基于內生安全框架的面向數字化轉型的網絡安全防御體系

韓永剛/HAN Yonggang

（ 奇安信科技集團股份有限公司，中國 北京 100044 ）

1 數字化時代的網絡安全體系需求演進

全球經濟已全面進入數字化時代，中國在“十四五”規劃中也明確提出了“加快數字化發展，建設數字中國”的戰略規劃。近年來，“網絡強國”“加快培育數據要素市場”“加強數字政府建設”等一系列與數字化轉型緊密相關的戰略部署，都將數字化轉型作為重要的發展戰略與核心經濟驅動力。數字化的核心不僅在于云計算、大數據、5G、物聯網、人工智能、智能制造、衛星互聯網這些新技術的應用，更在于將信息技術與政企機構業務運營、管理流程融合在一起，形成新的業務運營模式，從而顯著提升業務運營效率和效益，為政企機構帶來巨大的創新紅利。與此同時，信息技術與業務的深度融合也將增加網絡安全方面的風險，使得網絡安全問題對業務產生破壞性乃至災難性的影響。在這種情況下，網絡安全風險將會等效于業務運營風險。政企機構信息系統一旦被入侵或被破壞，將會直接危害業務運營，進而危害生產安全、社會安全，甚至國家安全。這也是國家在數字化轉型期從戰略與法律法規角度，頻繁推出《網絡安全法》《數據安全法》《個人信息保護法》《網絡安全等級保護制度》等一系列法律、法規、制度、標準的原因。

近年來，隨著數字化環境的變化，網絡空間威脅也發生了新的變化：各類新型的威脅如勒索攻擊、大規模數據泄漏、供應鏈攻擊、高級威脅高級持續性威脅（APT）攻擊、內部威脅、國家網絡空間對抗等相繼出現，并帶來了一系列影響。數字化轉型對政企機構運營模式的轉變是顛覆性的、不可逆轉的，傳統的信息化模式也將無法支撐目前經濟環境下的業務運行要求。因此，政企機構必須立足于數字化業務運營的安全、高效、可靠運行，建設具有動態、綜合、可持續等特點的適應于數字化業務的新型網絡安全保障體系。

2 內生安全的理念

“內生安全”是指面向數字化業務，將網絡安全能力內置到數字化環境中，并通過信息化系統和安全系統的聚合、業務數據和安全數據的聚合、IT人才和安全人才的聚合，讓網絡安全系統像人的免疫系統一樣，實現自適應、自主和自成長，從體系化全局視角構建出動態綜合的網絡安全防御體系[1]。

從內生安全理念的產生到框架設計方法的形成與落地，相關實踐指引了中國大量的大型政企機構的網絡安全體系設計、建設、運行。這些實踐與系統工程及企業架構（EA）方法論的結合與應用，起了關鍵作用。

系統工程產生于20世紀50年代，被廣泛地用于航空、航天、機械制造、電子工程等各個領域，并由錢學森院士在中國積極倡導并開拓創新。系統工程是看待復雜系統（SoS）時的一種邏輯思維方法，是組織、管理“系統”規劃、研究、設計、制造、試驗和使用的科學方法[2]。系統工程專注于復雜系統的整體設計，從問題的全局視角來審視，為系統整體而非單一子系統設計方案，將所有變量都考慮在內，并梳理其相互關系。從系統化的視角來看，系統作為整體所產生的價值主要來自各組成部分的相互聯系和相互作用關系，而且遠遠超過各組成部分的單獨貢獻的和[3]，這也就是所謂系統工程的“涌現”效果。

如果將日益復雜的數字化環境也視為一個復雜系統，那么EA就是系統工程在信息化領域的應用。在過去的20～30年，EA方法論在引導與推動大規模、體系化、高效整合的信息化建設、支撐各行各業科學地展開業務運營等方面都起到至關重要的作用，而內生安全框架亦有很多思路來源于EA方法論。通過創建、溝通、提高等方法，EA可以描述企業未來狀態和發展的關鍵原則，進而把商業遠景和戰略轉化成有效的企業變革。EA方法主要用于維護信息技術（IT）體系，或引入新的信息技術體系，從而實現組織的戰略目標和信息資源管理目標。

