數(shù)字時(shí)代的網(wǎng)絡(luò)安全突圍重塑內(nèi)生安全體系

當(dāng)前，國際局勢復(fù)雜多變，各國面臨的網(wǎng)絡(luò)安全挑戰(zhàn)前所未有。“十四五”時(shí)期，我國政府及相關(guān)企業(yè)對網(wǎng)絡(luò)安全的重視程度不斷提升。隨著智能體和人工智能（AI）垂直應(yīng)用的快速普及，數(shù)據(jù)的規(guī)模和復(fù)雜性呈指數(shù)級增長，傳統(tǒng)的數(shù)據(jù)安全防護(hù)手段在面對AI時(shí)代的新威脅時(shí)，逐漸顯得力不從心。網(wǎng)絡(luò)安全如何突圍，體系堵點(diǎn)如何打破，將成為“十五五”時(shí)期，廣大政企機(jī)構(gòu)和安全產(chǎn)業(yè)最關(guān)注的問題。

體系力量是突圍之鑰

網(wǎng)絡(luò)安全突圍的動力來自生成式人工智能。企業(yè)對網(wǎng)絡(luò)安全的理解已不再是以往的“網(wǎng)絡(luò)安全公司讓我做、行業(yè)合規(guī)要求我做、能省則省湊合做”，而是要用網(wǎng)絡(luò)安全體系保護(hù)商業(yè)秘密、知識產(chǎn)權(quán)、行業(yè)經(jīng)驗(yàn)，使其主觀能動性被充分激活。隨著人工智能攻擊手段升級，傳統(tǒng)的“低價(jià)中標(biāo)”“缺啥補(bǔ)啥”的慣性思維，已難以應(yīng)對新型挑戰(zhàn)，導(dǎo)致網(wǎng)絡(luò)安全體系建設(shè)面臨著三重困境，亟待破局。

第一重困境是網(wǎng)絡(luò)安全體系化思想落地不暢。黨的十八大以來，我國相關(guān)部門與企業(yè)對網(wǎng)絡(luò)安全體系建設(shè)的投資和重視程度在不斷提升，不論是硬件、軟件還是網(wǎng)絡(luò)安全服務(wù)的市場都在穩(wěn)步擴(kuò)大，但該領(lǐng)域的相關(guān)預(yù)算多與新建項(xiàng)目綁定，尚未與安全目標(biāo)綁定，普遍存在“碎片化”采購。中研普華產(chǎn)業(yè)研究院發(fā)布的《2025—2030年中國網(wǎng)絡(luò)安全行業(yè)競爭分析及發(fā)展前景預(yù)測報(bào)告》顯示，超過 90% 的機(jī)構(gòu)選擇向10家以上廠商分散采購安全設(shè)備。這些設(shè)備的數(shù)據(jù)格式不一、標(biāo)準(zhǔn)不一、接口不一，很難實(shí)現(xiàn)“一體化”，導(dǎo)致安全系統(tǒng)呈現(xiàn)“大拼盤”狀態(tài)。由于缺乏統(tǒng)一規(guī)劃與整合，各環(huán)節(jié)防護(hù)能力難以形成協(xié)同效應(yīng)，最終形成看似完整實(shí)則松散的安全架構(gòu)。這種模式不僅削弱了整體防御效能，更使關(guān)鍵的基礎(chǔ)設(shè)施面臨隱蔽性風(fēng)險(xiǎn)。

第二重困境是“大小體系”的融合瓶頸。體系建設(shè)是復(fù)雜工程，層層嵌套，相互影響。這里可將安全體系從層級維度分為“大體系”和“小體系”，兩者具有相對性。從國家治理的視角看，主管部門統(tǒng)籌的安全頂層設(shè)計(jì)是“大體系”，而各行業(yè)、領(lǐng)域的安全建設(shè)是具有差異化的“小體系”；從智慧城市的場景看，覆蓋城市全域的安全防護(hù)架構(gòu)是“大體系”，而交通樞紐、能源電網(wǎng)等關(guān)鍵信息基礎(chǔ)設(shè)施的安全體系是“小體系”；從企業(yè)集團(tuán)的架構(gòu)看，總部主導(dǎo)的一體化建設(shè)是“大體系”，而各地的分支安全體系是“小體系”。

