Q　新基建戰略的推進使得數字經濟成為國民經濟發展的主引擎，同時網絡空間的競爭博弈日趨激烈，日益與國家安全息息相關。您認為這會給網絡安全帶來什么樣的新挑戰？

　　齊向東：隨著數字經濟時代的到來，政府和企業開始全面網絡化、數字化。業務和數據的安全性成了重中之重的問題。尤其是隨著5G、數據中心、工業互聯網等新型基礎設施建設的推進，數字經濟加速向縱深發展，傳統基礎設施轉型升級，進而形成的融合基礎設施，加速了物理與虛擬邊界的消融，帶來全新的安全挑戰。

　　新的安全挑戰體現在：一是攻擊暴露面擴大。封閉的生產網絡、業務系統開始向外界打開，網絡、應用、數據有了更多的暴露面，帶來新安全風險。二是數據泄露風險加劇。數據的開放、共享和持續流動加劇了信息數據的泄露風險。三是個性化安全需求劇增。新業務場景的安全需求千差萬別，需要針對不同行業的差異化需求、不同的業務場景量身定做個性化的網絡安全解決方案。四是網絡攻擊的后果擴大。自動駕駛汽車被攻擊，可能導致車毀人亡；電站被攻擊，可能導致災難性事故。在數字經濟時代，網絡攻擊將直接造成人身傷害或物理的破壞，后果是政府和企業運營主體不可承受的。

　　在傳統互聯網時代，網絡安全的主要任務是防止數據泄漏、破壞，以及網絡癱瘓；在網絡空間安全時代，網絡安全目標是包含設施、數據、用戶、操作在內整個網絡空間的系統安全。

　　目前，網絡攻擊在全球范圍呈現前所未有的頻率和激烈程度。僅今年上半年，全球就發生十余起影響廣泛的工業控制系統網絡攻擊事件，呈現出定向攻擊精準性提升迅速、技術手段復雜化專業化、攻擊行為組織化的特征，直接影響工業運行安全。

　　數字經濟時代，網絡安全已經成為牽一發而動全身的要素，其重要性更加凸顯。國際網絡空間的競爭博弈日趨激烈，網絡安全產業是否壯大已經成為衡量國家網絡安全綜合實力的重要標準。

　　Q

　　面對數字經濟所帶來的新技術新應用熱潮，網絡安全產業也處于一個重要轉折期。您如何看待當前網絡安全產業的發展？

　　齊向東：在數字經濟蓬勃發展的新形勢下，網絡安全行業已進入新的發展期，面臨五大機會：首先，客戶的數量激增，全球網絡攻擊事件頻發，更多企業從不關注網絡安全轉而加大對網絡安全投入。其次，重點行業出現重量級客戶，新基建推動網絡安全從輔助工程變成基礎工程，推動網絡安全的投入持續加大。第三，安全能力成為數字化的前提條件，數字化應用場景不斷深化，網絡安全需求越來越多。第四，越來越嚴格的法律合規要求引爆更大的網絡安全市場，《網絡安全法》《關鍵信息基礎設施安全保護條例（征求意見稿）》等法律條例的實施，必然帶來巨大的網絡安全增量市場。第五，安全服務市場潛力巨大，美國網絡安全市場中服務已經占到了63-64％，而我國安全服務才到12％。網絡安全服務市場會逐漸受到重視，未來將出現井噴式增長。

　　近年來，網絡安全在我國已經變成風口行業，網絡安全產業持續火熱，企業資本交易活動活躍程度明顯提升，大量投資機構涌入市場助力產業發展，2019年國內網絡安全企業融資、并購及股權等資本交易總額為225.6億元，創歷史新高。同時，網絡安全人才的待遇也在不斷提升，平均年薪從2016年底的18.5萬元漲到了24萬元。

　　與網絡安全行業的高溫相反，網絡安全企業賺錢難、發展慢的狀況沒有得到根本改善，絕大多數企業仍處于小規模、零散化、同質化的“小零同”狀態。數據顯示，2019年美國網絡安全市場規模為447億美元，我國同期網絡安全產業規模只有608億元人民幣，僅是美國的五分之一，與我國GDP達到美國的67%的比例嚴重不符。

