演化的大安全体系框架

【背景】

亲历网络安全近二十年的发展和演化，从防病毒到防勒索，从企业和黑产黑客的对抗到国与国之间的网军对抗，从早期法律法规空白到网安法、数安法、个保法以及等保、关保的相继出台，今天网络安全的内涵和外延已经发生了翻天覆地的变化，甚至已经不能再用“网络安全”这个词汇来概括，尤其是在大数据和数字化时代，安全正在逐步融入数据、融入业务，进入企业高层和监管机构的视野，开始为国家、社会、公共及个人安全提供越来越多的能力支撑。

众所周知，安全细分领域众多、概念众多、产品众多，为了让更多行业内外的人了解今天的安全，同时也为了在安全规划和安全研究中更方便的界定各个安全领域，我在2020年设计了一套大安全体系框架，这套框架一直用在安全规划领域，后来又带到了安全投资和安全咨询领域，经过这几年的不断总结、修正和实践，与行业甲乙方专家、监管机构专家、业务领域专家的不断探讨，终于形成了一套还算说得过去的大安全体系架构，今天抛出来，一是对最近两年工作的总结，二是分享一下个人对安全的看法。

【框架】

大安全体系框架按领域从下到上划分为7个层次，依次是：

1、安全合规

从合规视角出发：安全的基础是合规，合规是各类安全业务的基线，各类国家法律法规、保护条例，各类行业规范和标准，以及各类企业制度和红线，一起构成了安全合规的具体要求和准则，因此，安全合规是7层架构中的最底层，同时以各种具体形式贯穿并体现在上面6层之中；

2、IT、OT、IOT、ICT等基础架构安全

从IT视角出发：过往二十多年的网络安全，大部分集中在以IT基础架构为核心的安全防护领域，并且伴随着IT基础架构的不断演化而演化，从早期的安全老三样发展到云管边端多路齐下，从IT领域拓展到了OT、IOT、ICT等基础架构领域；IT、OT、IOT、ICT等基础架构构成了数字化新基建的基础，因此安全也随之成为数字化新基建的底座；

个人预测IT云化将成为该领域的重要发展方向之一，IT云化将进一步实现IT、OT、IOT以及ICT的融合，并致力于解决如何快速编排组网、实现网络可达，如何快速编排/分发/访问业务、实现业务可达等新兴复杂IT场景问题。在此提出“IT公有云”概念，个人研究也将围绕IT云化之下，如何将“安全作为IT的基础能力”进一步展开；

3、高级威胁对抗

从攻防视角出发：连续多年的HVV活动，让更多的企业认识到了当今网络攻防的复杂程度，从一般的黑产黑客对抗，到商业级、国家级APT的对抗，让更多企业将网络安全从合规性建设提升至有效性、实战性建设阶段，关注点也从产品转移到服务，从技术转移到能力，从单点防护转移到体系化防护；

该领域我将延续“演化的高级威胁治理”这个系列，这个系列已经写了五篇文章，接下来将在NG-XDR、安全运营以及零信任等这几个分支进一步扩展。

4、业务和数据安全

从业务视角出发：数字化转型已经成为国家以及各行各业的首要战略，业务的数字化转型必将带来比以往更多的安全原生需求，安全将从数字化的底座逐渐成为数字化的原生；同时，数据作为数字化的重要生产要素，已经成为新型经济的重要支柱，数据安全已经通过立法展示了它的重要性；如果说高级威胁对抗关注如何阻止非法用户入侵破坏或者窃取，那么数据安全则强调如何让合法用户合法、合规的使用数据，避免数据误用、滥用、违规使用等，既然从如何使用数据的角度来看待数据安全，而数据怎么用又是业务说的算，那么，就需要从业务视角来思考数据的安全性，因此，数字化时代的数据安全需要和业务安全通盘考虑，不能就数据论数据，更不能抛开业务看数据；

最近一年在该领域尝试做了一些调研和框架规划，在此提出“数字化业务的安全原生”以及“业务视角的数据安全治理”两个概念，并作为接下来详细规划的重点。

5、企业安全管理

从管理视角出发：随着安全在企业和组织的地位不断提升，安全逐渐成为企业和组织的一项重要目标，企业和组织如何将安全像业务一样看待和管理，如何让企业和组织的一把手了解安全的全貌、达成安全的目标，科学应对各类安全风险和安全事件，如何将决策层、管理层以及执行层充分打通，将安全业务有序统筹组织起来，最终实现体系化规划、建设、管理、决策和运营，更好的支撑企业的数字化转型；

