彩虹雞尾酒，因色彩如彩虹般繽紛絢麗而獨樹一幟，其原理是利用比重差異實現分層，進而調制出色彩豐富、多彩多姿的雞尾酒。調制彩虹酒是一項技術活，須嚴格按順序一層層調制，慢工出細活，才能調成一杯穩定的“七色彩虹”。

　　如今，數字化轉型如火如荼，新技術趨勢層出不窮，政企客戶卻經常在網絡安全建設“打基礎”和“拔尖子”之間難以兼顧和取舍。奇安信與Gartner最新發布的《數字化轉型需要內生的安全框架》，就是結合國際網絡安全技術新趨勢和國內建設現狀，給出的落地建議和參考。

　　本文基于政企數字化轉型的差異化現狀，提出了一種兼顧“體系化建設網絡安全”及“有效應用安全新技術”的思路。通過分析Gartner歷年網絡安全技術成熟度曲線（Hypecycle）和趨勢預測報告的內容，在內生安全框架的整合下，給出適應我國數字化轉型的“網絡安全雞尾酒”思路，力求讓“打基礎”和“拔尖子”兩者兼得。

　　一、 亂花漸欲迷人眼，淺草才能沒馬蹄

　　白居易在《錢塘湖春行》中寫道：

　　“亂花漸欲迷人眼，淺草才能沒馬蹄。最愛湖東行不足，綠楊陰里白沙堤。”

　　詩意是，紛繁的春花漸漸要迷住人的眼睛，淺淺的春草剛剛能夠遮沒馬蹄。我最喜愛西湖東邊的美景，可是無法跨過去，只好在掩映于綠楊濃陰下的白沙堤上看著。

　　當前，全球數字化技術這朵繁花發展不斷演進，推動企業利用新技術實施數字化轉型。數字化轉型的一個重要特征，是將各類新老信息化技術與政企生產及管理業務進行結合，促進傳統產業向數字化升級，更能發揮數字要素價值，從而實現降本增效。數字化轉型依賴“云大物移智”等數字化技術，各類新型數字化平臺技術的興起，在全球構成了一副欣欣向榮的春天美景。

　　從網絡安全從業者的視角來看，則是憂（興）心（高）忡（采）忡（烈）的看到了數字化時代，網絡威脅進一步加劇和復雜化的局面。

　　Gartner在2020年就提出[1]：數字經濟時代，技術安全人員的短缺、向云計算的快速遷移、法規遵從性要求以及威脅的演變，是當前面臨的主要挑戰。網絡安全攻擊的速度和創造性繼續增長。攻擊者將繼續利用各種工具、戰術和技術來攻擊日益多樣化的目標。所有這些都進一步降低了組織預測和防止安全故障的能力。

　　2021年，Gartner研究人員進一步提到出安全和風險領導人面臨其他的重大挑戰[2] ：包括復雜的地緣政治形勢，越來越多的全球法規，攻擊環境出現變化，尤其是勒索軟件和商業電子郵件入侵帶來挑戰。

　　網絡安全與信息化的發展，以及信息化對業務的深度融合緊密相關，這才是網絡安全發展的主脈絡。隨著信息化對業務的重要性越來越大，相應的安全威脅也會逐步升級，合規監管也日趨嚴格，所以網絡安全產業呈現井噴式增長。

　　2005～2014: 先發展后治理階段

　　2005年~2014年，信息化開始跟業務結合，網絡安全隨著合規和威脅升級變得越來越重要。安全問題開始顯性化，比如政府網站被控，影響國家形象乃至國家安全；企業財務系統感染病毒，會影響生產經營。

　　在等保合規和應對威脅驅動下，網絡安全產業開始加速，年產業規模開始超過250億，10年間保持兩位數的復合增長率。

　　在這階段，網絡安全的整體思路還是先發展后治理。

　　2015～2020：同步發展、同步治理

　　2015年到2020年，隨著全面數字化轉型，信息化與業務深度融合，信息化操作跟業務行動不可分離，信息系統的安全與業務穩定運行高度相關。這時候，黑客組織發現了信息化對業務系統的重要影響，采用更加高級的手段針對信息化系統進行攻擊，比如APT組織通過攻擊重要系統，竊取關鍵業務數據或機密信息。

