奇安信集团总裁吴云坤：用内生安全框架提升网络安全产值

“安全产业的规模增长不是靠单个产品的创新，也不是等待政策的来临，更不是等待客户预算增大，而是从信息化的角度，用内生安全框架来提升产业规模。”在8月11日2020北京网络安全大会（BCS 2020）产业峰会上，奇安信集团总裁吴云坤在主题演讲中提出，用内生安全框架提升网络安全产值，以破解我国网络安全产业规模小的困局。

奇安信集团总裁吴云坤

相关数据显示，当前我国网络安全产业规模为608亿，在整个数字经济产业中占比只有1.7%，产业规模小，且与市场预期不匹配。网络安全行业普遍存在“四缺”，即缺规划、缺经费、缺人手、缺运行，“四缺”导致网络安全能力无法匹配数字化转型和数字经济发展所需要的信息化保障需求。

如何破解我国网络安全产业“小零同”（小规模、零散化、同质化）的困局？吴云坤提出，要改变过去网络安全零散发展的模式，以甲方视角、从信息化角度，用面向规划的内生安全框架，布局产业增长。

所谓内生安全框架，是指网络安全领军企业奇安信基于长期政企网络安全防护实践形成的安全框架，该框架的核心是指导政企机构体系化的网络安全规划建设，从过去局部整改为主的外挂式建设模式走向深度融合的体系化建设模式，使之能够输出体系化、全局化、实战化的网络安全能力，以“内生安全”理念建立数字化环境内部无处不在的“免疫力”，构建出动态综合的网络安全防御体系。而在这个过程中，通过规划、建设、服务等扩大网络安全预算，进而提升网络安全产值。

吴云坤将内生安全框架的落地实践总结为“一套方法论、四个放大器、两个全景模型、贯穿项目全生命周期和两个确保。”

“一套方法论是指从信息化角度，用系统工程思想与EA方法进行网络安全规划设计，以能力为导向，以架构为驱动。”吴云坤表示，基于这套方法形成了安全产业的四个放大器：一是基于SANS的滑动窗口模型识别出客户所需的所有安全能力；二是安全能力与信息化深度融合；三是安全能力全面覆盖信息化环境；四是形成可闭环运行体系。

吴云坤表示，通过用工程化思想，规划建设内生安全框架，最终会生成两个全景模型：通过规划形成政企机构防御技术全景模型和政企机构防御运行全景模型，以此指导政企机构的网络安全防御体系建设和运行。与此同时，网络安全服务过程将贯穿项目全生命周期：从规划、可研、立项、招投标、集成交付到可运行，确保客户安全项目可建设、能运行。

“由此会形成一个巨大的网络安全服务化的市场。”吴云坤表示，内生安全框架对于政企机构来说，可以帮助规划设计和落地，同时推动政企机构需求侧的不断打开，由此供给侧的市场盘子将随之拓宽。这对于网络安全全行业而言，可实现标准化、体系化、集约化生产，加快形成布局合理、分工有序、相互衔接的规模效应，从而告别此前的“小零同”（小规模、零散化、同质竞争）状况，在更宽的赛道上发展。

吴云坤亦认为，在这个过程中，整个国家的网络空间安全亦将受益。因为通过体系化的建设，关键信息行业与机构真正拥有的网络安全能力体系，将成为国家网络空间中有效防御的一环，保障整体的国家网络安全战略落地。

“网络安全行业要抓住新基建、数字化和十四五规划机会，面向甲方信息化发展保障需要，依托内生安全框架、围绕能力价值链条推动集成应用。”吴云坤呼吁，安全大厂商、大集成商发挥好牵引作用，小企业专精细分领域的技术创新和能力建设，通过同步规划、同步建设、同步运行，实现整个网络安全生态与信息化的深度融合，促进与产品厂商和技术创新厂商的共同发展，进一步扩大网络安全产业规模，为我国信息安全产业提供更多发展的空间。