　　這種行業熱但市場難、企業難的原因，主要是網絡安全處于重要轉折期，傳統的思維和慣性做法還沒有及時轉變，跟不上數字經濟時代的步伐。具體可歸為三個方面：一是甲方受傳統思維局限，認為加大網絡安全就是購買更多的安全產品，而不注重建設安全系統；二是由于網絡安全產品創新周期長，安全廠商的創新動能弱，更傾向于把有限的研發資金投向市場成熟的合規類產品，導致安全產品嚴重同質化，缺少競爭力；三是市場競爭標準單一，測評標準低于市場需求。

　　Q

　　對政企用戶而言，在這種新形勢下，傳統網絡安全體系存在哪些問題？該如何重塑自己的網絡安全體系？

　　齊向東：在新的網絡安全形勢下，政企機構的網絡安全預算不斷增加，但與此同時網絡攻擊、數據泄露事件依然層出不窮。網絡安全行業陷入投入不斷增加、安全形勢卻日益嚴峻的尷尬局面。

　　造成“防不住”的原因，主要是傳統的產品堆疊的網絡安全體系已經不能有效應對當前的網絡安全挑戰。傳統互聯網時代，人們對網絡安全的防護習慣采取“事后補救”措施，網絡安全企業也習慣用“治病救人”的方法，就是出了事再采取安全措施?！笆潞笱a救”和“治病救人”的措施，往往是“頭痛醫頭、腳痛醫腳”，是局部的、針對單點的，而不是徹底的和全面的。這種“局部整改”為主的安全建設模式，導致網絡安全體系化缺失、碎片化嚴重、協同能力差，網絡安全防御能力與數字化業務的保障要求嚴重不匹配。

　　為了滿足數字化建設的安全防護需求，政企用戶必須拋棄這種“事后補救”的安全建設思路，關口前移、防患于未然，通過內生安全系統工程建設，構建全面的“事前防控”網絡安全防護體系，用“實戰化、體系化、常態化”的要求，實現“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”。

　　“內生安全”通過系統聚合、數據聚合和人的聚合，不斷從信息化系統內生長出安全能力。內生安全用“一個中心五個濾網”，從網絡、數據、應用、行為、身份五個層面來有效實現對網絡安全體系的管理，從而構建無處不在，處處結合，實戰化運行的安全能力體系。

　　Q

　　如何理解“內生安全從安全框架開始”？

　　齊向東：實現內生安全，是一套復雜的系統工程，需要一個新形態的能力體系做支撐，需要用工程化、體系化的方式實施，實現它的關鍵就是安全框架。

　　在信息化系統功能越來越多、規模越來越大、與用戶的交互越來越深時，單一的、堆疊的安全產品和服務，哪怕是最新最先進的，都無法保證不被黑客攻破。但內生安全系統，能夠讓安全產品和服務相互聯系、相互作用，在整體上具備單個產品和服務所沒有的功能，從而保障復雜系統的安全。

　　過去20年，國內外在信息化建設方面，用的是系統工程思想，通過行之有效的EA方法論與框架，引導與推動了大規模、體系化、高效整合的信息化建設，很好地支撐了各行業的業務運營。針對網絡安全，一些西方發達國家采用體系化思想，也設計出了適應他們發展階段的NIST等框架。但由于我國的網絡安全基礎比較薄弱，一直采用的是“局部整改”為主的安全建設模式，無法套用西方現成的框架進行安全體系建設。

　　針對我國的國情，我們提出了內生安全框架，從工程實現的角度，將安全需求分步實施，逐步建成面向未來的安全體系。這套框架從頂層視角出發，以系統工程的方法論結合“內生安全”的理念，支撐各行業的建設模式從“局部整改外掛式”走向“深度融合體系化”，在數字化環境內部建立無處不在的網絡安全“免疫力”，真正實現內生安全。

　　Q

　　內生安全框架具體如何落地？政企用戶如何使用內生安全框架來建設面向未來的網絡安全防御體系？

　　齊向東：內生安全框架落地有三個重點：“盤家底”“建系統”“跑得贏”。

　　“盤家底”指的是體系化地梳理、設計出所需的全部安全能力；“建系統”指的是通過與信息化的融合實現深度結合、全面覆蓋，把安全能力組件化，以系統、服務、軟硬件資源等不同形態，科學、有序地部署到信息化環境的不同區域、節點、層級中，確保安全能力可建設、可落地、可調度；“跑得贏”指的是確保安全運行的可持續性，實現管理閉環。只有強調安全運行，才能跑得贏漏洞、內鬼和黑客。

