新基建.jpg" alt="新基建.jpg"/>

一、数字化从可选变成必选

2020年开端，一场突如其来的新型冠状疫情，无形中加速了全球拥抱数字化的步伐。从疫情防控到远程办公，人类社会首次大范围感受到数字化转型带来的效率提升。数字化已经成为治理体系和治理能力现代化建设的必要一环。3月4日，中央政治局会议强调加快5G网络、数据中心等新型基础设施建设，为我国数字化转型按下了加速键。“新基建”将带动经济高质量增长，但新技术的应用也引入了新的安全风险。一旦发生重大网络安全事件，将使数字化带来的收益“一失万无”。如何保障数字化业务的平稳、有序和高效运营，是“新基建”过程中的一次大考。

二、安全从辅助变成基础

自中央政治局会议强调加快新型基础设施建设以来，我国各地方政府纷纷公布“新基建”投资计划。截至目前，全国31个省份推出了超过40万亿的投资蓝图。网络安全是“新基建”的基础。以前，网络安全是辅助性工程，但在“新基建”里是基础工程。“新基建”会进一步加快网络世界和物理世界的融合。这意味着两者的边界将基本消失，对网络的攻击就等于对物理世界的攻击，直接影响人民生活、社会稳定和国家安全。比如，5G远程手术遭遇网络攻击，可能会威胁到人们的生命安全；车联网遭受攻击，可能会直接造成车毁人亡。未来，绝大部分的安全问题都集中在应用场景上，因此需要把安全升级，作为基础设施来建设。以新能源汽车充电桩为例，未来每个充电桩都会联网，当协议出现漏洞，就出现了新的攻击方法，安全问题瞬息万变。传统的解决方法是给每个充电桩部署安全设施，但未来充电桩会遍布城乡各地，一个个分布式解决是行不通的。只有通过分层解耦、异构兼容，把安全能力资源化、目录化、云化，用网络调度来增减安全措施，才能保障系统的正常运转。美国联邦首席信息官肯特（Suzette Kent）于近日表示，网络安全必须是“高度优先”的，必须将其“嵌入”到技术的各个方面。她认为，从现在开始进行的每个技术项目，都必须以网络安全为基础。

三、“新基建”需要新一代网络安全框架

过去20年，国内外在信息化建设方面，有一套行之有效的框架与方法论，即采用以系统工程思想结合IT的EA（Enterprise Architecture）方法论，形成TOGAF框架（开放组织体系结构框架 The Open Group Architecture Framework），引导与推动了大规模、体系化、高效整合的信息化建设，很好地支撑了各行业的业务运营。网络安全行业一直盼望着能有与信息化系统工程方法相匹配的框架，指导未来的网络安全体系建设。因为此前，在网络安全行业，一直采用的是“局部整改”为主的安全建设模式，致使网络安全体系化缺失、碎片化严重，网络安全防御能力与数字化业务运营的保障要求严重不相匹配。把网络安全升级成“新基建”的基础工程，就必须有一套行之有效的框架作为指导。奇安信的战略部门从2019年开始潜心研究，并于近日发布新一代网络安全框架。这是面向“新基建”建设、面向数字化业务，以系统工程的方法论结合“内生安全”的理念，形成的网络安全建设框架。这套框架从顶层视角出发，帮助各行业在数字化环境内部建立无处不在的“免疫力”，构建出动态综合的网络安全防御体系，全方位保障业务安全。

四、十大工程五大任务

新一代网络安全框架，以实体工程和支撑任务两个维度，划分为“十大工程”和“五大任务”。它适用于几乎所有网络空间各个应用场景下的安全需求，能指导不同的行业输出符合其业务特点的网络安全架构。

十大工程

工程一：新一代身份安全。对应新场景下身份管理和使用模式的改变，构建基于属性的身份管理与访问控制体系，全面纳管数字化身份，为网络安全与业务运营奠定基础。

工程二：重构企业级网络纵深防御。对应新技术应用产生的更多网络出口、更复杂的管理挑战，采用标准化、模块化的网络安全防护集群，适配网络节点接入模式，构建覆盖多层次的网络纵深防御体系。

工程三：数字化终端及接入环境安全。对应数字化时代终端类别繁多、接入与管控、数据安全的风险，在终端和接入环境上构建一体化终端安全技术栈，构建全面覆盖多场景的数字化终端安全管理体系。

工程四：面向云的数据中心安全防护。对应云数据中心复杂的应用场景，将安全能力深入融合到云数据中心多层次的网络纵深和组件中，同时满足传统数据中心安全和云计算安全要求。

工程五：面向大数据应用的数据安全防护。对应数据集中、流转和应用场景中的安全挑战，以数据安全治理为基础，将数据生命周期与数据应用场景结合，严控数据流转与使用，加强行为监控与审计，确保数据安全。

工程六：面向实战化的全局态势感知体系。对应目前重展现轻分析，实战支撑力不足的现状，覆盖所有信息资产的全面实时安全监测，持续检验安全防御机制的有效性、动态分析安全威胁并及时处置。

工程七：面向资产/漏洞/配置/补丁的系统安全。对应当前各大机构安全体系的最短板，聚合IT资产、配置、漏洞、补丁等数据，提高漏洞修复的确定性，实现及时、准确、可持续的系统安全保护。

工程八：工业生产网安全防护。对应企业工业生产网长期以来安全防护普遍缺失的现状，面向工控网络内部、工控与IT网络边界、数据采集与运维、集团总部数据中心构建多层次安全措施，强化纵深防御，全面掌握工业生产网的安全态势。

工程九：内部威胁防控体系。对应内部人员导致严重业务损失的巨大威胁，基于操作监控、访问控制、行为分析等手段，结合管控制度、意识培训等管理措施，提升内部威胁防护能力。

工程十：密码专项。对应密码相关的法律要求和业务需求，秉承“内生安全”理念规划、设计密码体系，实现密码与信息系统、数据和业务应用紧密结合。

五大任务

任务一：实战化安全运行能力建设。按次开展的安全检查与测评模式无法达到业务安全保障要求。应全面涵盖安全团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等，并持续的评估、优化，持续提升安全运行成熟度，以达成对信息系统的持久性防护。

任务二：应用安全能力支撑。应用系统建设过程中安全长期缺位，安全与信息化建设普遍割裂，系统带病上线，后期整改困难。结合开发运行一体化（DevOps）模式，推进安全能力与信息系统持续集成，使安全属性内生于信息系统，保持敏捷的同时满足合规，使信息系统天然具有免疫力。

任务三：安全人员能力支撑。人的能力决定安全体系建设和运行的能力。设计企业网络安全团队、设置岗位与能力要求，开展能力实训，建设网络安全实战训练靶场，提升人员的实战能力，形成安全团队建制化。

任务四：物联网安全能力支撑。物联网设备类型碎片化、网络异构化、部署泛在化的特性引入了大量安全风险。结合物联网“端边云”的架构，构建具有灵活性、自适应性和边云协同能力的物联网安全支撑体系。

任务五：业务安全能力支撑。数字化业务剧增，由恶意操作、误操作行为引发的业务风险显著增长。聚合业务与行为数据，利用大数据分析技术，保护客户隐私、交易安全，加强欺诈防范，打击涉黄、涉政等行为，保障业务运营。