“现在必须把安全能力构建在内部的信息化与业务系统上，从而保证信息化环境能具备内生安全能力。”11月27日奇安信集团副总裁韩永刚在“虎符论坛”话安全系列节目上发表了题为“关键信息基础设施内生安全防护体系建设”的主题演讲。

他表示，关键信息基础设施的网络安全关系到国家的经济发展命脉与国家安全，需要落实中央要求，构建体系化、全局化的网络安全能力。奇安信推出的内生安全框架，将助力关基的运营与监管单位，构建新一代动态综合的网络安全防御与监管体系。

在数字化转型的大潮下，关键信息基础设施安全防护，还有很多地方需要变革与改进。韩永刚认为，传统的网络安全防护缺乏体系化的构建，局限在外部的互联网，难以将安全要素贯穿到全过程，“现在必须把安全能力构建在内部的信息化与业务系统上，从而保证信息化环境能具备内生安全能力。”

要实现体系化的关基防护，安全要从“零散建设”走向“全局建设”

“在能力建设过程中，要基于‘叠加演进’原则，通过体系化的能力建设，保证信息化系统的‘内生安全’能力有效落地。”韩永刚说，关键信息基础设施要应对多样化、未知性威胁，首先是要基于网络安全滑动窗口模型，按照架构安全、被动防御、积极防御与威胁情报叠加演进思路建设体系化的安全能力;同时要将只是防御外部威胁的安全思路，扩展为“安全+信任”的新体系，基于“零信任”原则构建动态、可信的访问控制体系，将新的防线构建在身份、数据、业务应用上，从而不仅抵御外部威胁，并要关注由于凭证窃取及异常行为所产生的内部威胁问题。

通过全局整体设计，建立全面覆盖的网络安全能力体系，将安全能力“调用”到关基信息化体系当中去，融合覆盖。常态化则要求关基防护要具备全天候的态势感知与安全运行。

那么，如何用内生安全，达到关基防护的三化六防的要求?

为此，韩永刚提出了四点建议：从顶层视角出发，支撑各行业的建设模式从“局部整改外挂式”， 走向“深度融合体系化”;从工程实现的角度，将安全需求分步实施，逐步建成面向未来的安全体系;网络安全技术与信息化环境进行内生聚合，网络安全运行与信息化运维及应用开发进行内生聚合;输出实战化、体系化、常态化的安全能力，构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系。

韩永刚介绍称，内生安全框架是以系统工程方法论结合内生安全理念，指导不同行业输出符合其特点的体系化、实战化的网络安全架构;分为“十大工程五大任务”，满足新基建数字化、智能化的信息化保障需求，从而推动安全产业发展壮大。

最终实现内生安全框架落地，韩永刚提出了三个关键步骤：第一是理清楚，体系化地梳理、设计出所需的安全能力，梳理时充分考虑所有可能涉及到的问题，然后设计时根据实际情况挑选、组合和规划;第二是建起来，融合是建设的关键，在建设过程中要体现融合内生和全面覆盖，把安全能力组件化，合理分配到正确位置;第三是跑得赢,所谓跑赢就是安全最终的效果，还是要看整体运行效果，所以最终的话安全运行实际上是检验它的最核心对应的标准，确保安全运行可持续性，实现安全管理闭环。

据介绍，奇安信提出的内生安全理念，是指将网络安全能力与信息化环境融合内生，而不再是外挂和局部的，从而在数字化环境的内部，获得无处不在的“免疫力”。而内生安全体系是实现网络变革下，信息化建设和网络安全之间、安全公司和客户之间实现共赢选择。