奇安信：重塑内生安全体系，实现网络安全突围

    
    “‘十四五’期间，无论政府还是企业，对网络安全都越来越重视。但面对人工智能冲击，很多人开始对安全现状感到不安，总是感到从一个包围圈跳进了另一个包围圈。如何突围，在‘十五五’期间打个‘翻身仗’，成为广大客户和网络安全产业的时代之问。”日前，奇安信集团董事长齐向东在2025全球数字经济大会数字安全主论坛暨北京网络安全大会开幕峰会上表示。
    “没有网络安全，就没有国家安全。”齐向东指出，在智能体和AI垂直应用快速普及背景下，传统数据保护失灵，这说明没有网络安全，就没有企业安全。“网络安全需重视体系建设，重塑体系是实现突围的核心所在。”
    体系力量是突围之钥
    齐向东认为，当前，网络安全体系建设面临三重困境，分别是体系思想落地不畅、大小体系融合瓶颈和“小体系”运营梗阻。
    “目前，超90%的大型政企机构在安全建设时，会采购10家厂商以上的安全设备。”针对这一困境，齐向东认为，由于项目建设、安全设备和项目采购呈现分散化布局，导致政企机构网络安全体系形成“大拼盘”的分散状态，一些安全项目的“一体化”实际是“形聚神散”的“一体化”。
    “第二重困境是大小体系融合瓶颈。”齐向东用“大体系”指代宏观、整体的安全顶层设计、建设和架构，用“小体系”形容具体细分行业、领域、设施的网络安全体系。他认为，大小体系难以融合导致安全能力无法整合、战略难以统一实施。例如，某省级“大体系”建设顺利，但各市、区之间的信息化水平和安全水平参差不齐，最终导致大小体系间出现鸿沟，而“小体系”的漏洞又会为“大体系”埋下安全隐患。
    第三重困境为“小体系”运营梗阻。他说：“各自分散的安全体系导致各重要单位、分支机构建设的网络安全‘小体系’出现数据打不通、情报不共享等情况，最终不仅导致‘小体系’难以接收‘大体系’的指令，甚至还会拉大‘小体系’之间的差距。”
    为此，齐向东提出，体系力量是网络安全的突围之钥。
    体系矛盾是突围之障
    齐向东认为，内生安全体系的核心是涌现效应。何为涌现效应？齐向东阐释：“涌现效应是指系统多个部分按照一定方式相互联系、相互作用，在整体上就能相互补充。”
    记者了解到，自2019年齐向东提出内生安全理念，奇安信6年来的实践已证明内生安全能够激发出网络安全产业的涌现效应。“目前，内生安全体系已在数百个大型机构成功落地，2022年北京冬奥会网络安全‘零事故’的世界纪录，更彰显出内生安全体系的巨大价值。”齐向东说。
    “但还是有不少客户表示，在推动体系落地时，遇到不少难题。”齐向东对制约网络安全体系突围的三重矛盾的障碍作详尽分析。
    针对数据孤岛的障碍，齐向东表示，自10年前提出“数据驱动安全”以来，尽管数据对安全的重要性呈指数级增长，但体系割裂导致的“数据孤岛”依然进一步阻碍着体系落地。
    齐向东说，奇安信经过近千场实战攻防演习后发现，“万家造”和“两张皮”是数据割裂的重要原因。“比如，国内某头部金融企业，光防火墙就有几十个型号。”齐向东认为，“万家造”装备导致数据格式互不统一、接口不兼容、采集能力层次不齐。而在另一家金融机构，当业务与安全长期“两张皮”时，政企机构甚至难以辨别一些访问行为是否为外部攻击。
    齐向东表示，“万家造”和“两张皮”最终导致机构内部数据不相通，无法支撑全域感知、快速研判和事件响应。
    此外，“安全投入不足的矛盾在AI时代尤其突出。”齐向东举例，一家大型能源企业每年数字化转型投入超10亿元，但网络安全投入却长期不足4%。当攻击者利用AI发起饱和式攻击时，该企业的SOC系统在15分钟内被快速冲垮。
    齐向东介绍，第三个矛盾是新旧兼容难的障碍。“不同时期、不同厂商的安全产品和技术叠加在一起时，虽然能确保不出重大安全事故，但与新形势下实战化的体系建设目标还有巨大差距。”
    体系重塑是突围之道
    体系化建设意味着网络安全也需要秉持系统集成理念，将系统思维运用于网络安全防护体系构建中。齐向东提出，重塑数据聚合模式、安全运营模式和生态合作模式，是网络安全重塑体系、实现突围的三大路径。
    “数据的体量决定体系的规模，数据的质量决定体系的能力，数据的关联决定体系的效率。”齐向东提出，重塑数据聚合模式需要“拔烟囱、扫盲区”，其原则为“覆盖足够广、采集足够深、关联足够完整”。
    齐向东表示，全覆盖、多维度的安全数据集是聚合的基础；采集足够深意味着数据颗粒度足够细，可以展示更多细节，这有助于发现传统反病毒引擎无法发现的隐藏威胁；而上下文关联度足够高的数据才能还原威胁全貌，避免因缺乏上下文导致误判或漏判。
    重塑安全体系的第二条路径是构建反馈回路，重塑安全运营模式。“要让内生安全体系真正起效关键靠运营，安全运营的本质就是构建高效通畅、螺旋上升的反馈回路。”齐向东说。
    反馈是内生安全“自主、自适应、自成长”的根基所在。结合奇安信的实践，安全运营的路径主要有三大支柱。
    准确灵敏地告警是对网络异常行为的反馈。齐向东说：“无线通信领域的滤波器是实现降低噪声，高质量通信的关键，AI带来了网络安全领域自己的‘滤波器’。”据了解，自2024年起，奇安信将AI深度应用于威胁情报生产及运营，用自动化与标准化的情报生产为构建更敏捷防御体系提供核心支撑。
    及时处置与响应是对安全告警的反馈。在AI加持下，安全编排自动化与响应（SOAR）技术能自主学习、自动生成剧本，大大提升了运营效率，让内生安全体系更高效、智能。
    持续改进的安全产品是对上述反馈的反馈。齐向东以奇安信的AISOC产品举例，当它被部署到某部委客户现场后，在分析师的不断运营和强化反馈下，该产品能实现研判率和准确率同时达到99%，告警自动化处置率达70%以上。
    重塑生态合作模式是重塑体系的第三条路径。齐向东介绍，重塑并不意味着完全推倒重来，而是要找到“一子落而满盘活”的破局点，由“安全体系总设计师”作为“兜底组长”，确保体系成功落地。