个人在该领域提出的新概念是“安全数字化转型”。

6、国家/行业安全监管

从监管视角出发：“没有网络安全就没有国家安全”，随着网络安全上升到国家战略高度，国家对网络安全的监督和管理也越来越重视，网信、公安以及各垂直行业监管机构对网络安全担负着重要的监管责任，以确保各级政府部门、企事业单位、所属行业单位能依照国家法律法规，行业条例规范等要求建立健全各类安全防护机制和防护体系，推动安全体系化、规范化建设和发展；

考虑到该领域的特殊性，仅做交流讨论。

7、国家/公共安全业务

从国家/公共安全视角出发：特指支撑国安、公安、网信、国保、国密、军队等国家部门的反恐、反独、反间谍、反渗透、反诈骗、反洗钱、反黄赌毒、打击新型网络犯罪等国家安全和公共安全业务；随着大数据和人工智能等技术的应用和深入，数字化情报收集和分析为上述业务带来了更多可以捕捉和关联的视角，可以更有效地为上述业务做好支撑；

该领域超过了一般企业安全的范畴，不做罔议。

【分析】

1、上述模型从下至上有以下几个特征：安全的重要程度依次提升、安全的市场规模依次提升、安全的市场潜力依次提升、安全大数据流向依次向上、对大数据的依赖依次提升、对大数据的运营依次提升；

2、上述模型提出了一个新概念：“安全分水岭”。模型的下面三层和上面四层分别代表传统网络安全和新型数字安全，第三层和第四层之间正是传统网络安全和新型数字安全的分水岭。安全分水岭的本质是看待安全的视角：是基于IT和攻防视角**，还是基于业务视角；安全分水岭的核心是安全服务于谁：是服务于IT基础设施，作为数字化新基建的安全底座？还是直接服务于数字化业务，成为数字化业务的安全原生，真正实现“安全即业务，业务即安全”。**同时，在业务视角之下，可进一步看到安全融入业务的几个维度：

1、业务和数据安全：把安全作为业务的原生要素，让安全直接服务于业务，帮助业务创造价值；

2、企业安全管理：把安全作为一项企业目标和一项企业内部业务；

3、国家/行业安全监管：把安全监管作为国家/行业监管机构的一项对外业务和职能；

4、国家/公共安全业务：把安全作为国家层面、公共层面的安全业务；

上述这些领域及相关概念，大部分都和各自领域的专家进行过深入交流和探讨，并完成了初步规划和设计，有些还需要进一步详细规划，有些已经进入实践，还有一些完成了专利提交，以待时日。如论如何，未来已来，预见是前提，规划是逻辑，今天展现的架构是最终呈现的结果。

【后记】

最后，谈一下最近一年的所见和感受：

1、拜访了不少CISO，他们对安全的评价可以概括为几个字：“讲起来重要**、做起来次要、忙起来不要”；头部客户对安全的需求远超当前供给侧所能提供，从需求的范围、能力到质量，同时，头部客户对安全的理解和认知也已超越当前产、学、研和投资，那么，当安全行业的头部客户开始从需求和认知两个层面超越安全行业本身的供给能力和认知水平的时候，**安全行业也到了类似Gartner技术成熟度曲线模型“几”字的最高点，并随着更多客户的觉醒，安全行业开始滑落并逐渐进入冷静期，然后再进入长期发展阶段；

2、和很多从业人员在一起交流，可以明显感受到从业情绪逐渐从“自嗨”转向“自卑”，抱怨行业内卷严重，产品难做，市场难做，销售难做的越来越多，细想一下，难做的关键还是因为客户的觉醒以及客户对安全认知的提升，以前靠合规、靠恐吓、靠信息不对称的生意模式越来越难持续下去，客户久病成医，每天接触的安全厂商比比皆是，行业共享信息也越来越多，安全行业比葫芦画瓢、闭门造车、重复造轮子的非创新模式已经无法适应接下来的市场竞争；

安全市场的机遇很多，当前市场不大以及增速不大的原因还是因为没有向外拓展更广泛的市场空间，大家都拥挤在传统的狭小赛道当中，没有在新的领域去突破创新，更没有认真思考如何让安全融入业务、成为业务、让安全创造价值。

【新概念】

本文提到的新概念包括：大安全体系、安全分水岭、传统网络安全、新型数字安全、IT公有云、数字化业务的安全原生、业务视角的数据安全治理、安全数字化转型，等等；

完。