提到網絡安全，我們不得不提到360與奇安信這兩家公司。一個是為C端大眾所知的360，一個是B端企業安全的龍頭。

2019年4月12日，隨著奇安信從360徹底分離出去，開足馬力向B端網絡安全市場進發。

彼時，網絡安全行業里面已經有很明顯的苗頭：國際產品IOE（IBM、Oracle、EMC）已經逐漸被中國本土產品替代、越來越多的新興安全技術產品層出不窮。但是市場上沒有主導性地位的安全產品品牌。

凱旋創投創始合伙人陶冶曾在奇安信2017年的首輪融資中出手押注。“從360當年融資開始，老齊其實一直在我們視線中。他一直以做事沉穩，會帶團隊，給投資人留下深刻印象。無論他在原來的企業，還是重新創業，他一定會是一個能干堅持，專注事業，能做大事的企業家。”陶冶如此評價齊向東。

如今這個評價正在慢慢應驗。

2020年7月22日，在科創板開板一周年之際，作為中國領先的網絡安全供應商，奇安信成功登陸科創板，正式掛牌交易。奇安信原計劃募資45億元，已實現超募57.19億元，創同類型企業A股募資額新高。

“我們現在已有接近8000人的隊伍，是國內人數最多，收入最多，技術最強的公司了，希望未來成為全球第一的網絡安全公司，實現收入第一、人數第一、技術第一。”齊向東表示。

展望中國網絡安全市場，到2023年年底將是一個突破千億元規模的市場。而隨著疫情在全球肆虐，對安全產業帶來了愈加正面的影響。

齊向東表示，疫情帶來全球變化，對安全是帶來新的大的機會。網絡安全在國家、社會互聯網化、物聯網化、智能化大背景下，安全產業已經站在風口上，前年，我認為它是風口中的風口，這次疫情讓安全產業這個“風”又加大了，所以我相信一定會引發新一輪網絡安全產業投資熱潮，就是新一輪熱潮，會有更多人、更多的資本來進入安全產業。

在新基建浪潮下和物聯網時代的到來，“網絡安全的機會才剛剛開始”。陶冶認為，數據交換從人對人迅速擴展到人對機、機對機等藍海領域。關鍵數據的保護、實時監控都會是實實在在的企業需求。

他表示：“網絡安全是一個全球化公平競爭的領域，技術不過關沒法被市場接受，簡單地政策保護或者行業準入不可能培育出優秀的數據安全企業。我們的網絡安全服務市場跟其他互聯網大國相比也還有相當的差距。我們有理由相信未來10年會產生一系列細分市場的龍頭企業，以技術優勢贏得市場，并從持續增長的規模中獲益。”

在回答記者的訪問中，齊向東回答：“我們在技術上網絡安全攻防技術上處于全球第一梯隊，處于領先水平。但在安全體系建設上還處于第二梯隊。”

改革開放40年，我們一直主張和平是世界主流、全球化是主流。全球化要求就是采用全球供應鏈，如果不考慮國家級網絡攻擊，不考慮國家級網絡戰，黑客零散式破壞形不成大氣候，在基于這樣大假設下，所以我們國家在新的信息系統建設過程中，安全方面預算比較低，有的更嚴重根本不考慮安全方面的預算。但這也支撐了這幾十年的發展。

齊向東表示，那個時候，安全攻擊、網絡攻擊確實是小概率事件。但是如今已然不是。單一零散的黑客攻擊，已變成黑客組織。面對日益嚴峻的網絡安全威脅，一旦銀行數據庫、醫院數據庫、運營商數據庫等大型B端企業被鎖住將會發生巨大損失。

為了構筑自身護城河，齊向東表示，安全行業拼的是服務，而服務由規模決定。“首先跑得贏你人得多，就像打仗確實需要軍隊，如果打一場戰爭只要兵力部署就好，如果同時打一千場仗、一萬場戰爭呢？”

他表示，對于整個行業而言，惡性競爭其實會越來越少。“因為你突然發現我們的客戶數量無限大了，比如政府、大型企業、大型裝置，可能重要系統或者重要單位有可能是十萬、二十萬甚至百萬級的數量，解決某一個單位問題的時候一定有一支隊伍跟進。一個公司服務能力是有限的，那你的團隊的規模就是服務的能力，而且規模越大未來客戶越信任你，從理論上來講就有能力幫他干好。如果你數量不夠，理論上就不成立。“

