Q　新基建战略的推进使得数字经济成为国民经济发展的主引擎，同时网络空间的竞争博弈日趋激烈，日益与国家安全息息相关。您认为这会给网络安全带来什么样的新挑战？

　　齐向东：随着数字经济时代的到来，政府和企业开始全面网络化、数字化。业务和数据的安全性成了重中之重的问题。尤其是随着5G、数据中心、工业互联网等新型基础设施建设的推进，数字经济加速向纵深发展，传统基础设施转型升级，进而形成的融合基础设施，加速了物理与虚拟边界的消融，带来全新的安全挑战。

　　新的安全挑战体现在：一是攻击暴露面扩大。封闭的生产网络、业务系统开始向外界打开，网络、应用、数据有了更多的暴露面，带来新安全风险。二是数据泄露风险加剧。数据的开放、共享和持续流动加剧了信息数据的泄露风险。三是个性化安全需求剧增。新业务场景的安全需求千差万别，需要针对不同行业的差异化需求、不同的业务场景量身定做个性化的网络安全解决方案。四是网络攻击的后果扩大。自动驾驶汽车被攻击，可能导致车毁人亡；电站被攻击，可能导致灾难性事故。在数字经济时代，网络攻击将直接造成人身伤害或物理的破坏，后果是政府和企业运营主体不可承受的。

　　在传统互联网时代，网络安全的主要任务是防止数据泄漏、破坏，以及网络瘫痪；在网络空间安全时代，网络安全目标是包含设施、数据、用户、操作在内整个网络空间的系统安全。

　　目前，网络攻击在全球范围呈现前所未有的频率和激烈程度。仅今年上半年，全球就发生十余起影响广泛的工业控制系统网络攻击事件，呈现出定向攻击精准性提升迅速、技术手段复杂化专业化、攻击行为组织化的特征，直接影响工业运行安全。

　　数字经济时代，网络安全已经成为牵一发而动全身的要素，其重要性更加凸显。国际网络空间的竞争博弈日趋激烈，网络安全产业是否壮大已经成为衡量国家网络安全综合实力的重要标准。

　　Q

　　面对数字经济所带来的新技术新应用热潮，网络安全产业也处于一个重要转折期。您如何看待当前网络安全产业的发展？

　　齐向东：在数字经济蓬勃发展的新形势下，网络安全行业已进入新的发展期，面临五大机会：首先，客户的数量激增，全球网络攻击事件频发，更多企业从不关注网络安全转而加大对网络安全投入。其次，重点行业出现重量级客户，新基建推动网络安全从辅助工程变成基础工程，推动网络安全的投入持续加大。第三，安全能力成为数字化的前提条件，数字化应用场景不断深化，网络安全需求越来越多。第四，越来越严格的法律合规要求引爆更大的网络安全市场，《网络安全法》《关键信息基础设施安全保护条例（征求意见稿）》等法律条例的实施，必然带来巨大的网络安全增量市场。第五，安全服务市场潜力巨大，美国网络安全市场中服务已经占到了63-64％，而我国安全服务才到12％。网络安全服务市场会逐渐受到重视，未来将出现井喷式增长。

　　近年来，网络安全在我国已经变成风口行业，网络安全产业持续火热，企业资本交易活动活跃程度明显提升，大量投资机构涌入市场助力产业发展，2019年国内网络安全企业融资、并购及股权等资本交易总额为225.6亿元，创历史新高。同时，网络安全人才的待遇也在不断提升，平均年薪从2016年底的18.5万元涨到了24万元。

　　与网络安全行业的高温相反，网络安全企业赚钱难、发展慢的状况没有得到根本改善，绝大多数企业仍处于小规模、零散化、同质化的“小零同”状态。数据显示，2019年美国网络安全市场规模为447亿美元，我国同期网络安全产业规模只有608亿元人民币，仅是美国的五分之一，与我国GDP达到美国的67%的比例严重不符。

