是管理。”齊向東在BCS 2020大會上表示：“漏洞是不可避免的，人是不可靠的，所以不管技術多高，網絡安全體系還是會失效。”

       近年來多起影響重大的網絡安全事件都表明，缺乏有效管理會導致嚴重后果。例如，今年7月，奧巴馬、拜登、比爾·蓋茨、巴菲特等多位美國政商名流的推特賬號被劫持并發布詐騙信息，事后調查發現，是一個17歲的黑客竊取了推特員工內部管理系統賬號的權限。如果對身份、行為做了有效管理，被攻擊的可能性就會大大降低。

       齊向東指出，內生安全代表是一種新形態的網絡安全管理模式。它與傳統意義上的管理有很大區別，既不是單純的人員管理、行政管理、體制機制管理，也不是傳統的條文式管理、流程式管理。

        這套“新管理”模式由數據驅動，通過與安全體系中的能力平臺和服務平臺有效對接，實現對安全技術、安全運行等各方面要素的有效管理，從而發現和規避黑客利用安全體系里的漏洞發起的攻擊，克服人的不可靠性、彌補人的能力不足。

管理的關鍵是框架

       實現內生安全所代表的新形態安全管理，是一套復雜的系統工程，需要用工程化、體系化的方式進行實施，實現它的關鍵是安全框架。
齊向東表示，內生安全框架已經經過了40余個大型政企機構的實戰錘煉，具有“1+1＞2”的涌現效應。它按照系統工程的思想，將安全能力組件化，由規劃方法、工具集、模型、架構和項目綱要構成，能讓安全產品和服務相互聯系、相互作用，在整體上具備單個產品和服務所沒有的功能，從而保障復雜系統的安全。

       他總結，內生安全框架有三個重點——“理清楚”、“建起來”、“跑得贏”，目的是通過“新管理”，讓網絡安全體系具有動態防御，主動防御，縱深防御，精準防護，整體防護，聯防聯控的能力。

       “理清楚”是體系化地梳理、設計出所需的安全能力。梳理時充分考慮所有可能涉及到的問題，設計時根據實際情況挑選、組合和規劃，給出明確標準，確保這些安全能力能夠融入到信息化與業務系統中。

       “建起來”是通過融合，做到安全能力與信息化系統的深度結合、全面覆蓋。在具體建設過程中，按照全景化的技術部署模型，把安全能力組件化，以系統、服務、軟硬件資源的形態，合理部署到信息化系統的不同區域、節點、層級中。

       “跑得贏”是確保安全運行的可持續性，實現管理閉環。齊向東認為，缺乏安全運行的安全系統，相當于“靠天吃飯”，極易被攻擊。只有強調安全運行，把管理作為關鍵，才能跑得贏漏洞、內鬼和黑客。

框架的關鍵是組件化

       在新基建建設、數字化轉型的浪潮下，很多政府和企業的信息化系統都需要對老系統進行替換，實現“立新破舊”。齊向東認為，從安全系統與信息化系統聚合的實施角度看，如果割裂地對老系統用老辦法，新系統用新辦法，會造成巨大的浪費。

       他給出的解決方案是，對安全體系進行“統一設計，分步實施”，在體系的基礎上把安全框架組件化，讓這些組件既能是新體系的一部分，又能部署到老系統中，從而適應信息化系統“立新破舊”的過程，避免不斷地把安全系統推倒重來，確保現在安全上的投資是面向未來的。

       “我們用工程化的思想，把體系中的安全能力，映射成為可執行、可建設的網絡安全能力組件，構成了內生安全框架，這些組件與信息化進行體系化地聚合，是安全框架落地的關鍵。”齊向東說。

       奇安信研究了各類大型機構網絡安全的新技術產品和服務體系，窮盡了安全能力組件的類型，為這些體系設計并解構出了十個網絡安全工程，以及五方面的支撐能力任務，簡稱“十工五任”。

       齊向東指出，“十工五任”是內生安全框架的具體落地手冊，相當于打造了一個信息化巨系統內生安全框架的建設樣板，每一個工程和任務，都可以理解成樣板房里的不同“房間”。政企機構可以結合自身信息化的特點，選取不同的“房間”進行組合，定義自己的關鍵工程和任務。

       以某個“新基建”項目為例，奇安信依據“十工五任”手冊，針對136個信息化組件，總結出了29個安全區域場景，部署了79類安全組件。

      齊向東表示，政府和企業按照內生安全框架，投入三至五年時間，就能建立起完善的網絡安全協同聯動防御體系，真正實現內生安全。