其次，他認為賣給客戶一個硬件或者一個軟件聲稱是不可能永遠安全。“因為安全屬于‘矛’和‘盾’的關系，‘盾’造出來那天開始一定有矛可以穿透，什么時候被穿透？怎么解決窟窿問題？這是動態不可預知的。所以需求將會源源不斷地出現。”

網絡安全是一個需要不斷與時俱進的，需要前瞻性建設的行業。

8月10日，有網絡安全行業“達沃斯”之稱的北京網絡安全大會（以下簡稱BCS 2020）隆重開幕，大會聯席主席、奇安信集團董事長齊向東發布“內生安全，從安全框架開始”的大會主題，與在座十余位兩院院士，500多位全球重磅嘉賓，圍繞1000多個網絡安全議題進行交流和碰撞，議題涵蓋網絡安全發展的戰略新趨勢、產業新機遇、前沿新技術等，共同探討內生安全框架在不同領域的落地和實踐。

齊向東在去年的BCS 大會上首度發布了“內生安全”理念，指出需要依靠聚合應變，從信息化系統內不斷生長出自適應、自主和自成長的安全能力。短短一年時間，“內生安全”理念被廣泛接受。

基于此理念，奇安信推出了內生安全框架。該框架以系統工程的方法論結合“內生安全”理念，改變了以往“局部整改”和產品堆疊為主的安全規劃及建設模式，按照系統工程的思想，將安全能力組件化，由規劃方法、工具集、模型、架構和項目綱要構成，能夠讓安全產品和服務相互聯系、相互作用，在整體上具備單個產品和服務所沒有的功能，從而保障復雜系統的安全。

當前奇安信的試點用戶已將近40家，包括政府客戶、有金融的客戶、有能源的客戶，還有其他制造業一些大企業客戶，“今天開大會正式推廣這套體系，其實代表它已經相對完善了”。

以下為齊向東在BCS 2020戰略峰會上題為“內生安全 從安全框架開始”的演講實錄：

尊敬的各位領導、來賓，觀眾朋友們，上午好！

感謝大家參加BCS戰略峰會。去年，我們在首屆BCS大會上提出了“內生安全”，得到了業界廣泛認同。很多客戶來找我們，想知道內生安全到底應該怎么做。

所以從去年開始，我們專門成立了一個工作組，和20多個一線部門緊密協同，用系統工程的思想，把網絡安全能力，映射成為可工程建設的安全能力組件體系，并給出一套規劃方法論，設計工具集和配套的模型、架構、項目綱要，構建一個能夠適應形勢變化的網絡安全框架，來支撐內生安全體系建設。今年3月，我們正式公開發布了這套面向新基建的新一代網絡安全框架。

截至目前，我們已經在近40個大型機構里應用了這套框架，包括部委、能源央企、金融、航空、大型制造業和數字城市，得到了很高的評價，他們說，有了這套框架，從頂層設計到落地建設運行變得很容易了。為了讓更多的政企機構能快速實現內生安全，我們把今年大會的主題定為“內生安全 從安全框架開始”。

在開始講安全框架之前，我想先說一個觀點，也是我今天演講的第一部分：內生安全的關鍵是管理。

去年的BCS大會上，我提出了“內生安全”，強調在政府、銀行和大型企業等機構，通過系統聚合、數據聚合和人的聚合，不斷從信息化系統內生長出安全能力，這種能力具有像免疫系統一樣的自主、自成長、自適應的特點，持續保證業務安全。

我們都知道，網絡安全是高度對抗性的行業，網絡安全系統包括技術、數據、人員和體制機制等，是一個復雜的系統。為了保障業務的安全性，實現這個系統的有效運轉，就不能僅僅考慮產品和技術因素，而是要綜合技術、管理、運行等多方面的因素。

一個網絡安全體系，必然面臨著層出不窮的攻擊。首先，漏洞是不可避免的，只要這個系統的0day漏洞還沒有被黑客窮盡，就永遠面臨著未知的威脅。這個漏洞可能存在于芯片、操作系統、應用系統、網絡設備等任何地方，可能掌握在任何一個未知的敵人手中，這個敵人可能隨時發動攻擊，造成的危害也難以掌握，它可能導致數據被盜，也有可能會直接導致系統崩潰。如果只用攻防技術來防護，被漏洞牽著鼻子走，這類安全問題是永遠無法解決的。