　　落地內生安全，最理想的情況是建設一個完整的框架。但現實情況是，大多數政府和企業的信息化系統，都是新老結合，往往需要花若干年的時間，才能完成對老系統的替換，是一個“立新破舊”的過程。從安全系統與信息化系統聚合的實施角度來看，如果割裂地對老系統用老辦法，新系統用新辦法，未來當老系統被替代時，老的安全系統也不得不替換掉，造成巨大的浪費。這就要求我們對安全體系進行“統一設計，分步實施”，在體系的基礎上，把安全框架組件化，讓這些組件既是新體系的一部分，又能部署到老系統中，從而適應信息化系統這種漸進式的、“立新破舊”的過程，避免不斷地把安全系統推倒重來，確?，F在安全上的投資是面向未來的。

　　我們用工程化的思想，把體系中的安全能力，映射成為可執行、可建設的網絡安全能力組件，構成了內生安全框架，這些組件與信息化進行體系化地聚合，是安全框架落地的關鍵。

　　在內生安全框架中，我們設計解構出了“十大工程、五大任務”， 這是內生安全框架的具體落地手冊，涵蓋了當前所有主流場景、技術的信息化系統所需要的安全能力。這相當于打造了一個信息化巨系統內生安全框架的建設樣板，每一個工程和任務，都可以理解成樣板房里的不同“房間”。政企機構可以結合自身信息化的特點，選取不同的“房間”進行組合，定義自己的關鍵工程和任務。

　　Q

　　內生安全框架對產業會帶來什么樣的影響？在打造產業生態上起到何種作用？

　　齊向東：新一代內生安全網絡安全框架，從信息化的角度規劃安全建設，立足解決未來十年到二十年的網絡安全體系問題，有助于改變網絡安全產業“小零同”的現狀，為網絡安全產業提供更多更大的發展空間。

　　內生安全框架的核心是指導政企機構體系化的網絡安全規劃建設，從過去局部整改為主的外掛式建設模式走向深度融合的體系化建設模式，使之能夠輸出體系化、全局化、實戰化的網絡安全能力，以“內生安全”理念構建出動態綜合的網絡安全防御體系。

　　在這個過程中，通過規劃、建設、服務等產業不斷擴大的網絡安全預算，可以提升網絡安全產值，形成巨大的網絡安全市場，從而破解我國網絡安全產業規模小的困局。

　　內生安全框架催生了新的安全需求，為網絡安全生態發展創造了更大的空間。要滿足新的網絡安全需求，必須借助生態整合的力量，協同網絡安全廠商、基礎設施廠商、應用開發廠商，以及教育、科研機構，主管部門和用戶，共同打造“產學研用管”一體化的網絡安全產業生態。

　　在內生安全框架指導下，政企用戶網絡安全建設將實現網絡安全與信息化深度融合、全面覆蓋，網絡安全與信息化建設同步規劃、同步建設、同步運行，成為覆蓋信息化全產業鏈的內生安全體系建設。網絡安全廠商需要深入業務和數據，為客戶提供更精準的安全保護，沒有一家廠商能單獨解決所有安全領域問題，生態領導力將成為網絡安全廠商未來核心競爭力。

　　內生安全框架旨在構建出動態綜合的網絡安全防御體系。這個體系中包含了130多個信息化組件，需要79類網絡安全組件，覆蓋了29個安全域場景。這其中很多組件目前都是空缺，需要更多的產品和服務來填補，這既是產業規模和增長空間擴大的因素，也是產業創新、合作發展的機會，需要眾多廠商共同參與。

　　在內生安全驅動的新型網絡安全生態中，安全大廠商、大集成商發揮好牽引作用，小企業專精細分領域的技術創新和能力建設，通過同步規劃、同步建設、同步運行，實現整個網絡安全生態與信息化的深度融合，促進與產品廠商和技術創新廠商的共同發展，進一步擴大網絡安全產業規模，促進我國信息安全產業實現良性快速發展。