隨著網(wǎng)絡(luò)安全戰(zhàn)略地位的提升，“大體系”的建設(shè)主體大都面臨著安全能力無法整合、戰(zhàn)略難以統(tǒng)一實(shí)施的瓶頸，“大體系”和“小體系”間存在著鴻溝。例如，東部某省積極推動“省一市一區(qū)”三級聯(lián)動安全管理平臺，“大體系”建設(shè)順利，但下轄市、區(qū)因信息化水平和安全水平參差不齊，導(dǎo)致2024年發(fā)生一起網(wǎng)絡(luò)攻擊，攻擊者成功滲透了市級防護(hù)盲區(qū)，并進(jìn)行了東西橫向移動，對省級“大體系”造成嚴(yán)重威脅。這種層級間的斷層使安全風(fēng)險(xiǎn)呈現(xiàn)“木桶效應(yīng)”，一旦某個(gè)區(qū)域或行業(yè)的防御薄弱環(huán)節(jié)被突破，將直接危及整體網(wǎng)絡(luò)空間的穩(wěn)定。

第三重困境是“小體系”運(yùn)營梗阻。在具體層面，“標(biāo)準(zhǔn)不一、數(shù)據(jù)不通、情報(bào)不共享”的問題持續(xù)存在。不同單位的安全系統(tǒng)因技術(shù)規(guī)范差異難以互聯(lián)互通，既阻礙了“大體系”指令的精準(zhǔn)傳達(dá)，也導(dǎo)致區(qū)域間防護(hù)水平差距擴(kuò)大。例如，某化工龍頭集團(tuán)希望對自身的數(shù)字化系統(tǒng)進(jìn)行一次全面“體檢”，結(jié)果發(fā)現(xiàn)，位于多地的子公司對上級單位要求使用的掃描工具和單位的系統(tǒng)不兼容，安全指令和安全能力在本單位的“小體系”中無法進(jìn)行。另有一家大型金融機(jī)構(gòu)，其分支機(jī)構(gòu)斥資建起獨(dú)立的安全“小體系”，其中一些能夠更新防護(hù)策略，但不主動共享情報(bào)，拉大了“小體系”間的安全能力差距。這對企業(yè)用戶來說，網(wǎng)絡(luò)安全體系建設(shè)未能發(fā)揮作用，安全價(jià)值無法顯現(xiàn)。久而久之，嚴(yán)重制約了安全產(chǎn)業(yè)發(fā)展。

體系矛盾是突圍之障

面對數(shù)字經(jīng)濟(jì)發(fā)展與國際競爭的雙重壓力，網(wǎng)絡(luò)安全必須從“單品競優(yōu)”轉(zhuǎn)向“整體防御”。通過加強(qiáng)頂層設(shè)計(jì)統(tǒng)籌、推動標(biāo)準(zhǔn)規(guī)范統(tǒng)一、促進(jìn)跨層級數(shù)據(jù)共享，才能實(shí)現(xiàn)安全能力的整體躍升。

作為我國網(wǎng)絡(luò)安全產(chǎn)業(yè)的領(lǐng)軍企業(yè)，奇安信科技集團(tuán)股份有限公司（以下簡稱奇安信）很早就關(guān)注到體系在安全建設(shè)中的重要作用，并構(gòu)建了以內(nèi)生安全為核心的技術(shù)體系框架。2019年，奇安信提出內(nèi)生安全概念；2020年，推出內(nèi)生安全框架；2023年，提出“數(shù)智安全，內(nèi)生為本”理念…內(nèi)生安全的相關(guān)理論伴隨奇安信的實(shí)踐不斷進(jìn)化升級。

內(nèi)生安全體系一直在更新迭代，其核心是發(fā)揮 1+1gt;2 的涌現(xiàn)效應(yīng)。這指的是系統(tǒng)多個(gè)部分按一定方式相互聯(lián)系、相互作用，在整體上就能相互補(bǔ)充。第24屆冬季奧林匹克運(yùn)動會在北京舉行期間，奇安信為其提供網(wǎng)絡(luò)安全服務(wù)，實(shí)現(xiàn)了網(wǎng)絡(luò)安全“零事故”，充分印證了內(nèi)生安全體系的巨大價(jià)值。目前，內(nèi)生安全體系已在能源、金融、航空等領(lǐng)域的數(shù)百個(gè)大型企業(yè)與機(jī)構(gòu)得到落地實(shí)踐，獲得相關(guān)客戶好評。但還是有客戶表示，在推動體系落地時(shí)，遇到不少難題，其中三大矛盾帶來的障礙最為突出。