其次，根據FBI和CIA等機構聯合做的一項安全調查報告顯示，超過85%的網絡安全威脅來自于內部，危害程度遠遠超過黑客攻擊和病毒造成的損失。這些威脅絕大部分是內部各種非法和違規的操作行為造成的。

最后，所有的體系都是人來操控管理的，但人是不可靠的，人本身的弱點也是網絡體系最大的脆弱性。比如弱密碼、密碼丟失、使用不安全的設備等，甚至還有人會被策反成間諜。

上述問題的存在，都導致了不管技術多高，我們的體系還是會失效。

2016年，黑客控制大量攝像頭進行網絡攻擊，導致美國東海岸大規模斷網的事件，就是沒有管理好攝像頭的行為，而發生的悲劇。因為攝像頭的正常行為，只會向指定的地址回傳數據，而絕不會去訪問推特、Paypal等知名網站。

2017年，在全球范圍內大規模爆發的“永恒之藍”勒索蠕蟲，利用Windows漏洞進行傳播，導致大量政企機構內網淪陷系統癱瘓，也是缺乏管理釀成的苦果。微軟在3月就下發了相關漏洞的補丁，但中招的各大機構因為各種各樣的原因沒有去修補這個漏洞，有的是沒能力補，有的是怕補了影響業務，有的純粹就是安全意識問題。

今年7月，奧巴馬、拜登、比爾·蓋茨、巴菲特等多位美國政商名流的推特賬號被劫持并發布詐騙信息，事后調查發現，是一個17歲的黑客竊取了推特員工內部管理系統賬號的權限，已經控制了好幾個月，并且在黑產市場交易獲利。如果對身份、行為做了有效的管理，這種事情就不會發生。

這幾年，我們搞了很多實網攻防演習，每年都能發現一大堆問題，一打就穿，但很多機構“頭疼醫頭腳疼醫腳”后，由于管理不行，還是被打穿。

所以我們認為，安全的關鍵是管理。我們所說的管理，不是傳統意義上的管理，它既不是單純的人員管理、行政管理、體制機制管理，也不是傳統的條文式管理、流程式管理，而是一套“新管理”模式，它由數據驅動，通過與安全體系中的能力平臺和服務平臺有效對接，實現對安全技術、安全運行等各方面要素的有效管理，從而發現和規避黑客利用安全體系里的漏洞發起的攻擊，克服人的不可靠性、彌補人的能力不足。總之，這種新管理模式的表現形式，可以是網絡安全管理大平臺，也可以是網絡安全管理運營管理中心。

內生安全，代表的正是這種新形態的網絡安全管理模式。它用“一個中心五個濾網”，從網絡、數據、應用、行為、身份五個層面來有效實現對網絡安全體系的管理，從而構建無處不在，處處結合，實戰化運行的安全能力體系。這種新管理模式，需要有強大的能力體系支撐，需要用工程化、體系化的方式進行實施，這套方法的成果，就構成了內生安全框架。

我今天要講的第二部分是：管理的關鍵是框架

新時代需要新管理。要實現內生安全所代表的的這種新形態的網絡安全管理，是一套復雜的系統工程，它需要一個新形態的能力體系做支撐，需要用工程化、體系化的方式進行實施，實現它的關鍵就是安全框架。

在系統科學里，有一個特性叫“涌現”，指的是構成系統的多個組成部分按照一定的方式相互聯系、相互作用，在整體上就能具備單個組成部分所沒有的性質，產生“1+1＞2”的效果。比如，計算機系統可以實現工程計算、文字處理、軟件開發等功能，這些功能是CPU、電源、操作系統等單個組成部分所不具備的。

內生安全也具有“涌現”效應，能實現“1+1＞2”的效果。在信息化系統的功能越來越多、規模越來越大、與用戶的交互越來越深的時候，單一的、堆疊的安全產品和服務，哪怕是最新、最先進的，都無法保證不被黑客穿透，但內生安全系統，能夠讓安全產品和服務相互聯系、相互作用，在整體上具備單個產品和服務所沒有的功能，從而保障復雜系統的安全。建設內生安全，采用的就是系統工程的思想。

過去20年，國內外在信息化建設方面，用的是系統工程思想，通過行之有效的EA方法論與框架，引導與推動了大規模、體系化、高效整合的信息化建設，很好地支撐了各行業的業務運營。

