11月1日，全国信息安全标准化技术委员会（以下简称：信安标委）2023年第二次“标准周”全体会议在湖北武汉召开。奇安信集团董事长齐向东等网络安全专家及企业代表受邀出席活动。齐向东表示，数智时代，安全挑战前所未有，防护体系化作为迎接网络安全挑战的“金钥匙”，需要通过“标准”让防护体系真正发挥防护能力。

　　数智时代 网络安全面临五大挑战

　　随着政企机构数字化、智能化转型的深入，齐向东认为，网络世界和现实世界的边界被打破，网络安全暴露面扩大，安全挑战升级，可以总结出五大安全挑战。

　　一是漏洞和后门的挑战。齐向东提出了关于漏洞的“四个假设”：假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠。随着数智化的深入，漏洞越来越成为黑客进行网络攻击的重要手段，借助漏洞能一举打穿网络安全防护网，直指核心资源。

　　二是万物互联的挑战。万物互联背景下，物联网设备供应链复杂，黑客只要攻破一个设备，就可能长驱直入，造成大范围的安全风险，对企业生产、社会稳定产生影响。

　　三是数据集中和交易的挑战。一方面，数据存储方式从分散到集中，面临“特权账户监守自盗”“数据资源一失万无”“假冒身份蚂蚁搬家”三大难题；另一方面，数据使用边界从封闭到开放，数据交易过程暗雷重重，一个单点失陷就可能造成海量数据泄露，造成严重后果。

　　四是业务连续性的挑战。过去解决网络数据安全都是从IT视角出发，业务系统和安全系统各自为战，随着数字经济和实体经济深度融合，从业务视角看安全，黑客的攻击行为往往导致业务中断。

　　五是安全生产的挑战。企业生产业务系统向外打开，生产系统越来越智能，一旦出现安全事故，生产必然会受到影响。

　　防护体系化是迎接网络安全挑战的“金钥匙”

　　如何应对层出不穷的网络安全挑战？齐向东指出，防护体系化是迎接安全挑战的“金钥匙”，具体要从四方面落实。

　　第一是纵深防御体系化。要从规划、建设、体系运行到实战结果，再用实战结果评估指导新的规划、建设、体系运行，在螺旋式上升的循环中，保卫网络安全，着重打造纵深防御的内生安全体系。

　　第二是行为管控体系化。数智时代的信任基础不再是单一的、静态的，要从关注“人”的视角出发，采用零信任架构，确保身份可信、环境可靠、权限可控、行为合规。

　　第三是数据保护体系化。针对当前数据安全面临的安全风险难看清、“内鬼”难管好、外部攻击难防住这三个问题，奇安信发布了天盾数据安全保护系统，以数据资产为核心，形成一个集“事件监测、风险分析、策略调整、访问控制”为一体的全链条闭环体系，全面地对数据访问进行安全检测与防护。

　　第四是安全运营体系化。齐向东表示，安全是高度对抗性的，任何“打仗”都需要来自于上层的支持和来自于一线战士的坚强抵抗，共同构成牢不可破的安全保障。所以我们需要在数智世界里构建三级联动的网络安全运营指挥体系。奇安信构建的“三级联动”运营指挥体系经受住了冬奥的实战检验。

　　标准是推动防护体系变成防护能力的“催化剂”

　　有了防护体系，还需要不断升级的行业框架和标准作为“催化剂”，使其真正形成安全防护能力。齐向东表示，网络安全作为数字时代的底板工程，更需要高标准来为高质量提供保证，并总结出了标准的五条重要作用。

　　一是标准让能力建设久久为功。网络安全能力建设不在“一朝一夕” ，全在“日积月累”。形成体系化的网络安全能力，需要标准引导久久为功，包括提供建设指南、建立技术框架、规范管理模式等。

　　二是标准让能力建设集百家之所长。网络安全是全局性、整体性工作，要求安全厂商具备产品生产、系统设计和安全服务一条龙的能力，但“大而全”的厂商在网络安全行业是少数。因此，统一的产品、系统和技术标准，运营、服务和结果评价标准对于打通安全能力至关重要。

　　三是标准让体系日臻完善。网络安全体系建设没有“一劳永逸”，需要不断成长。持续性、渐进性建设安全体系，需要标准规范，引领原有网络安全组件进行能力提升、打通安全能力“堵点”、稳步消除防护盲点。

　　四是标准让内生安全“百毒不侵”。“内生安全”是把安全能力内置到信息化环境中，让网络安全系统像人的免疫系统一样，实现自适应、自主和自成长。在内生安全框架和安全能力的运营过程中，必须不断调整安全组件，让能力越来越强。“在这个过程如果不遵守统一的安全标准，是没办法实现的。”齐向东表示。

　　五是标准让三级联动落地。网络安全不能靠“单线作战”，要实现协同联动。而明确的标准是实现组织、功能、能力三级联动的第一步，包括明确组织协同标准、功能评价标准、能力接入标准。

　　齐向东表示，奇安信将坚持扎根网络安全实践一线，动牵头、参与标准制定，助力信息安全标准化工作不断取得新进展。（刘璐璐）