1987年，J. ZACHMAN在《A Framework for Information Systems Architecture》中首次提出了“信息系統架構框架”的概念，從“信息、流程、網絡、人員、時間、基本原理”6個視角來分析信息系統架構，由此奠定了EA的理論基礎[4]。美國的一些機構率先使用EA：美國國家技術標準研究所（NIST）于1989年發布企業架構模型（NIST EA Model），于1999年發布聯邦企業架構框架（FEAF），于2003年發布國防部體系架構框架（DoDAF）。同時，在企業機構和一些標準化組織中，也涌現出一些具有影響力的框架，例如開放標準組織體系結構框架（TOGAF）。

EA是企業業務戰略與IT戰略之間的接口，是企業頂層設計的圖紙，決定企業結構、組成部分、各部功能、空間關系等元素。一般來說，EA可以分為兩大部分：業務架構和IT架構。目前大部分EA方法都是從IT架構發展而來的。業務架構是把企業的業務戰略轉化為日常運作的渠道。業務戰略決定業務架構，它包括業務的運營模式、流程體系、組織結構、地域分布等內容。而IT架構，是指導IT投資和設計決策的IT框架，是建立企業信息系統的綜合藍圖，包括數據架構、應用架構和技術架構3部分。其中，業務架構的重點是流程和數據，而IT架構的重點是應用和技術。前者增加了企業愿景和任務目標驅動，后者增加了可落地的實施策略和計劃。

作為系統工程思想在信息化領域的應用，EA方法打破了零散式的規劃與建設，系統性地構建信息化體系，從而推動了大規模、體系化、高效整合的信息化建設。在很長一段時間里，網絡安全在方法論上都缺乏這種體系化與全局視角。我們要做的就是從EA的方法體系與各種框架中，找到適合中國網絡安全狀況的方法，并結合具體國情，加以開發與利用，并結合內生安全理念，形成適用于網絡安全的框架、方法與配套工具等。

在網絡空間安全領域對EA方法論的使用，是為了幫助政企大型機構理清并實現所需的“網絡安全能力體系”，而不是為了建設某種具體的系統或產品。我們需要從全局視角了解大型政企機構所需的網絡安全能力體系是什么？包含什么？應該如何有序地構建，并真正運行起來。我們要做的是進行合理恰當的選取與應用，從全局視角以系統性的方法進行整體的設計、建設與運行。我們應當綜合考慮業務現狀與信息化環境的未來發展，規劃設計與之相匹配的網絡安全能力體系，并像信息化的建設一樣，將網絡安全的能力與數字化融合內生，做到與信息化環境全面覆蓋以及深度融合，從而保障政企核心業務的順暢運行。

根據政企機構信息化與網絡安全建設的實踐經驗，我們總結了一套適合于中國政企機構，特別是大中型政企機構信息化發展的、系統性的網絡安全建設框架。新框架即是對網絡安全模式升級新方法的探索，也是“內生安全”理念的有效落地。

3 內生安全框架與體系設計方法

借鑒EA方法論，以“網絡安全能力體系”建設為中心，內生安全框架可以識別出在信息化的各個層面構成網絡安全能力的能力組件，并將這些安全能力組件全面覆蓋至政企普遍存在的信息化各領域，進而規劃出網絡安全建設實施“項目綱要庫”（需要逐步實施的項目的集合）。隨著這些項目的實施，安全防護體系將逐步融入信息化環境，進而共同實現全面的安全能力。最終，安全技術體系與安全運行體系的建立完善，可以實現“內生安全”的全面落地，并使政企機構能夠具備體系化的安全防御能力。

內生安全框架（具體如圖1所示）涉及的安全能力應全面覆蓋云、終端、服務器、通信鏈路、網絡設備、工控、人員等IT要素，避免因局部盲區而導致的防御體系失效；還需要將安全能力深度融入物理、網絡、系統、應用、數據與用戶等各個層次，確保安全能力能在IT的各層次有效集成。