針對網絡安全，一些西方發達國家采用體系化思想，也設計出了適應他們發展階段的NIST等框架。但由于我國的網絡安全基礎比較薄弱，一直采用的是“局部整改”為主的安全建設模式，導致網絡安全體系化缺失、碎片化嚴重、協同能力差，網絡安全防御能力與數字化業務的保障要求嚴重不匹配。在這樣的現狀下，無法套用西方現成的框架進行安全體系建設。

今年，是我國“十三五”規劃收官、“十四五”規劃謀篇布局之年，8月6日，習近平總書記剛對“十四五”規劃編制工作做出了重要指示，要求“把加強頂層設計和堅持問計于民統一起來，齊心協力把‘十四五’規劃編制好。”

我認為，這是非常重要的時間窗口，未來五年我國各行各業能不能取得高質量發展就取決于現在。所以，我們提出了內生安全框架，這是從工程實現的角度，針對我國的國情研制出來的，能將安全需求分步實施，逐步建成面向未來的安全體系。這套框架從頂層視角出發，支撐各行業的建設模式從“局部整改外掛式”走向“深度融合體系化”，在數字化環境內部建立無處不在的網絡安全“免疫力”，真正實現內生安全。

就在前兩天，我和一位大型央企的領導交流，他非常興奮，非常感慨。他告訴我，他做大規模信息化建設的時候，與業務系統融合用的就是系統工程的方法，但他從來沒有見過、也沒想到過網絡安全公司也能按照系統工程的方法，做出這么具體、這么好用的框架來。他說：“網絡安全與數字化，用體系對體系，這就對了！”

內生安全框架有三個重點，是把安全能力“理清楚”、“建起來”、“跑得贏”，目的是通過“新管理”，讓網絡安全體系具有動態防御,主動防御,縱深防御,精準防護,整體防護,聯防聯控的能力。

先說“理清楚”。內生安全體系建設，需要先體系化地梳理、設計出保障政府和企業數字化業務所需要的安全能力，才能確保這些安全能力能夠融入到信息化與業務系統中去。

就像建造一棟房子，需要算清楚、準備好所有的建筑材料和工具，才能打好地基、筑好框架、建好樓板、裝好防盜門窗、配齊消防設備、布好攝像頭、警報器，房子才會安全、堅固，抵御各種風險。

在梳理的過程中，我們要充分考慮，這個系統的架構和功能將來是否可以調整？系統的安全能力能不能做到持續不斷的增強？網絡安全產品是否有維護升級的能力？未來是否根據需要增加新的安全產品模塊？系統是否有安全監控和數據采集的功能？

在設計的過程中，我們要根據政府和企業自身信息化項目的實際情況，對安全能力進行挑選、組合和規劃，給出明確標準。

再說“建起來”。融合是建設的關鍵，將安全能力深度融入物理、網絡、系統、應用、數據與用戶等各個層次，確保深度結合；還要將安全能力全面覆蓋云、終端、服務器、通信鏈路、網絡設備、安全設備、工控、人員等要素，避免局部盲區，實現全面覆蓋。

這種將安全能力合理地分配到正確位置的建設過程，就是安全能力組件化的過程。這種安全能力組件，是軟件化、虛擬化、服務化的。科學、合理地將安全能力組件進行組合、歸并，建立相互作用關系，確保了安全能力的可建設、可落地、可調度。

在具體建設過程中，需要一個全景化的技術部署模型，全面描繪政企機構的整體網絡結構，信息化和網絡安全的融合關系，以及安全能力的部署形態。

比如，按照區域，把政企機構的信息化系統分成總部、區域中心、分支機構以及網絡節點等多種類型；按照業務類別和功能，又把政企機構的信息化系統分成了全局網絡、骨干網絡、區域邊界、通信網絡、信息系統、云平臺、大數據平臺、數字化終端等層級、組件，并標記出它們的部署位置和形態。

在這個基礎上，我們就可以把所有的安全能力組件，分別以系統、服務、軟硬件資源的形態，合理部署到信息化系統的不同區域、節點、層級中。各種安全能力組件之間，通過網絡和數據進行整體協同，使安全能力全面覆蓋信息化所有范圍，實現了對各個層次的管理，消除盲點，增強安全資源的豐富性、靈活性、完整性。

第三個重點“跑得贏”。新基建、數字化轉型，催生了無數新的應用場景，帶來的安全風險劇增，推動網絡安全從輔助工程變成了基礎工程。

缺乏安全運行的安全系統，相當于“靠天吃飯”。以前，由于網絡攻擊是小概率事件，就好比每年都風調雨順，“靠天吃飯”的網絡安全也很少出事；但隨著網絡攻擊成為大概率事件，好比“十年九災”，繼續“靠天吃飯”的網絡安全就會出大問題。