　　这种行业热但市场难、企业难的原因，主要是网络安全处于重要转折期，传统的思维和惯性做法还没有及时转变，跟不上数字经济时代的步伐。具体可归为三个方面：一是甲方受传统思维局限，认为加大网络安全就是购买更多的安全产品，而不注重建设安全系统；二是由于网络安全产品创新周期长，安全厂商的创新动能弱，更倾向于把有限的研发资金投向市场成熟的合规类产品，导致安全产品严重同质化，缺少竞争力；三是市场竞争标准单一，测评标准低于市场需求。

　　Q

　　对政企用户而言，在这种新形势下，传统网络安全体系存在哪些问题？该如何重塑自己的网络安全体系？

　　齐向东：在新的网络安全形势下，政企机构的网络安全预算不断增加，但与此同时网络攻击、数据泄露事件依然层出不穷。网络安全行业陷入投入不断增加、安全形势却日益严峻的尴尬局面。

　　造成“防不住”的原因，主要是传统的产品堆叠的网络安全体系已经不能有效应对当前的网络安全挑战。传统互联网时代，人们对网络安全的防护习惯采取“事后补救”措施，网络安全企业也习惯用“治病救人”的方法，就是出了事再采取安全措施。“事后补救”和“治病救人”的措施，往往是“头痛医头、脚痛医脚”，是局部的、针对单点的，而不是彻底的和全面的。这种“局部整改”为主的安全建设模式，导致网络安全体系化缺失、碎片化严重、协同能力差，网络安全防御能力与数字化业务的保障要求严重不匹配。

　　为了满足数字化建设的安全防护需求，政企用户必须抛弃这种“事后补救”的安全建设思路，关口前移、防患于未然，通过内生安全系统工程建设，构建全面的“事前防控”网络安全防护体系，用“实战化、体系化、常态化”的要求，实现“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”。

　　“内生安全”通过系统聚合、数据聚合和人的聚合，不断从信息化系统内生长出安全能力。内生安全用“一个中心五个滤网”，从网络、数据、应用、行为、身份五个层面来有效实现对网络安全体系的管理，从而构建无处不在，处处结合，实战化运行的安全能力体系。

　　Q

　　如何理解“内生安全从安全框架开始”？

　　齐向东：实现内生安全，是一套复杂的系统工程，需要一个新形态的能力体系做支撑，需要用工程化、体系化的方式实施，实现它的关键就是安全框架。

　　在信息化系统功能越来越多、规模越来越大、与用户的交互越来越深时，单一的、堆叠的安全产品和服务，哪怕是最新最先进的，都无法保证不被黑客攻破。但内生安全系统，能够让安全产品和服务相互联系、相互作用，在整体上具备单个产品和服务所没有的功能，从而保障复杂系统的安全。

　　过去20年，国内外在信息化建设方面，用的是系统工程思想，通过行之有效的EA方法论与框架，引导与推动了大规模、体系化、高效整合的信息化建设，很好地支撑了各行业的业务运营。针对网络安全，一些西方发达国家采用体系化思想，也设计出了适应他们发展阶段的NIST等框架。但由于我国的网络安全基础比较薄弱，一直采用的是“局部整改”为主的安全建设模式，无法套用西方现成的框架进行安全体系建设。

　　针对我国的国情，我们提出了内生安全框架，从工程实现的角度，将安全需求分步实施，逐步建成面向未来的安全体系。这套框架从顶层视角出发，以系统工程的方法论结合“内生安全”的理念，支撑各行业的建设模式从“局部整改外挂式”走向“深度融合体系化”，在数字化环境内部建立无处不在的网络安全“免疫力”，真正实现内生安全。

　　Q

　　内生安全框架具体如何落地？政企用户如何使用内生安全框架来建设面向未来的网络安全防御体系？

　　齐向东：内生安全框架落地有三个重点：“盘家底”“建系统”“跑得赢”。

　　“盘家底”指的是体系化地梳理、设计出所需的全部安全能力；“建系统”指的是通过与信息化的融合实现深度结合、全面覆盖，把安全能力组件化，以系统、服务、软硬件资源等不同形态，科学、有序地部署到信息化环境的不同区域、节点、层级中，确保安全能力可建设、可落地、可调度；“跑得赢”指的是确保安全运行的可持续性，实现管理闭环。只有强调安全运行，才能跑得赢漏洞、内鬼和黑客。