內生安全框架為大型政企機構在數字化轉型的快速發展期開展整體的網絡安全規劃與體系設計提供了思路與建議。我們通過該框架，從“甲方視角、信息化視角、網絡安全頂層視角”展現出政企網絡安全體系全景，通過以能力為導向的網絡安全體系設計方法，規劃出面向中長期的建設實施項目綱要庫（即重點工程與任務，其進一步的擴展與細化可以形成網絡安全相關重點領域的參考架構），并設計出將網絡安全與信息化相融合的目標技術體系和目標運行體系，供政企機構參考、借鑒。

通過“疊加演進的能力分類方法”，內生安全框架形成面向政企信息化全領域的網絡安全能力體系。政企可結合自身情況，采用框架中包含的方法工具，對每個安全領域的安全能力進行組合，重點設計能力間的邏輯關系以形成能力邏輯架構，并規劃出覆蓋網絡安全領域的建設實施項目庫。在規劃周期內，項目庫中的工程和任務依據路線圖確定的時間開展研究、立項、建設。隨著項目和任務的落地，政企將逐步建成目標技術體系架構與目標運行體系架構。體系化的網絡安全能力也會隨之達成，從而保障了數字化業務。

網絡安全能力體系是保障政企機構數字化業務運營所必須的網絡安全能力的集合。只有政企機構具備了這些必須的安全能力，才能真正有效地保障數字化業務安全。在框架的組成中，網絡安全能力體系通過結合全球安全領域的規范標準、最佳實踐、新安全技術，枚舉出了保障政企機構數字化業務安全運行所需的能力集合。借鑒國際網絡安全研究機構（SANS）提出的網絡安全“滑動標尺”模型[5]，我們對安全能力進行分類，并結合中國政企機構信息化普遍存在的安全領域，規劃、設計并形成了適合具有中國特色的“疊加演進”的網絡安全能力體系。

如圖2所示，網絡安全能力體系包含五大類，即基礎結構安全（Architecture）、縱深防御（Defense in Depth）、態勢感知與積極防御（Active Defense）、威脅情報（Intelligence）和反制（Counter）。其中，基礎結構安全、縱深防御、積極防御、威脅情報這4類能力是一個完備的政企業級網絡空間安全防御體系所需的，而反制能力主要由國家級網絡安全防御體系來提供。

▲圖2 疊加演進的網絡安全能力模式

· 基礎結構安全：在系統規劃、建設和維護的過程中，我們應該充分考慮安全要素，確保這些安全要素被設計到系統中，從而構建一個安全要素齊全的基礎架構。

· 縱深防御：該能力體系是建立在架構安全基礎上的，并能在多道網絡防線上提供持續的威脅防御或威脅洞察力。該能力就像是給整個機構構建了戰場防御的“縱深”，并在陣地的不同層次、不同區域上進行不同技術類型的層層設防，并保證其防御策略行之有效。

· 積極防御：在該能力體系中，主動防御、數據分析被充分利用，分析人員開始介入，形成人機互動，并對網絡內的威脅進行監控、響應、學習和理解。積極防御把攻防過程從看似離散的告警，進化成一個有時空關聯的完整過程；把攻擊發生時的瞬間防御，變成了日常的監測、分析和學習的過程；把對單次攻擊本身的檢測，延伸到對攻擊者和攻擊者持續行為的關注。

· 威脅情報：該階段的主要任務是收集和分析內部數據，并使用外部第三方威脅情報數據。更多來源的威脅情報的利用，能夠使防御體系有更廣泛的視角。這樣能夠綜合了解行業、區域，甚至全球的網絡攻擊的現狀、方法與相關攻擊指標（IOC），從而通過可機讀情報的處理過程來大大提升防御系統的告警準確性與效率。

· 反制：該能力指在友好網絡之外，對攻擊者采取直接的壓制或打擊行動。不過，按照中國網絡安全法律、法規的要求，對于一般的政企機構來說，在進攻反制階段所能做的，主要是通過法律手段對攻擊者進行反擊或借助國家力量進行網絡安全監管。