內生安全體系強調安全運行，把管理作為關鍵，就能“人定勝天”，跑得贏漏洞、跑得贏內鬼、跑得贏黑客。

我們將網絡安全運行的各個組件，以及網絡安全與信息化之間聚合、協同運行的狀態進行了詳盡的描繪，使安全工作中大量隱性活動顯性化、標準化、條令化，從而確保安全運行的可持續性，實現管理閉環。

第三部分，框架的關鍵是組件化。

落地內生安全，實現新管理模式，最理想的情況，是建設一個完整的框架。但現實情況是，大多數政府和企業的信息化系統，都是新老結合的，往往需要花若干年的時間，才能完成對老系統的替換，這是一個“立新破舊”的過程。

從安全系統與信息化系統聚合的實施角度來看，如果割裂地對老系統用老辦法，新系統用新辦法，未來，當老系統被替代時，老的安全系統也不得不替換掉，造成巨大的浪費。

這就要求我們對安全體系進行“統一設計，分步實施”，在體系的基礎上，把安全框架組件化，讓這些組件既能是新體系的一部分，又能部署到老系統中，從而適應信息化系統這種漸進式的、“立新破舊”的過程，避免不斷地把安全系統推倒重來，確保現在安全上的投資是面向未來的。

從國際的經驗看，ISO/IEC 27000信息安全管理體系就是按照組件化的方式設計的，它包含14個類別，35個目標，114個控制措施；NIST 的系統安全工程也列舉了從需求、設計、實現到驗證、部署、維護、棄置等14個過程應該開展的安全工作，包括54個任務、235項活動。在NIST網絡空間安全框架中，也通過IPDRR-識別、保護、檢測、響應、恢復的機制，以及多個落地子項來構造網絡安全的保護體系。

遵循這樣的經驗，我們用工程化的思想，把體系中的安全能力，映射成為可執行、可建設的網絡安全能力組件，構成了內生安全框架，這些組件與信息化進行體系化地聚合，是安全框架落地的關鍵。

為了窮盡安全能力組件的類型，我們研究了針對黨、政、軍、央企、金融等這些大型機構網絡安全的新技術產品和服務體系，為這些體系設計并解構出了十個網絡安全工程，以及五方面的支撐能力任務，簡稱“十大工程”“五大任務”。

這“十工五任”是內生安全框架的具體落地手冊，具備了一個復雜龐大的信息化系統所需要的全部安全能力。這就相當于打造了一個信息化巨系統內生安全框架的建設樣板，每一個工程和任務，都可以理解成樣板房里的不同“房間”。政企機構可以結合自身信息化的特點，選取不同的“房間”進行組合，定義自己的關鍵工程和任務。

以某個“新基建”項目為例，它包括了136個信息化組件，我們就依據“十工五任”手冊的具體指引，總結出了29個安全區域場景，部署了79類安全組件。

所以，我們在進行安全體系建設時，首先必須對自己的安全框架有整體性的設計，就可以依據“十工五任”手冊，面向未來進行安全組件建設，避免“建好之時就是改造重建之日”。

“十工五任”手冊，對每個組件的部署位置、部署順序、部署要求都給予了詳細的說明。就像房子裝修有水電改造、刷漆、鋪地板等固定流程，我們對每一個工程和任務都給出了具體的部署步驟和標準。

下面，我給大家看一個實戰攻防的視頻，因為“網絡安全講一百遍不如打一遍”，實戰攻防是檢驗網絡安全能力的唯一標準。這個視頻呈現了一個網絡安全的“戰場沙盤”，很清楚地展示了我們在一個巨系統里部署的安全能力組件是怎么在物理層、虛擬化層、應用層逐層展開、協同聯動，讓安全體系真正運轉起來的。

我相信，政府和企業按照我們提出的內生安全框架，投入三至五年時間，就能建立起完善的網絡安全協同聯動防御體系，真正實現內生安全。

朋友們，數字化轉型和新一輪技術革命，正在重寫全球經濟、科技和政治格局。對網絡安全行業來說，這既是一次前所未有的機遇，也是一次前所未有的挑戰。讓我們攜起手，從安全框架開始，推動網絡安全產業再上新臺階。謝謝大家！