數字時代的網絡安全突圍重塑內生安全體系

當前，國際局勢復雜多變，各國面臨的網絡安全挑戰前所未有。“十四五”時期，我國政府及相關企業對網絡安全的重視程度不斷提升。隨著智能體和人工智能（AI）垂直應用的快速普及，數據的規模和復雜性呈指數級增長，傳統的數據安全防護手段在面對AI時代的新威脅時，逐漸顯得力不從心。網絡安全如何突圍，體系堵點如何打破，將成為“十五五”時期，廣大政企機構和安全產業最關注的問題。

體系力量是突圍之鑰

網絡安全突圍的動力來自生成式人工智能。企業對網絡安全的理解已不再是以往的“網絡安全公司讓我做、行業合規要求我做、能省則省湊合做”，而是要用網絡安全體系保護商業秘密、知識產權、行業經驗，使其主觀能動性被充分激活。隨著人工智能攻擊手段升級，傳統的“低價中標”“缺啥補啥”的慣性思維，已難以應對新型挑戰，導致網絡安全體系建設面臨著三重困境，亟待破局。

第一重困境是網絡安全體系化思想落地不暢。黨的十八大以來，我國相關部門與企業對網絡安全體系建設的投資和重視程度在不斷提升，不論是硬件、軟件還是網絡安全服務的市場都在穩步擴大，但該領域的相關預算多與新建項目綁定，尚未與安全目標綁定，普遍存在“碎片化”采購。中研普華產業研究院發布的《2025—2030年中國網絡安全行業競爭分析及發展前景預測報告》顯示，超過 90% 的機構選擇向10家以上廠商分散采購安全設備。這些設備的數據格式不一、標準不一、接口不一，很難實現“一體化”，導致安全系統呈現“大拼盤”狀態。由于缺乏統一規劃與整合，各環節防護能力難以形成協同效應，最終形成看似完整實則松散的安全架構。這種模式不僅削弱了整體防御效能，更使關鍵的基礎設施面臨隱蔽性風險。

第二重困境是“大小體系”的融合瓶頸。體系建設是復雜工程，層層嵌套，相互影響。這里可將安全體系從層級維度分為“大體系”和“小體系”，兩者具有相對性。從國家治理的視角看，主管部門統籌的安全頂層設計是“大體系”，而各行業、領域的安全建設是具有差異化的“小體系”；從智慧城市的場景看，覆蓋城市全域的安全防護架構是“大體系”，而交通樞紐、能源電網等關鍵信息基礎設施的安全體系是“小體系”；從企業集團的架構看，總部主導的一體化建設是“大體系”，而各地的分支安全體系是“小體系”。

隨著網絡安全戰略地位的提升，“大體系”的建設主體大都面臨著安全能力無法整合、戰略難以統一實施的瓶頸，“大體系”和“小體系”間存在著鴻溝。例如，東部某省積極推動“省一市一區”三級聯動安全管理平臺，“大體系”建設順利，但下轄市、區因信息化水平和安全水平參差不齊，導致2024年發生一起網絡攻擊，攻擊者成功滲透了市級防護盲區，并進行了東西橫向移動，對省級“大體系”造成嚴重威脅。這種層級間的斷層使安全風險呈現“木桶效應”，一旦某個區域或行業的防御薄弱環節被突破，將直接危及整體網絡空間的穩定。

第三重困境是“小體系”運營梗阻。在具體層面，“標準不一、數據不通、情報不共享”的問題持續存在。不同單位的安全系統因技術規范差異難以互聯互通，既阻礙了“大體系”指令的精準傳達，也導致區域間防護水平差距擴大。例如，某化工龍頭集團希望對自身的數字化系統進行一次全面“體檢”，結果發現，位于多地的子公司對上級單位要求使用的掃描工具和單位的系統不兼容，安全指令和安全能力在本單位的“小體系”中無法進行。另有一家大型金融機構，其分支機構斥資建起獨立的安全“小體系”，其中一些能夠更新防護策略，但不主動共享情報，拉大了“小體系”間的安全能力差距。這對企業用戶來說，網絡安全體系建設未能發揮作用，安全價值無法顯現。久而久之，嚴重制約了安全產業發展。

體系矛盾是突圍之障

面對數字經濟發展與國際競爭的雙重壓力，網絡安全必須從“單品競優”轉向“整體防御”。通過加強頂層設計統籌、推動標準規范統一、促進跨層級數據共享，才能實現安全能力的整體躍升。

作為我國網絡安全產業的領軍企業，奇安信科技集團股份有限公司（以下簡稱奇安信）很早就關注到體系在安全建設中的重要作用，并構建了以內生安全為核心的技術體系框架。2019年，奇安信提出內生安全概念；2020年，推出內生安全框架；2023年，提出“數智安全，內生為本”理念…內生安全的相關理論伴隨奇安信的實踐不斷進化升級。