　　2014年，習總書記指出：“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施”。國家先后出臺了“國家網絡安全戰略”和《網絡安全法》，完成了網絡安全的頂層設計，以《網絡安全法》為核心開始建立和健全網絡安全法律法規、標準規范、監督檢查機制等網絡安全治理體系。

　　這一階段的發展思路是同步發展同步治理；在信息化發展的同時，開展網絡安全治理。

　　在政策驅動和信息化發展的多重因素驅動下，網絡安全高速成長了多年。如今數字化大潮的到來，使得網絡安全真正成為了一種業務的內在需求，而不僅僅是政策合規以及乙方賣貨的驅動。不過時至今日，網絡安全這叢“淺草”依舊無法完全匹配信息化發展的高度，兩者之間依舊存在著不對等的局面，包括安全能力與信息化發展水平的不對等，國內外網絡安全發展的基礎環境不對等，以及國內政企各領域內安全能力建設和發展階段的不對等。

　　相比國外發達國家，我國的網絡安全建設，包括在網絡安全基礎結構、安全管理、安全運營的成熟度等方面均處于構建和打基礎階段，安全技術的研究和應用情況存在很大差別。我國網絡安全建設既要打基礎，又要緊盯國外新技術的發展，“吃著碗里看著鍋里”，尚且沒有完成網絡安全能力的基礎積累，這是我國數字化轉型的現實挑戰。

　　2021開始：治理先行

　　2021年開始，“十四五”時期到來，數字化開始貫穿于經濟社會發展的全領域、各層級，成為國家治理、經濟發展和社會運行的核心驅動力，數字化對于國家、企業和每個人都真正是生死攸關。

　　國家在“十四五”規劃中提出數字化發展戰略的同時，也提出要統籌安全與發展。2021年以來，先后密集出臺了《數據安全法》、《關基保護條例》、《個人信息保護法》、《網絡安全審查辦法》修訂版等法律法規、政策制度和監管手段，這些法規和手段都是超前的，強調的是治理先行。

　　從先發展后治理、同步發展和治理到治理先行，這是從信息化視角看網絡安全的巨大轉折，網絡安全迎來了發展新拐點：即對網絡安全必須予以同等的投入匹配，才能以確保數字經濟有強有力的、不可或缺的安全能力支撐。

　　處在新拐點，首先，我們必須轉換視角，從業務保障看信息化，從信息化保障看安全，最終實現業務保障視角來看網絡安全；其次，要轉換理念，堅持治理先行，為業務高質量發展營造健康環境；最后，我們還要轉換發展模式，用系統化和工程化的思想來發展以能力為導向的、信息化跟網絡安全深度融合的建設模式。

　　二、蘭陵美酒郁金香，玉碗盛來琥珀光

　　李白在《客中行》中寫道：

　　“蘭陵美酒郁金香，玉碗盛來琥珀光。但使主人能醉客，不知何處是他鄉。”

　　詩意是，蘭陵美酒甘醇，就像郁金香芬芳四溢。興來盛滿玉碗，泛出琥珀光晶瑩迷人。主人端出如此好酒，定能醉倒他鄉之客。最后哪能分清，何處才是家鄉？

　　在全球日益復雜的網絡安全大環境中，Gartner的網絡安全研究素來被譽為網絡安全行業的一杯“蘭陵美酒”，一定程度上展示并指引了全球安全市場及技術的方向和趨勢，在業內備受追捧。

　　年度安全與風險：方向與數字經濟安全挑戰吻合。

　　面對數字化轉型的安全新挑戰，早在2020年，Gartner發布了年度安全和風險管理趨勢[3]，它們是主流組織對這些長期外部趨勢的響應。趨勢強調的是安全生態系統中正在進行、尚未被廣泛認識的戰略轉變，但預計將對行業產生廣泛影響，并具有巨大的潛力。

