内生安全框架实现等保与关保的“三化六防”

■本刊记者 赵志远

随着新一代信息技术的发展，网络空间进一步延伸，与此同时，网络威胁也正从虚拟空间延伸到现实世界。关键信息基础设施作为关系国计民生的重要领域，正面临前所未有的网络威胁。从震网病毒袭击伊朗核电站到委内瑞拉电力系统屡遭破坏，近年来针对关键信息基础设施的网络攻击愈演愈烈，因此关键信息基础设施的安全稳定运行已成为各国网络安全防护的重中之重。

关键信息基础设施，网络安全防护的重中之重

金融、能源、电力、通信、交通等领域的关键信息基础设施作为经济社会运行的神经中枢，是网络安全保护的重中之重。我国早在2003年时就提出“重点保障基础信息网络和重要信息系统安全”。网络安全法中首次明确了关键信息基础设施的原则性范围。《关键信息基础设施安全保护条例（征求意见稿）》中明确提出关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。

等保2.0标准正式实施以来，等保2.0系列国家标准《网络安全等级定级指南》（GB／T22040-2020）（以下简称“《定级指南》”）也于近期正式发布，我国网络安全等级保护工作正有条不紊地推进。

此次宣贯会通过宣传贯彻公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（以下简称“《指导意见》”），解读《定级指南》国家标准，有力促进了等保与关保相关制度的落地。

“三化六防”新理念和新举措

等保2.0和关保制度对网络安全提出了“三化六防”，即“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的新理念和新举措，以构建国家网络安全综合防控体系。

“当前关保面临着实战化、体系化、常态化的挑战。”在奇安信集团董事长齐向东看来，实战化验证了面对有组织的攻击没有打不透的“墙”；体系化要求关保从“零散建设”走向“全局建设”，通过全局整体设计，建立全面覆盖的网络安全能力体系，将安全能力“调用”到关键信息基础设施信息化体系当中去；常态化则要求关保要具备全天候的态势感知与安全运行。

“实战化、体系化、常态化”体现了针对关保的新理念，但新理念需要具体措施的支撑方能得以实施，而“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“六防”新举措是构建国家网络安全综合防控体系的有力支撑。

齐向东认为，关键信息基础设施防护必须具备“六防”能力，即针对攻击的多样化、多变性，构建切断、诱捕、猎杀、震慑的动态防御能力；针对攻击的复杂性、未知性，结合敌情我情，建设发现、分析、响应、溯源的系统和主动防御能力；针对内网的全连通、不设防，设计多层次防线，构建纵深防御能力，全面覆盖“网络战场”；针对系统的核心点、重要度，构建精准防护能力，打造分区分级、高可靠性的防御体系：针对防护的碎片化、盲点多，构建全覆盖、多场景、强协同的整体防控能力；针对威胁的非对称、国家级，构建联防联控能力，实现企业、行业、国家从点到线再到面的统筹联动。

内生安全框架实现关键信息基础设施防护

信息化与网络安全是一体之两翼，驱动之双轮，在信息化过程中，网络安全建设需要随着信息化的变化而与之相适应。因此，齐向东认为，在这一过程中，网络安全一定要有一套框架体系，方能以不变应万变。

奇安信在今年3月推出的面向新基建的新一代网络安全框架，以系统工程的方法论结合“内生安全”的理念，改变以往“局部整改”和产品堆叠为主的安全规划及建设模式，从顶层视角建立安全体系全景视图。

“内生安全框架可为关键信息基础设施防护实现‘六防’的体系化建设。” 齐向东表示，内生安全框架从顶层视角出发，支撑各行业的建设模式从“局部整改外挂式”，走向“深度融合体系化”；从工程实现的角度，将安全需求分步实施，逐步建成面向未来的安全体系；内生安全框架能够输出实战化、体系化、常态化的安全能力，构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系。

齐向东表示，为用户建立安全框架和体系一定是由某一家安全厂商来主导的，而体系之内的相关安全产品等则可以选择不同品牌，百花齐放。这就好比建一座楼，需要选择一家而不是几家设计院来进行主导设计，否则就会产生责任不明等一系列问题。

针对用户选择什么样的体系以及如何实施的问题，奇安信为内生安全框架的落地设计并解构出了“十工五任”的落地手册，对每一个工程和任务都给出了具体的部署步骤和标准，政企机构可以结合自身信息化的特点，定义自己的关键工程和任务。依据“十工五任”手册，奇安信针对136个信息化组件，总结出了29个安全区域场景，部署了79类安全组件。

齐向东表示，政企机构采用内生安全框架，三至五年，必能建立起完善的网络安全协同联动防御体系，实现内生安全。

面对关键信息基础设施防护的新形势和新要求，奇安信内生安全框架在为用户输出“三化”的安全能力，构建“六防”的网络安全防御体系做出了重要贡献。