安全突围：重塑内生安全体系：齐向东在2025年BCS大会的演讲

---

前言

6月5日，在2025全球数字经济大会数字安全主论坛暨第七届北京网络安全大会（BCS）开幕峰会上，全国政协委员、全国工商联副主席、奇安信集团董事长齐向东发表题为“安全突围：重塑内生安全体系”的主题演讲。

齐向东表示，网络安全目前到了需要突围的时候。体系化作战、体系化建设已成突围重要力量。体系化择优将替代单品择优、体系化设计将替代拼盘设计。

以下为奇安信集团董事长齐向东在2025年BCS大会的演讲全文。

---

当前，国际局势复杂多变，关税战、科技战、金融战、信息战层出不穷，全球安全环境迅速恶化，发展中国家面临的安全挑战前所未有。没有网络安全，就没有国家安全。

今年春节，Deepseek火爆出圈，智能体和AI垂直应用快速普及，原有的“不把鸡蛋放在一个篮子”的数据保护方法失灵了，智能体通吃有价值的数据，智能体成了数据安全的新“祸首”。没有网络安全，就没有企业安全。

十四五期间，无论政府还是企业对网络安全都越来越重视，也都不断地加预算、买设备、建系统，但面对人工智能的冲击，很多人开始对安全现状感到不安，总是感到从一个包围圈跳进了另一个包围圈。如何突围，在“十五五”期间打个“翻身仗”，成为广大客户和安全产业的时代之问。

本届BCS大会，以“安全突围——重塑内生安全体系”为主题

第一部分：体系力量是突围之钥

5月17日，央视一条消息引爆全网：我国外销型战机歼-10CE首次取得实战战果，在空战中一举击落多架战机，自己无一损失。

印巴冲突向全世界展示了一场体系的胜利。巴基斯坦用从中国引进的武器装备，打造出“预警-制空-防空”三位一体的作战体系，干脆利落的打败了印度“万家造”。这是一个标志性事件，为空域安全的军备竞赛，拉开了从拼装备性能指标到拼作战体系化的序幕。这场突围预示着：体系化择优将替代单品择优、体系化设计将替代拼盘设计。

网络安全突围的动力来自生成式人工智能。AI的熊熊大火，烧醒了客户的安全需求：不再是网络安全公司让我做、国家等保合规要求我做、更不是能省钱就省钱的凑合做，而是我要用网络安全体系保护商业秘密、知识产权、行业经验，主观能动性被充分激活。

但在长期“让我做、要求我做、我凑合做”的被动导向下，安全建设陷入了“缺啥补啥、低价中标”的拼盘惯性，安全防护大多缝隙丛生、“中看不中用”。这让网络安全“零事故”目标始终是“水中月、镜中花”，网络安全体系建设面临三重困境，亟待破局。

第一重困境是体系思想落地不畅。

党的十八大以来，政企机构对安全的重视程度越来越高。网络安全建设每年都有预算、有项目、有目标，但这些预算都和新建项目绑定，而不和安全目标绑定。由于项目中标方不同，安全设备都是不同时期、不同项目采购不同厂家的，年复一年累积的多个安全项目，就形成了“大拼盘”的分散现状。统计发现，目前，超90%的大型政企机构在安全建设时会采购10家厂商以上的安全设备。这些设备数据格式不一、标准不一、接口不一，很难实现“一体化”。

更严峻的是，多年来，近一半安全项目被埋在IT总包里，建设质量无法得到保障。网络安全是“专业课”，一些技术实力弱、公司规模小、行业经验少的IT公司做总包，既没安全产品又干不了安全建设的活，常把安全项目分包出去。网络安全厂商高喊“体系化”，每天却在“弱小少”的总包指挥下干着碎片化、打补丁的工作，无法对项目整体效果负责。如此一来，安全建设就陷入了“形聚神散”的境地：看似做了“一体化”的事儿，却拿不到“一体化”的结果。

第二重困境是大小体系融合瓶颈。

体系建设是复杂工程，层层嵌套，相互影响。为方便理解，我们可以从层级维度把安全体系分为“大体系”和“小体系”，两者具有相对性。从国家治理视角看，主管部门统筹的安全顶层设计是“大体系”，各行业、领域的安全建设是差异化“小体系”；从智慧城市场景看，覆盖城市全域的安全防护架构是“大体系”，交通枢纽、能源电网等关基设施的安全体系是“小体系”；从企业集团架构看，总部主导的一体化建设是“大体系”，各地的分支安全体系是“小体系”。

随着网络安全战略地位的提升，“大体系”建设主体，大都面临安全能力无法整合、战略难以统一实施的瓶颈。其中，最典型的表现就是缺乏上下统一协调，无法全局协同联动。比如，某东部省份近年来积极推动“省-市-区”三级联动安全管理平台，省级“大体系”建设顺利，但各市、区之间的信息化水平和安全水平参差不齐，“大体系”和“小体系”间有鸿沟。去年，发生一起网络攻击，攻击者成功渗透了市级防护盲区，并进行了东西横向移动，对省级“大体系”造成严重威胁。