從疊加演進的視角來看，網絡安全防御能力體系中的基礎結構安全與縱深防御能力具有與信息基礎設施“深度結合、全面覆蓋”的綜合防御特點，而積極防御與威脅情報能力具有 “掌握敵情、協同響應”的動態防御特點。這些能力間彼此關聯、相互促進。

對于數字化的系統來說，IT與業務是密不可分的。從EA方法論出發，上述網絡安全能力應當與信息化相融合，以保障業務安全、有序地發展。通過識別、設計構成網絡安全防御體系的基礎設施、平臺、系統和工具集，圍繞可持續的安全運行體系進行集成整合，可以構建出動態綜合的網絡安全防御體系。需要注意的是，我們要避免“以偏概全”的傳統模式，以全覆蓋、層次化的思路進行規劃、設計。以網絡的縱深防御體系為基礎，進一步以數據確定防御重點，開展實戰化安全運行，規劃、建設動態綜合的網絡安全防御體系，以確保安全能力在IT的各層次有效內生。

通過組件化安全能力，內生安全框架將網絡安全能力映射為可執行、可建設的網絡安全能力組件，具體如圖3所示。安全能力組件是安全能力的實現載體，具體包括安全管理、安全技術、安全運行相關內容。在政企機構信息化的所有層面，把安全能力組件與信息化組件相結合，保證了安全能力對信息化的覆蓋與融合。通過對安全組件的組合，能夠定義出要建設的項目，并清晰地表達項目的建設內容。

▲圖3 組件化安全能力

在政企機構網絡安全的實際規劃、設計、建設、運行、落地的過程中，項目是推行安全管理思想、強化安全管控、提升安全能力的重要抓手。在安全規劃中，項目設置的科學性、合理性、可落地性是決定安全體系建設成效的關鍵因素。通過使用基于“能力導向”的EA方法論，內生安全框架將政企的網絡安全防御體系作為一個整體復雜系統進行設計，并在此過程中識別出了15個“構成子系統”，即“十大工程、五大任務”，具體如圖4所示。進一步地，內生安全框架以系統工程的方式將這15個構成子系統分別作為“復雜系統”進行設計，從而梳理清晰其全景與相互依賴關系。

▲圖4 項目實施綱要庫

在框架的工具集中，我們面向這15個子系統設計了項目規劃綱要。項目規劃綱要是項目庫的核心。從項目建設與實施的視角出發，項目規劃綱要高度概括了項目的目標、覆蓋范圍、預期效果、協同領域以及多個項目之間的作用關系，強調項目規劃、可研、立項與設計階段的關鍵要點。

政企機構在網絡安全規劃時可參考項目規劃綱要模板，并根據政企現狀規劃項目，向信息化領導和網絡安全領導闡述項目的重要意義、必要性、建設內容等，以得到充分的資源配給和政策支持。在規劃的全周期內，政企參考項目規劃綱要進行可研、立項、招標、初步設計、概要設計、建設和運行，明確項目執行中每個系統須達到的預期能力、關鍵指標和協同關系，確保安全能力的完整性、體系性和可落地性，進而以一個可實現、一貫秉承的整體視角持續建設，以達成網絡安全防御目標。

4 內生安全“構成系統”的技術要點與參考架構

在內生安全框架的每一個項目綱要庫中，通過進一步的擴展，能夠間接起到構建該領域的“參考架構”的作用。“參考架構”一般不會具體明確實現該領域能力體系的具體方案或服務細節，而是會從該領域（子系統）的能力體系出發，給出子系統網絡安全的能力要求與技術要點。而具體采用何種落地方案、產品、服務，則不受限制。這樣也能夠在保證網絡安全防御目標達成的同時，采用多樣的技術路線來靈活實現。下面，我們從兩個角度進行說明：最基礎的網絡縱深防御和目前最受關注的數據安全。

網絡縱深防御是網絡安全體系中最基礎的子系統，其整體架構如圖5所示。在數字化轉型進一步升級、網絡變得越來越開放與復雜的情況下，網絡縱深防御已不再是簡單的邊界防護，而是有了更多的具體要求。在這種挑戰下，“重構企業級網絡縱深防御”工程給出了設計的參考架構與樣例庫。