　　到2025年，與這些趨勢相關的技術和戰略將達到成熟水平，為領導者提供有價值的能力，以確保數字化業務的安全。

　　2020年的九大安全技術趨勢分別是：

　　趨勢1：擴展檢測和響應能力出現，以提高準確性和生產力

　　趨勢2：安全過程自動化正在出現以消除重復的任務

　　趨勢3：人工智能為保護數字業務和安全工具以及防御基于人工智能的攻擊創造了新的安全責任

　　趨勢4：部署數字空間-物理空間系統的領先組織正在設立一個企業級CSO，以整合多個面向安全的豎井

　　趨勢5：隱私正成為一種越來越有影響力和明確的要求

　　趨勢6：各機構正在創建一個數字信任和安全團隊，以專注于維護消費者與品牌互動的完整性

　　趨勢7：從關注本地部署模型到SASE的網絡安全轉變

　　趨勢8：保護云原生動態需求的全生命周期方法

　　趨勢9：零信任網絡訪問技術開始替代VPN

　　從這些技術趨勢可以看出，Gartner的研究方向與新出現的數字經濟安全挑戰及其需求相吻合。

　　趨勢1和2是對安全自動化和安全數據聚合分析等方面指引了技術方向。安全趨勢3、7、8、9關注了云、移動辦公、人工智能、軟件定義網絡等新一代IT技術帶來的安全挑戰，而趨勢4、5關注了數字化轉型下安全人員組織和能力的需求。這些都是為了給組織機構的管理者提供了參考建議，以支撐他們采取相應的技術措施和行動，使得組織機構能適應于更復雜、規模更龐大、價值更高的數字經濟的安全需求。

　　2021年，Gartner繼續提出了新的年度安全和風險管理領域八大趨勢。這些趨勢分別是：

　　趨勢一：網絡安全網格

　　趨勢二：身份優先的安全

　　趨勢三：遠程工作得到安全支持

　　趨勢四：通曉網絡安全的董事會

　　趨勢五：安全供應商合并

　　趨勢六：增強隱私的計算

　　趨勢七：泄密和攻擊模擬

　　趨勢八：管理機器身份

　　從上述技術趨勢可以看出，Gartner的研究方向與新出現的數字經濟安全挑戰及其需求相吻合。

　　趨勢1和2為安全自動化和安全數據聚合分析等指引了技術方向；安全趨勢3、7、8、9關注了云、移動辦公、人工智能、軟件定義網絡等新一代IT技術帶來的安全挑戰；趨勢4、5關注了數字化轉型下安全人員組織和能力的需求。

　　這些都是為了給組織機構的管理者提供了參考建議，以支撐他們采取相應的技術措施和行動，使得組織機構能適應于更復雜、規模更龐大、價值更高的數字經濟的安全需求。

　　Gartner認為[4]，在詳細探討這些趨勢時，必須指出它們并非孤立存在。相反，它們是領先組織對安全和風險管理（SRM）團隊無法控制的長期外部趨勢的響應。這些全球安全和風險趨勢是更廣泛、更長期的趨勢，正在影響總體安全和風險格局。

　　應注意到，Gartner在趨勢1中提出，XDR能從多個安全產品自動收集和關聯數據，以改進威脅檢測和提供事件響應能力。這代表著安全數據的集中和規范化的趨勢，強調在安全防御逐漸體系化和規范化的今天，安全系統之間的協同可以提高檢測精度，并提高安全操作效率和生產力；趨勢4中，企業級CSO的出現，要打通安全豎井，甚至還可以在某些情況下支持企業業務。CSO將IT安全性、OT安全性、物理安全性、供應鏈安全性、產品管理安全性等都聚合為核心機構和治理模型，這說明企業級安全工作正在需要協同聯動和流程打通，企業安全防御要擴大它的聯動范圍，并走向體系化和實戰化。