第三重困境是“小体系”运营梗阻。

“七国八制”的安全体系，导致各重要单位、分支机构建设的网络安全“小体系”数据打不通、情报不共享，即便建设时投了不少资源，但能力依旧无法联动，面对“大体系”传达的指令有的听不懂，有的即使听懂了也没有能力动起来。

比如，某化工龙头，曾希望对集团数字化系统进行一次全面体检，结果多地子公司发现，上级单位要求使用的扫描工具和单位系统不兼容，安全指令和安全能力在“小体系”探不下去；还有一家大型机构，他们的分支机构都斥资建了独立的安全“小体系”，其中一些会自己更新防护策略，但不主动共享情报，拉大了“小体系”间的安全能力差距。这导致对政企用户来说，安全价值无法显现，体系建与不建一个样。久而久之，严重制约产业发展。

第二部分：体系矛盾是突围之障

奇安信很早就关注到体系在安全建设中的重要作用，并构建了以内生安全为核心的技术体系框架。2019年，我们提出内生安全；2020年，推出内生安全框架；2023年，提出“数智安全，内生为本”……在奔涌向前的技术浪潮下，内生安全体系一直在更新迭代。

内生安全体系的核心，是1+1＞2的涌现效应。指的是系统多个部分按一定方式相互联系、相互作用，在整体上就能相互补充。2022年北京冬奥会，我们通过内生安全创造了网络安全“零事故”的世界纪录，充分印证了内生安全体系的巨大价值。多年来，内生安全体系已在部委、能源、金融、航空等领域的数百个大型机构成功落地，得到很高评价。但还是有客户表示，在推动体系落地时，遇到不少难题，其中三大矛盾的障碍最突出。

一是数据孤岛的障碍。

10年前，我们提出“数据驱动安全”；10年来，数据对安全的重要性呈指数级增长，但由于没有体系或者体系割裂，造成了一个个“数据孤岛”，进一步阻碍了体系落地。

奇安信过去参加了近千场实战攻防演习，发现“数据孤岛”具体有两大成因，“万家造”和“两张皮”。比如，国内某头部企业，光防火墙就有几十个型号，有国外的也有国内的，有单一式也有集成式，有硬件式也有软件式、云部署式……这些“万家造”设备数据格式互不统一、接口不兼容、采集能力参差不齐，安全运营中心接进来的海量数据，一团乱麻、彼此孤立，无法支撑全域感知、快速研判和事件响应。

还有很多客户，业务和安全“两张皮”，各自收集、处理数据，形成一个个孤岛，鲜少交集。去年，我们接到一起应急响应事件，客户的财务系统收到大量疑似正常行为的访问请求，这些行为数据没有及时同步安全部门，结果造成大量财务数据被泄露，暴露了业务和安全数据互通的迫切性。

二是投入不足的障碍。

2022年北京冬奥期间，我们抵御了3.8亿次含社会面的网络攻击，发现并处置了毒云藤、金链熊等多个APT组织的针对性攻击。这让很多机构非常感兴趣，希望把“零事故”模式复制到自身的安全防护中。

但这并非易事，“零事故”背后是奇安信十多年的体系建设经验和技术优势，以及不计成本的资源投入。整个冬奥筹备及赛事期间，我们共部署包括防火墙、天眼、天擎、椒图等在内的各类安全设备近千套，历时800多天，最多同时投入3000多名工程师。对绝大多数政企机构来说，以这样的投入力度去保安全不现实。

安全投入不足的矛盾，在AI时代尤其突出。我们接触过一家大型能源企业，每年在数字化转型方面投入超过10亿元，但网络安全投入占比却长期不足4%。去年发生了一起安全事件，攻击者利用AI发起饱和式攻击，潮水般的告警在15分钟内冲垮了他们的SOC系统，安全运营体系瞬间瘫痪。最后，我们协助紧急投入了大量安全专家资源，并上线AI研判系统，才避免了核心系统被攻陷。

三是新旧兼容难的障碍。

现在，不少企业的网络安全架构中，混杂着不同时期、不同厂商的安全产品和技术，虽然一定程度上确保了不出重大安全事故，但与新形势下实战化的体系建设目标还有巨大差距。

去年，我到一家大型制造企业做交流，对方问我，他的信息化建设已经20多年了，网络安全架构难免混杂着不同时期建设的系统，各子系统之间也没能及时整合，要把这些旧架构推倒重来，几乎不可能，那么，新体系如何充分整合现有设备和子系统？谁来负责新体系的整体设计和落地，确保各厂商兼容，并对实战效果承担责任呢？这些都需要回答。

第三部分：体系重塑是突围之道

2025年是“十四五”规划收官、“十五五”谋篇开局的关键年。面对体系化的重重困境和难点，网络安全产业更要凝心聚力，打赢这场“翻身仗”。为此，我们组织团队，集中复盘了奇安信成立以来近千个网络安全防护实践，探索出广大客户和网络安全行业重塑体系、实现突围的三大路径。