一是“數(shù)據(jù)孤島”的障礙。過去10年間數(shù)據(jù)對安全的重要性呈指數(shù)級增長，但由于缺乏統(tǒng)一體系或者體系割裂，形成了一個(gè)個(gè)“數(shù)據(jù)孤島”，嚴(yán)重阻礙了安全體系落地。而安全設(shè)備“萬家造”、安全“兩張皮”正是造成這種局面的主要原因。以某頭部金融企業(yè)為例，其部署的防火墻就涵蓋幾十個(gè)型號，涉及國內(nèi)外不同品牌，形態(tài)包含硬件、軟件及云部署等多種模式。這種“萬家造”的現(xiàn)狀，導(dǎo)致安全設(shè)備的數(shù)據(jù)格式互不統(tǒng)一、接口不兼容、采集能力參差不齊。最終，安全運(yùn)營中心匯集的海量數(shù)據(jù)雜亂無章、彼此孤立，既無法支撐全域態(tài)勢感知，也難以快速研判和應(yīng)急響應(yīng)。還有很多企業(yè)存在業(yè)務(wù)和安全存在“兩張皮”現(xiàn)象。例如，2024年，奇安信接到一起應(yīng)急響應(yīng)事件，客戶反饋其財(cái)務(wù)系統(tǒng)收到大量疑似正常行為的訪問請求，但由于這些行為數(shù)據(jù)沒有及時(shí)同步安全部門，安全隱患未能被及時(shí)識別和處置，結(jié)果造成大量敏感財(cái)務(wù)數(shù)據(jù)被泄露，凸顯出業(yè)務(wù)和安全數(shù)據(jù)互通的迫切性。

二是投入不足的障礙。第24屆冬季奧林匹克運(yùn)動會網(wǎng)絡(luò)安保的“零事故”背后是奇安信10多年的體系建設(shè)經(jīng)驗(yàn)和技術(shù)優(yōu)勢，以及不計(jì)成本的資源投入。在賽事籌備與舉行期間，奇安信共部署了包括防火墻、天眼、天擎、椒圖等在內(nèi)的各類安全設(shè)備近千套，歷時(shí)800多天，最多同時(shí)投入3000多名工程師參與。抵御了3.8億次（含社會面）的網(wǎng)絡(luò)攻擊，發(fā)現(xiàn)并處置了毒云藤、金鏈熊等多個(gè)高級持久性威脅（APT）組織的針對性攻擊。但對絕大多數(shù)政企機(jī)構(gòu)而言，這樣的投入力度是不現(xiàn)實(shí)的。例如，一家大型能源企業(yè)每年在數(shù)字化轉(zhuǎn)型方面的投入超過10億元，但對網(wǎng)絡(luò)安全的投入占比卻長期不足 4% 。當(dāng)攻擊者利用人工智能發(fā)起飽和式攻擊時(shí)，該企業(yè)的安全運(yùn)營中心（SOC）系統(tǒng)在15分鐘內(nèi)被快速沖垮。最后，在奇安信的協(xié)助下，緊急投入了大量安全專家資源，并上線人工智能研判系統(tǒng)，避免了核心系統(tǒng)被攻陷。

三是新舊兼容難的障礙。目前，不少企業(yè)的網(wǎng)絡(luò)安全架構(gòu)中，混雜著不同時(shí)期、不同廠商的安全產(chǎn)品和技術(shù)，雖然一定程度上確保了不出重大安全事故，但與新形勢下實(shí)戰(zhàn)化的體系建設(shè)目標(biāo)還有巨大差距。例如，一家大型制造企業(yè)的信息化建設(shè)已有20多年，不同時(shí)期建設(shè)的子系統(tǒng)雖然沒能及時(shí)整合，但也很難推倒重來。新體系如何充分整合現(xiàn)有設(shè)備和子系統(tǒng)，誰來負(fù)責(zé)新體系的整體設(shè)計(jì)和落地，確保各廠商兼容等都是需要回答的問題。

體系重塑是突圍之道

2025年是“十四五”規(guī)劃收官、“十五五”謀篇開局的關(guān)鍵年。面對體系化的重重困境和難點(diǎn)，網(wǎng)絡(luò)安全產(chǎn)業(yè)更要凝心聚力，打贏這場“翻身仗”。為此，奇安信復(fù)盤了自成立以來參與的近千個(gè)網(wǎng)絡(luò)安全防護(hù)實(shí)踐，探索出安全行業(yè)重塑體系，實(shí)現(xiàn)突圍的三大路徑。