　　安全項目：實施安全項目須具備基礎安全能力

　　2020年，Gartner研究人員從項目維度，發布了2020-2021年度的十大安全項目[5]。

　　這十大安全項目分別是：

　　項目1：遠程員工安全防護，尤指零信任網絡訪問（ZTNA）技術

　　項目2：基于風險的弱點管理，重點是基于風險來對弱點分級

　　項目3：基于平臺方式的檢測與響應，擴展檢測與響應（XDR）技術

　　項目4：云安全配置管理CSPM

　　項目5：簡化云訪問控制，特指云訪問安全代理（CASB）技術

　　項目6：基于DMARC協議的郵件安全防護

　　項目7：無密碼認證

　　項目8：數據分類與保護

　　項目9：員工勝任力評估

　　項目10：安全風險評估自動化

　　從Gartner發布的安全技術趨勢和安全項目來看，這兩者之間存在很多的相互聯系。它們都關注零信任網絡與安全訪問、擴展檢測與響應、云安全、個人隱私及數據安全、安全人員能力等領域。Gartner更是在2020年度的十大安全項目中發布了候選安全項目清單，其中包括了自動化威脅獵捕、生物特征憑據檢測與保護、基于聊天機器人的安全意識培訓與教育等安全項目，這些也順應了全球數字化的發展浪潮。

　　需要注意到，Gartner在其2020-2021的10大安全工程的報告中特別強調[6]，客戶在考慮實施十大項目之前，一定要考慮到先期的基礎安全建設，這些項目都需要建構在基礎安全能力具備的情況下。如基本的端點防護能力、日志監控、備份/恢復能力、各種邊界安全控制等方面。

　　技術成熟度曲線：技術演進依賴于原有基礎累積。

　　縱觀Gartner歷年的Hype cycle（技術成熟度曲線），我們也可以看到Gartner在每一個領域提出的安全技術都覆蓋了從成熟技術到熱門技術，并呈現出不斷演進的過程。Hype cycle提到的許多安全技術已經不是熱門，卻是該領域的基礎安全能力。

　　我們在云安全、網絡安全、應用安全、數據安全等領域，將Gartner在不同分析報告中所提到的主要技術能力，按照SANS的網絡安全滑動標尺模型維度進行了匯聚，得到了下圖的狀態。

　　圖 1：Gartner所提及的部分領域安全技術集合

　　以云安全領域為例，Gartner在2020年的云安全技術成熟度曲線[7]中提到了CSPM（Cloud Security Posture Management）、CASB（Cloud Access Security Broker）、CWPP（Cloud Workload Protection Platforms）等代表性技術，同時也提出了基于硬件安全、OAuth、云管理平臺、微分段、容器安全、云數據備份、SaaS交付的IAM等能力，加上Gartner在歷年十大工程所強調的作為工程實施前提的系統防護（System Protection）、用戶控制（User Controls）、基礎設施安全（Security Infrastructure）等基礎要求[7]，構建了較為完整地云安全能力基礎，這才有了CSPM及CASB等技術的有效應用。

　　圖 2：2020年云安全技術成熟度曲線

　　回顧Gartner在2017年的云安全技術成熟度曲線[7]，我們看到云安全評估、云應用發現、云數據備份、云工作負載CWPP等技術都有了不同程度的成熟和發展，它們成了云安全整體能力的一部分。虛擬機（VM）備份與恢復、IaaS卷加密等技術在2020年被移出了Hype Cycle，這并不代表它們沒有作用了，相反是因為它們已經成為主流技術[8]，是云安全基礎能力，不需要在Hype Cycle中繼續提及。

　　從每年度技術成熟度曲線的橫向技術趨勢以及從不同年度的技術成熟度曲線的技術內容變化來看，任何安全技術的演進都是依賴于原有的基礎累積的，新技術要基于基礎安全能力建設，通過建設獲得能力并通過運行取得效果。對于想要緊跟前沿技術的組織來說，有一個工作是必須要做的，那就是要關注如何建設完成這些基礎積累。

　　三、中國口味的“網絡安全雞尾酒”

　　如果把網絡安全體系建設形容成是調制一杯彩虹雞尾酒，建設安全體系的基礎積累就是這一杯雞尾酒的基酒。

　　調制彩虹雞尾酒需要用基酒把不同口味的酒和飲料配搭起來，變換出多彩的色彩，再賦予不同的美麗動聽的名字。雞尾酒雖然千變萬化，卻有一定的公式可循。選擇合適的基酒，然后附在基酒上一層又一層的不同味道、不同色彩的調味酒，就像是Gartner每年所推出的新技術和新工程，一層一層累加。