▲圖5 網絡縱深防御整體架構

從設計原則上，該工程給出了“最小攻擊面設計”“面向失效的設計”“能力導向的設計”3個原則。在總體架構上，通過在大型政企網絡中構建多級網絡縱深，并在縱深與各安全域上進行威脅模型分析，建立縱深防御策略矩陣。

網絡縱深防御最終遵循8個方面的技術建設要點，具體包括：

（1）設計標準化、模塊化的各類網絡安全防護集群，提供流量清洗、網絡訪問控制、加/解密、入侵防范、惡意代碼防范、應用安全防護、安全代理、數據泄漏檢測、全流量檢測、攻擊誘捕等安全能力，通過軟件定義網絡等技術實現安全能力服務化、彈性擴展和靈活調度編排，適配各節點的安全防護需求。

（2）規整網絡外部邊界，收斂應用服務及接口的協議類型，分別部署網絡安全防護集群：建設合作伙伴安全接入區，保障對外接口及數據安全；建設互聯網安全接入區，保障互聯網服務訪問安全；建設互聯網辦公出口安全接入區，保障用戶上網行為安全；納管其他工程建設的公有云安全接入點、物聯網安全接入區、工業互聯網安全接入區、衛星通信安全接入區。

（3）在業務專網、涉密網等不同密級的網絡間集中建設跨網安全訪問區，部署網絡安全防護集群，提供網絡訪問控制、應用程序編程接口（API）安全代理、數據隔離與交換等能力，確保用戶跨網訪問及數據交換的安全。

（4）在廣域網各區域中心節點建設區域中心安全防護區，部署網絡安全防護集群，以增加廣域網安全防護縱深，形成多層次、協同聯動的廣域網縱深防御能力，全面縮小廣域網暴露面，從而降低橫向移動的可能性。

（5）在廣域網各分支節點建設分支機構安全接入點，通過軟件定義廣域網（SD-WAN）技術，實現網絡訪問控制、傳輸加密、入侵防范等能力，保障大量分支機構節點的安全接入，優化廣域網線路成本，提高部署和運維工作效率。

（6）建設獨立的管理網絡，以實現數據平面與管理平面分離，收斂硬件管理接口，從而確保運維管理通道資源的可用性。建設、管理網絡安全接入區，部署網絡安全防護集群，基于零信任架構和基于屬性的訪問控制模型，與身份管理及訪問控制平臺對接，實現運維特權賬號管理，從而對運維管理操作實施動態細粒度訪問控制，最小化對資源的訪問權限。

（7）將各安全防護集群的安全數據接入安全運行與態勢感知平臺，為安全分析提供全局網絡安全數據支撐。

（8）面向各節點的網絡安全防護集群，建設統一的運行管理平臺，以實現安全策略全生命周期自動化管理，從而支撐態勢感知平臺安全事件的響應處置。

根據具體的網絡環境場景，上述建設要點完整地呈現了系統架構中的組件要素及它們相互之間的邏輯關系，能夠幫助政企機構在該領域形成更準確的項目定義，而不僅僅是簡單的產品堆砌。因此我們需要瞄準一個可實現、有依據的目標，進行全景設計。對于這其中所涉及到的技術要點，我們并不會強制地規定具體的實現方式，而是更為關注其所需要的安全能力，以及實現這些能力所必要的組件、子系統、模塊，以及它們之間的邏輯關系和集成關系。這些內容的進一步細化與擴展，就能夠起到“參考架構”的作用。

另外一個例子是數據安全。與最為基礎的網絡縱深防御相比，數據安全領域則更加能夠體現了“內生”的重要性。為了描述得更清晰，我們會用到系統工程中的一個工具ConOps，具體如圖6所示。

▲圖6 數據安全ConOps運行構想圖

數據安全運行構想圖共有4層：

（1）數據安全策略層。該層的重點是健全數據安全管理制度，能根據數據安全治理的結果，構建相應的數據安全策略，從而幫助機構明確數據安全所需的組織、規范、制度、流程等。從業務場景、應用邏輯出發，基于數據安全治理階段的成果（數據脈絡、數據標簽、數據分類分級等）構建需要基于屬性的數據安全策略，以向下面的3層進行分發。這一層更多的是與數據安全的管理相關。