第一，拔煙肉、掃盲區(qū)，重塑數(shù)據(jù)聚合模式。網(wǎng)絡(luò)安全體系升維，關(guān)鍵靠數(shù)據(jù)。數(shù)據(jù)的體量決定體系的規(guī)模，數(shù)據(jù)的質(zhì)量決定體系的能力，數(shù)據(jù)的關(guān)聯(lián)決定體系的效率。在“數(shù)據(jù)孤島”階段，數(shù)據(jù)采集量有限，安全數(shù)據(jù)夠用即可。但體系的不斷發(fā)展和演進(jìn)對數(shù)據(jù)聚合提出了更高要求，它必須滿足覆蓋足夠廣、采集足夠深、關(guān)聯(lián)足夠完整三個(gè)原則。

首先，要覆蓋足夠廣。全覆蓋、多維度的安全數(shù)據(jù)采集是聚合的基礎(chǔ)。以奇安信最新發(fā)布的奇安云鏡SASE為例，它基于“零信任”思維，無論何種身份，訪問哪個(gè)業(yè)務(wù)，都要帶端訪問、帶端服務(wù)，這樣通過SASE客戶端就能把設(shè)備、身份、權(quán)限、行為等多維數(shù)據(jù)聚合起來，并無縫覆蓋公有云、私有云、數(shù)據(jù)中心等基礎(chǔ)環(huán)境，形成全面的安全數(shù)據(jù)集，再結(jié)合人工智能分析，研判能力會大幅提升。

其次，要采集足夠深。這指的是數(shù)據(jù)顆粒度要足夠細(xì)，可以展示更多細(xì)節(jié)，有助于發(fā)現(xiàn)傳統(tǒng)檢測技術(shù)無法發(fā)現(xiàn)的隱藏威脅。比如，2024年，某醫(yī)院發(fā)生了多起數(shù)據(jù)泄露事件，但所部署的安全產(chǎn)品卻始終找不出攻擊者，無法確認(rèn)使用哪種攻擊方式。奇安信的安全專家認(rèn)為，無文件攻擊沒有磁盤落地，傳統(tǒng)依賴文件和漏洞特征的反病毒引擎無法發(fā)現(xiàn)，必須滲透到內(nèi)存指令集拿到深度數(shù)據(jù)，才能發(fā)現(xiàn)隱藏威脅。于是，奇安信第一時(shí)間幫助醫(yī)院部署了終端安全響應(yīng)系統(tǒng)（EDR）。通過深度、實(shí)時(shí)的內(nèi)存指令檢測分析，果然發(fā)現(xiàn)了隱藏在內(nèi)存中的攻擊代碼，最終溯源出是來自境外組織的數(shù)據(jù)竊取。

最后，要關(guān)聯(lián)足夠完整。孤立的數(shù)據(jù)就像散落的拼圖。一些看似惡意的行為可能是正常活動，而一些看似正常的活動卻恰恰是披上偽裝的惡意攻擊，只有上下文關(guān)聯(lián)度足夠高，才能還原安全威脅的全貌。如果缺乏上下文，往往會導(dǎo)致誤判或者漏判。例如，“某IP地址在短時(shí)間內(nèi)嘗試登錄失敗5次”的告警信息，極易被誤判為一次暴力破解但如果有了完整的上下文信息，就會發(fā)現(xiàn)這只是內(nèi)部運(yùn)維人員在測試新系統(tǒng)，或者是某個(gè)員工忘了密碼正在嘗試不同組合。奇安信曾處理的某次APT攻擊，當(dāng)時(shí)系統(tǒng)檢測到財(cái)務(wù)部門工作站向境外IP地址發(fā)起了一次連接。單看這起事件比較正常，極易被忽視漏掉，但通過完整的上下文信息，就能構(gòu)建出完整的攻擊鏈條。原來3天前，這個(gè)工作站收到過釣魚郵件，并通過在系統(tǒng)內(nèi)植入惡意程序發(fā)起了這次境外訪問，意圖是拖走數(shù)據(jù)庫。

第二，建反饋、強(qiáng)智能，重塑安全運(yùn)營模式。系統(tǒng)思考大師德內(nèi)拉·梅多斯的《系統(tǒng)之美：決策者的系統(tǒng)思考》一書強(qiáng)調(diào)，系統(tǒng)運(yùn)行的關(guān)鍵機(jī)制是反饋回路。它好比人體的自我調(diào)節(jié)機(jī)制，是驅(qū)動復(fù)雜系統(tǒng)動態(tài)變化的關(guān)鍵，也是內(nèi)生安全“自主、自適應(yīng)、自成長”的根基所在。因此，要讓內(nèi)生安全體系真正起效，關(guān)鍵依靠安全運(yùn)營，其本質(zhì)就是構(gòu)建高效通暢、螺旋上升的反饋回路。從奇安信的實(shí)踐看，高效的安全運(yùn)營有三大支柱。