　　圖 3：網絡安全建設就像調制彩虹雞尾酒

　　我國信息化環境及網絡安全建設的差異性，更是需要一杯中國口味的網絡安全雞尾酒。

　　Gartner的研究基礎主要是歐美市場，與我國網絡安全建設情況存在較大的差異。Gartner每年報告所描繪的網絡安全技術趨勢，是站在了國外那杯雞尾酒已經調制大體完成的情況下，不斷去的發展新風味。而我國政企機構的網絡安全建設基礎不牢，體系不足，能力缺失，實戰不足，數字化環境更是差異明顯。如果想要獲得最后的美酒滋味，看到體系化防御最終成效，顯然也需要按照順序一層層調制，而不是只飲最后添加的那一口味道，否則就會得到災難性的體驗。

　　圖 4：應用安全新技術的基礎需要牢固

　　在我國數字化轉型、“新基建”建設等國家戰略背景下，奇安信全面分析了國內外網絡安全態勢和我國政企面臨的網絡安全挑戰，吸收最新網絡安全技術研究成果，在2019年提出了“內生安全”理念，在2020年提出面向“十四五”期間的內生安全框架，給出了新型網絡安全體系建設的落地框架指引。并在2021年提出了“經營安全，安全經營”，說明如何利用內生安全框架，在大量實際的大型機構中的落地經驗，做到安全的動態掌控，保障核心業務的經營平穩運行。奇安信與Gartner聯合發布的《數字化轉型需要內生的安全框架》對數字化轉型中網絡安全的三部曲，進行了詳細論述。

　　內生安全框架是一個方法論，關注的是如何在中國當今的信息化環境中建設實現體系化的安全能力，而不是提出某個前沿的技術方向。

　　奇安信與Gartner聯合發布的《數字化轉型需要內生的安全框架》認為，在我國的網絡安全建設發展階段存在差異的情況下，政企組織需要先建好自身的網絡安全底座，補足網絡安全必要能力的缺失；再根據自身信息化建設及數字化轉型的需要，統籌選擇應用最新的安全技術。比如，內生安全框架所提出的“十大工程五大任務”綜合考慮了各類基礎能力、先進技術的體系化組合和應用，重點在于對中國安全建設現狀的適應，指導建設網絡安全基礎。

　　就比如，XDR擴展的安全檢測與響應。內生安全框架在數字化終端安全工程、重構網絡縱深防御工程中，要求構建好網絡、終端等各領域如安全區域劃分、邊界訪問控制、入侵保護、安全檢測、安全日志收集及處理等基礎能力的基礎，然后將終端、網絡等領域的能力和數據接口進行了體系化的設計和預留，保持了對擴展檢測與相應（XDR）等技術的擴展能力，才能讓組織機構有基礎進一步開展相關建設和擴展，以利用數據驅動能力將各種檢測與響應方法進行協同，最終達到XDR所描繪的那個愿景。

　　使用內生安全框架指引規劃設計，可以為新技術的持續引入提供擴展支撐，為技術創新提供了“土壤”，幫助構建網絡安全的彩虹雞尾酒，使新技術的效能在體系化的網絡安全環境得到充分發揮。內生安全框架在設計之初考慮了對新技術的融合，將相關基礎能力和新技術能力融合到了內生安全框架的能力體系中加以應用。同時內生安全框架采用體系化、系統工程的思維，在各個領域中設計預置了擴展的能力，從而確保了能對前沿技術的有效引用。

　　目前，內生安全框架已經在上百個大型的能源、央企、部委、數字城市、金融、民航、交通、醫療衛生等行業的十四五網絡安全規劃與建設中得以應用，為我國眾多行業的數字化轉型進行保駕護航。

　　結語

　　晚來天欲雪，能飲一杯無？

　　過去十幾年來，網絡安全跟隨在信息化的身后，一直以落后半步的姿態默默守護。

　　在數字化轉型大潮洶涌而來的時刻，網絡安全顯然會迎來改變身份的契機。以十四五為契機，網絡安全這杯雞尾酒可以同步為數字化轉型暖身，保駕護航，強身健體。

　　當前產業和數字化技術日趨融合，網絡安全本身就是數字化轉型的一部分。內生于數字化的安全框架，則是調制好網絡安全這杯彩虹雞尾酒，實現身份逆襲的探索手段。