（2）數據流轉與管控層。該層的重點是確保數據的流轉有序合規、數據使用的行為規范，并實現對數據的全面梳理和有效防護。在這一層中，我們要全面梳理數據資產，確定適當的數據安全等級，并設定多樣化的屬性標簽，從而全方位描述與數據安全管控可能相關的數據信息；通過明確管控數據的流轉，并結合數據流轉監測，發現非法用戶竊取數據等異常行為；根據數據流轉與管控策略，以“權限最小化”原則進行授信。未來，我們可通過零信任體系進行動態評估，從而實現對數據的動態、細粒度訪問控制；對數據使用行為留痕，從而為實時的監測響應和審計提供支撐。

（3）應用組件和安全能力層。該層用于描述新型數據中心中業務應用的運行態，并基于業務系統的邏輯和應用架構，將各個應用組件和各組件之間的邏輯關系呈現出來，同時將每個組件和應用所需要的安全能力嵌入到組件中，從而將安全能力與應用內生融合。進一步地，根據數據安全治理的成果做相關的安全保護（如加密、脫敏、去標識化等）。同時，應用安全策略的落地會集中在這一層，“身份與訪問控制、信息保護、監測與響應、審計與定責”為之提供能力支撐。

（4）數據中心和信息化層。該層的重點是保障數據的載體和業務運行環境的安全，包括數據中心安全區域劃分、邊界網絡安全棧防護、服務器加固、系統與資產安全的保障等。該層是數據的載體和業務運行的基礎環境，是數據安全的基礎保障。

數據中心安全能力層是以體系化的方式，保障數據運行環境的安全。數據中心安全區域的劃分，保證了不同安全等級業務在適合的區域運行，以及不同安全等級數據的有效隔離；數據中心網絡安全棧防護，是為了做好邊界安全的防護抵御外部攻擊；服務器加固與防護，是對應用和中間件進行持續監控保護，防止服務器遭受APT和0DAY攻擊；而面向資產、配置、漏洞、補丁的系統安全，可以解決資產不清、配置不明、漏洞分布不知、補丁修復緩慢等問題。

我們可以看到，在數據安全運行構想圖中，各層級之間可以實現有效連接和運轉。自上而下看，這是策略的逐層實現與落地；自下而上看，這是從產品部署到應用能力，再到業務流轉及邏輯規則的支撐與提煉。尤其是最上面的兩層，說明了與傳統的網絡安全相比較，要想做好完整的數據安全保障，一定會介入數據流轉、應用邏輯、管理策略，這就更加體現了“內生”的思想。在數字化時代的新應用與數據安全體系中，安全能力不僅僅要內生于信息化環境，甚至要內生于應用與業務邏輯，以及數據流轉與管理策略當中。

5 結束語

迄今為止，內生安全框架在近3年已經被應用在超過百家的大型政企機構的“十四五”網絡安全規劃、3—5年中長期網絡安全規劃設計、重點領域的網絡安全專項設計與建設當中，包括大型部委、能源央企、制造業央企、大型民營智能制造企業、銀行與金融機構、數字城市等的數字化新型網絡安全體系的構建。

在2022年北京冬奧會的網絡安全保障工作中，內生安全也發揮了重要作用。人們基于內生安全框架，系統性、全局性地設計了冬奧會網絡安全保障體系，統籌部署了整體安全運行工作。通過基于內生安全的“聯合作戰、精準防護、深度運營”，在冬奧會期間，分析日志的數據總量超過1 850億條，修復中高危漏洞5 800余個，累計監測網絡攻擊嘗試超3.8億次，跟蹤、研判、處置重點網絡安全事件105件，最終實現了奧運網絡安全保障歷史上第一次“零事故”的成果。

未來內生安全的理念、框架，以及配套的能力體系模型、工具、參考架構、綱要庫等，也會繼續為中國重要政企機構網絡安全保障、關鍵信息基礎設施保護、重大活動網絡安全保障貢獻更多的力量。