支柱一，即準(zhǔn)確靈敏的告警是對網(wǎng)絡(luò)異常行為的反饋。對安全廠商來說，最大的挑戰(zhàn)是在海量多源、多維的數(shù)據(jù)中，精準(zhǔn)挖出情報(bào)信息。無線通信領(lǐng)域的“反饋”依靠濾波器實(shí)現(xiàn)。濾波器就像個(gè)信號“篩子”，能精準(zhǔn)篩出符合頻率要求的信號，降低噪聲，實(shí)現(xiàn)高質(zhì)量通信。人工智能帶來了網(wǎng)絡(luò)安全領(lǐng)域自己的“濾波器”。2024年，奇安信開始將人工智能深度應(yīng)用于威脅情報(bào)生產(chǎn)及運(yùn)營的全過程，自動化、標(biāo)準(zhǔn)化的情報(bào)生產(chǎn)，既增強(qiáng)了威脅情報(bào)的獲取廣度和實(shí)時(shí)性，也提高了情報(bào)準(zhǔn)確性、關(guān)聯(lián)分析能力，為構(gòu)建更敏捷的防御體系提供了核心支撐。

支柱二，即及時(shí)的處置與響應(yīng)是對安全告警的反饋。告警產(chǎn)生后，就是和攻擊者拼速度的時(shí)候。過去，奇安信通過安全編排與自動化響應(yīng)（SOAR）來編寫大量的劇本和任務(wù)，將手動執(zhí)行的日常工作自動化、流程化。但SOAR存在劇本開發(fā)成本高、適應(yīng)性低等局限。為此，奇安信嘗試通過智能體進(jìn)行自我學(xué)習(xí)、自動生成劇本，并根據(jù)不同的安全事件和緊急程度來推薦不同類型的劇本，大大提升了運(yùn)營效率，讓內(nèi)生安全體系更高效、更智能。

支柱三，即持續(xù)改進(jìn)的安全產(chǎn)品。在攻防對抗持續(xù)升級的態(tài)勢下，安全設(shè)備必須通過動態(tài)的能力提升，保持技術(shù)代差優(yōu)勢。以奇安信的人工智能操作系統(tǒng)AISOC為例，將其部署到客戶現(xiàn)場后，在分析師不斷地運(yùn)營與強(qiáng)化反饋下，AISOC的研判率、準(zhǔn)確率不斷提升。在最近一次，連續(xù)兩周的攻防演練中，每天1500條告警里，AISOC的研判率和準(zhǔn)確率同時(shí)達(dá)到了99% ，告警自動化處置率達(dá)到 70% 以上，幫助客戶大幅縮短了威脅的發(fā)現(xiàn)和處置時(shí)間。

第三，設(shè)總師、兜底線，重塑生態(tài)合作模式。重塑并不意味著完全推倒重來，而是要找到“一子落而滿盤活”的破局點(diǎn)，由安全體系總設(shè)計(jì)師作為兜底組長，確保體系成功落地。因此，政企機(jī)構(gòu)要基于自身現(xiàn)狀，遵循“先來后到”或者“以小服大”原則，確定一個(gè)安全體系總設(shè)計(jì)師，把“萬家造”的設(shè)備、平臺、能力、中心統(tǒng)籌納管，將不同廠商分散的安全力量擰成一股繩，構(gòu)建起客戶急需的、真正有效的、縱深防御的統(tǒng)一安全體系，從容應(yīng)對AI時(shí)代的安全挑戰(zhàn)。

當(dāng)前，數(shù)字經(jīng)濟(jì)正在催化安全產(chǎn)業(yè)實(shí)現(xiàn)從分散走向聚合、從低效走向高效的跨越。在這條充滿挑戰(zhàn)的道路上，奇安信正以實(shí)踐證明：唯有擁抱變化、主動進(jìn)化，才能在數(shù)字時(shí)代的安全戰(zhàn)場上贏得未來。作為網(wǎng)絡(luò)安全頭部企業(yè)，奇安信始終秉持著共生、共榮、共贏的生態(tài)合作理念，希望聚合不同領(lǐng)域、不同行業(yè)、不同類型的合作伙伴，編織出一張適配時(shí)代要求的安全防護(hù)網(wǎng)，重燃網(wǎng)絡(luò)安全產(chǎn)業(yè)的力量，打贏這場安全突圍之戰(zhàn)。

（作者：全國工商聯(lián)副主席、奇安信科技集團(tuán)股份有限公司董事長）