內生安全體系一直在更新迭代，其核心是發揮 1+1gt;2 的涌現效應。這指的是系統多個部分按一定方式相互聯系、相互作用，在整體上就能相互補充。第24屆冬季奧林匹克運動會在北京舉行期間，奇安信為其提供網絡安全服務，實現了網絡安全“零事故”，充分印證了內生安全體系的巨大價值。目前，內生安全體系已在能源、金融、航空等領域的數百個大型企業與機構得到落地實踐，獲得相關客戶好評。但還是有客戶表示，在推動體系落地時，遇到不少難題，其中三大矛盾帶來的障礙最為突出。

一是“數據孤島”的障礙。過去10年間數據對安全的重要性呈指數級增長，但由于缺乏統一體系或者體系割裂，形成了一個個“數據孤島”，嚴重阻礙了安全體系落地。而安全設備“萬家造”、安全“兩張皮”正是造成這種局面的主要原因。以某頭部金融企業為例，其部署的防火墻就涵蓋幾十個型號，涉及國內外不同品牌，形態包含硬件、軟件及云部署等多種模式。這種“萬家造”的現狀，導致安全設備的數據格式互不統一、接口不兼容、采集能力參差不齊。最終，安全運營中心匯集的海量數據雜亂無章、彼此孤立，既無法支撐全域態勢感知，也難以快速研判和應急響應。還有很多企業存在業務和安全存在“兩張皮”現象。例如，2024年，奇安信接到一起應急響應事件，客戶反饋其財務系統收到大量疑似正常行為的訪問請求，但由于這些行為數據沒有及時同步安全部門，安全隱患未能被及時識別和處置，結果造成大量敏感財務數據被泄露，凸顯出業務和安全數據互通的迫切性。

二是投入不足的障礙。第24屆冬季奧林匹克運動會網絡安保的“零事故”背后是奇安信10多年的體系建設經驗和技術優勢，以及不計成本的資源投入。在賽事籌備與舉行期間，奇安信共部署了包括防火墻、天眼、天擎、椒圖等在內的各類安全設備近千套，歷時800多天，最多同時投入3000多名工程師參與。抵御了3.8億次（含社會面）的網絡攻擊，發現并處置了毒云藤、金鏈熊等多個高級持久性威脅（APT）組織的針對性攻擊。但對絕大多數政企機構而言，這樣的投入力度是不現實的。例如，一家大型能源企業每年在數字化轉型方面的投入超過10億元，但對網絡安全的投入占比卻長期不足 4% 。當攻擊者利用人工智能發起飽和式攻擊時，該企業的安全運營中心（SOC）系統在15分鐘內被快速沖垮。最后，在奇安信的協助下，緊急投入了大量安全專家資源，并上線人工智能研判系統，避免了核心系統被攻陷。

三是新舊兼容難的障礙。目前，不少企業的網絡安全架構中，混雜著不同時期、不同廠商的安全產品和技術，雖然一定程度上確保了不出重大安全事故，但與新形勢下實戰化的體系建設目標還有巨大差距。例如，一家大型制造企業的信息化建設已有20多年，不同時期建設的子系統雖然沒能及時整合，但也很難推倒重來。新體系如何充分整合現有設備和子系統，誰來負責新體系的整體設計和落地，確保各廠商兼容等都是需要回答的問題。

體系重塑是突圍之道

2025年是“十四五”規劃收官、“十五五”謀篇開局的關鍵年。面對體系化的重重困境和難點，網絡安全產業更要凝心聚力，打贏這場“翻身仗”。為此，奇安信復盤了自成立以來參與的近千個網絡安全防護實踐，探索出安全行業重塑體系，實現突圍的三大路徑。

第一，拔煙肉、掃盲區，重塑數據聚合模式。網絡安全體系升維，關鍵靠數據。數據的體量決定體系的規模，數據的質量決定體系的能力，數據的關聯決定體系的效率。在“數據孤島”階段，數據采集量有限，安全數據夠用即可。但體系的不斷發展和演進對數據聚合提出了更高要求，它必須滿足覆蓋足夠廣、采集足夠深、關聯足夠完整三個原則。

首先，要覆蓋足夠廣。全覆蓋、多維度的安全數據采集是聚合的基礎。以奇安信最新發布的奇安云鏡SASE為例，它基于“零信任”思維，無論何種身份，訪問哪個業務，都要帶端訪問、帶端服務，這樣通過SASE客戶端就能把設備、身份、權限、行為等多維數據聚合起來，并無縫覆蓋公有云、私有云、數據中心等基礎環境，形成全面的安全數據集，再結合人工智能分析，研判能力會大幅提升。