　　落地内生安全，最理想的情况是建设一个完整的框架。但现实情况是，大多数政府和企业的信息化系统，都是新老结合，往往需要花若干年的时间，才能完成对老系统的替换，是一个“立新破旧”的过程。从安全系统与信息化系统聚合的实施角度来看，如果割裂地对老系统用老办法，新系统用新办法，未来当老系统被替代时，老的安全系统也不得不替换掉，造成巨大的浪费。这就要求我们对安全体系进行“统一设计，分步实施”，在体系的基础上，把安全框架组件化，让这些组件既是新体系的一部分，又能部署到老系统中，从而适应信息化系统这种渐进式的、“立新破旧”的过程，避免不断地把安全系统推倒重来，确保现在安全上的投资是面向未来的。

　　我们用工程化的思想，把体系中的安全能力，映射成为可执行、可建设的网络安全能力组件，构成了内生安全框架，这些组件与信息化进行体系化地聚合，是安全框架落地的关键。

　　在内生安全框架中，我们设计解构出了“十大工程、五大任务”， 这是内生安全框架的具体落地手册，涵盖了当前所有主流场景、技术的信息化系统所需要的安全能力。这相当于打造了一个信息化巨系统内生安全框架的建设样板，每一个工程和任务，都可以理解成样板房里的不同“房间”。政企机构可以结合自身信息化的特点，选取不同的“房间”进行组合，定义自己的关键工程和任务。

　　Q

　　内生安全框架对产业会带来什么样的影响？在打造产业生态上起到何种作用？

　　齐向东：新一代内生安全网络安全框架，从信息化的角度规划安全建设，立足解决未来十年到二十年的网络安全体系问题，有助于改变网络安全产业“小零同”的现状，为网络安全产业提供更多更大的发展空间。

　　内生安全框架的核心是指导政企机构体系化的网络安全规划建设，从过去局部整改为主的外挂式建设模式走向深度融合的体系化建设模式，使之能够输出体系化、全局化、实战化的网络安全能力，以“内生安全”理念构建出动态综合的网络安全防御体系。

　　在这个过程中，通过规划、建设、服务等产业不断扩大的网络安全预算，可以提升网络安全产值，形成巨大的网络安全市场，从而破解我国网络安全产业规模小的困局。

　　内生安全框架催生了新的安全需求，为网络安全生态发展创造了更大的空间。要满足新的网络安全需求，必须借助生态整合的力量，协同网络安全厂商、基础设施厂商、应用开发厂商，以及教育、科研机构，主管部门和用户，共同打造“产学研用管”一体化的网络安全产业生态。

　　在内生安全框架指导下，政企用户网络安全建设将实现网络安全与信息化深度融合、全面覆盖，网络安全与信息化建设同步规划、同步建设、同步运行，成为覆盖信息化全产业链的内生安全体系建设。网络安全厂商需要深入业务和数据，为客户提供更精准的安全保护，没有一家厂商能单独解决所有安全领域问题，生态领导力将成为网络安全厂商未来核心竞争力。

　　内生安全框架旨在构建出动态综合的网络安全防御体系。这个体系中包含了130多个信息化组件，需要79类网络安全组件，覆盖了29个安全域场景。这其中很多组件目前都是空缺，需要更多的产品和服务来填补，这既是产业规模和增长空间扩大的因素，也是产业创新、合作发展的机会，需要众多厂商共同参与。

　　在内生安全驱动的新型网络安全生态中，安全大厂商、大集成商发挥好牵引作用，小企业专精细分领域的技术创新和能力建设，通过同步规划、同步建设、同步运行，实现整个网络安全生态与信息化的深度融合，促进与产品厂商和技术创新厂商的共同发展，进一步扩大网络安全产业规模，促进我国信息安全产业实现良性快速发展。