其次，要采集足夠深。這指的是數據顆粒度要足夠細，可以展示更多細節，有助于發現傳統檢測技術無法發現的隱藏威脅。比如，2024年，某醫院發生了多起數據泄露事件，但所部署的安全產品卻始終找不出攻擊者，無法確認使用哪種攻擊方式。奇安信的安全專家認為，無文件攻擊沒有磁盤落地，傳統依賴文件和漏洞特征的反病毒引擎無法發現，必須滲透到內存指令集拿到深度數據，才能發現隱藏威脅。于是，奇安信第一時間幫助醫院部署了終端安全響應系統（EDR）。通過深度、實時的內存指令檢測分析，果然發現了隱藏在內存中的攻擊代碼，最終溯源出是來自境外組織的數據竊取。

最后，要關聯足夠完整。孤立的數據就像散落的拼圖。一些看似惡意的行為可能是正常活動，而一些看似正常的活動卻恰恰是披上偽裝的惡意攻擊，只有上下文關聯度足夠高，才能還原安全威脅的全貌。如果缺乏上下文，往往會導致誤判或者漏判。例如，“某IP地址在短時間內嘗試登錄失敗5次”的告警信息，極易被誤判為一次暴力破解但如果有了完整的上下文信息，就會發現這只是內部運維人員在測試新系統，或者是某個員工忘了密碼正在嘗試不同組合。奇安信曾處理的某次APT攻擊，當時系統檢測到財務部門工作站向境外IP地址發起了一次連接。單看這起事件比較正常，極易被忽視漏掉，但通過完整的上下文信息，就能構建出完整的攻擊鏈條。原來3天前，這個工作站收到過釣魚郵件，并通過在系統內植入惡意程序發起了這次境外訪問，意圖是拖走數據庫。

第二，建反饋、強智能，重塑安全運營模式。系統思考大師德內拉·梅多斯的《系統之美：決策者的系統思考》一書強調，系統運行的關鍵機制是反饋回路。它好比人體的自我調節機制，是驅動復雜系統動態變化的關鍵，也是內生安全“自主、自適應、自成長”的根基所在。因此，要讓內生安全體系真正起效，關鍵依靠安全運營，其本質就是構建高效通暢、螺旋上升的反饋回路。從奇安信的實踐看，高效的安全運營有三大支柱。

支柱一，即準確靈敏的告警是對網絡異常行為的反饋。對安全廠商來說，最大的挑戰是在海量多源、多維的數據中，精準挖出情報信息。無線通信領域的“反饋”依靠濾波器實現。濾波器就像個信號“篩子”，能精準篩出符合頻率要求的信號，降低噪聲，實現高質量通信。人工智能帶來了網絡安全領域自己的“濾波器”。2024年，奇安信開始將人工智能深度應用于威脅情報生產及運營的全過程，自動化、標準化的情報生產，既增強了威脅情報的獲取廣度和實時性，也提高了情報準確性、關聯分析能力，為構建更敏捷的防御體系提供了核心支撐。

支柱二，即及時的處置與響應是對安全告警的反饋。告警產生后，就是和攻擊者拼速度的時候。過去，奇安信通過安全編排與自動化響應（SOAR）來編寫大量的劇本和任務，將手動執行的日常工作自動化、流程化。但SOAR存在劇本開發成本高、適應性低等局限。為此，奇安信嘗試通過智能體進行自我學習、自動生成劇本，并根據不同的安全事件和緊急程度來推薦不同類型的劇本，大大提升了運營效率，讓內生安全體系更高效、更智能。

支柱三，即持續改進的安全產品。在攻防對抗持續升級的態勢下，安全設備必須通過動態的能力提升，保持技術代差優勢。以奇安信的人工智能操作系統AISOC為例，將其部署到客戶現場后，在分析師不斷地運營與強化反饋下，AISOC的研判率、準確率不斷提升。在最近一次，連續兩周的攻防演練中，每天1500條告警里，AISOC的研判率和準確率同時達到了99% ，告警自動化處置率達到 70% 以上，幫助客戶大幅縮短了威脅的發現和處置時間。

第三，設總師、兜底線，重塑生態合作模式。重塑并不意味著完全推倒重來，而是要找到“一子落而滿盤活”的破局點，由安全體系總設計師作為兜底組長，確保體系成功落地。因此，政企機構要基于自身現狀，遵循“先來后到”或者“以小服大”原則，確定一個安全體系總設計師，把“萬家造”的設備、平臺、能力、中心統籌納管，將不同廠商分散的安全力量擰成一股繩，構建起客戶急需的、真正有效的、縱深防御的統一安全體系，從容應對AI時代的安全挑戰。

當前，數字經濟正在催化安全產業實現從分散走向聚合、從低效走向高效的跨越。在這條充滿挑戰的道路上，奇安信正以實踐證明：唯有擁抱變化、主動進化，才能在數字時代的安全戰場上贏得未來。作為網絡安全頭部企業，奇安信始終秉持著共生、共榮、共贏的生態合作理念，希望聚合不同領域、不同行業、不同類型的合作伙伴，編織出一張適配時代要求的安全防護網，重燃網絡安全產業的力量，打贏這場安全突圍之戰。

（作者：全國工商聯副主席、奇安信科技集團股份有限公司董事長）