第一、拔烟囱、扫盲区，重塑数据聚合模式。

网络安全体系升维，关键靠数据。数据的体量决定体系的规模，数据的质量决定体系的能力，数据的关联决定体系的效率。数据孤岛时期，数据采集量有限，安全数据够用即可。但体系的发展和演进，对数据聚合提出了更高要求，它必须满足三个原则：覆盖足够广、采集足够深、关联足够完整。

先说覆盖足够广。全覆盖、多维度的安全数据采集是聚合的基础。安全攻防好比破案，发现的线索越多，破案的速度越快。以我们即将发布的SASE为例，它基于零信任思想，无论何种身份，访问哪个业务，都要带端访问、带端服务，这样通过SASE客户端就能把设备、身份、权限、行为等多维数据聚合起来，并无缝覆盖公有云、私有云、数据中心等基础环境，形成全面的安全数据集，再结合AI分析，研判能力会大幅提升。

其次是采集足够深。指的是数据颗粒度要足够细，可以展示更多细节。去年，我们接到某医院的紧急需求，对方发生了多起数据泄露事件，但所部署的安全产品却始终找不出攻击者、道不明哪种攻击方式。我们的安全专家立刻想到，无文件攻击没有磁盘落地，传统依赖文件和漏洞特征的反病毒引擎无法发现，必须渗透到内存指令集拿到深度数据，才能发现隐藏威胁。于是第一时间帮助客户部署了EDR，通过深度、实时的内存指令检测分析，果然发现了隐藏在内存中的攻击代码，最终溯源出是来自境外组织的数据窃取。

最后，关联足够完整。孤立的数据就像散落的拼图。一些看似恶意的行为可能是正常活动，而一些看似正常的活动却恰恰是披上伪装的恶意攻击，只有上下文关联度足够高，才能还原威胁全貌。

缺乏上下文，往往会导致误判或者漏判。先说误判，比如“某IP地址在短时间内尝试登录失败5次”的告警信息，极易被误判为一次暴力破解。但如果我们有了完整的上下文信息，就会发现这只是内部运维人员在测试新系统，或者是某个员工忘了密码正在尝试不同组合。

再说漏判，我们曾处理过某次APT攻击，当时系统检测到财务部门工作站向境外IP地址发起了一次连接，单这一起事件，看起来比较正常，极易被漏掉。但当我们有了完整的上下文数据，就能构建出完整的攻击链条。原来三天前，这个工作站收到过钓鱼邮件，并通过在系统内植入恶意程序发起了这次境外访问，意图是拖走数据库。

第二、建反馈、强智能，重塑安全运营模式。

有一本书叫《系统之美》，建议大家有时间可以看看，书中指出了系统运行的关键机制——反馈回路。它好比人体的自我调节机制，是驱动复杂系统动态变化的关键，也是内生安全“自主、自适应、自成长”的根基所在。我之前常说，要让内生安全体系真正起效，关键靠运营，安全运营的本质，就是构建高效通畅、螺旋上升的反馈回路。从奇安信的实践看，高效的安全运营有三大支柱。

支柱一：准确灵敏的告警是对网络异常行为的反馈。

对安全厂商来说，最大的挑战是在海量多源、多维的数据中，精准挖出情报信息。无线通信领域的“反馈”依靠滤波器实现。滤波器就像个信号“筛子”，能精准筛出符合频率要求的信号，降低噪声，实现高质量通信。AI带来了网络安全领域自己的“滤波器”。2024年，奇安信开始将AI深度应用于威胁情报生产及运营的全过程，自动化、标准化的情报生产，既增强了威胁情报的获取广度和实时性，也提高了情报准确性、关联分析能力，为构建更敏捷的防御体系提供了核心支撑。

支柱二：及时的处置与响应是对安全告警的反馈。

告警产生后，就是和攻击者拼速度的时候。过去，我们通过安全编排与自动化响应(SOAR)来编写大量的剧本和任务，将手动执行的日常工作自动化、流程化。但SOAR存在剧本开发成本高、适应性低等局限。为此，我们尝试通过AI智能体进行自我学习、自动生成剧本，并根据不同的安全事件和紧急程度来推荐不同类型的剧本，大大提升了运营效率，让内生安全体系更高效、更智能。

支柱三：持续改进的安全产品是对反馈的反馈。

在攻防对抗持续升级的态势下，安全设备必须通过动态的能力提升，保持技术代差优势。以我们的AISOC为例，部署到客户现场后，在分析师不断的运营与强化反馈下，AISOC的研判率、准确率不断提升。最近一次，连续2周的攻防演练中，每天1500条告警里， AISOC的研判率和准确率同时达到了99%，告警自动化处置率达到70%以上，帮助客户大幅缩短了威胁的发现和处置时间。

第三，设总师、兜底线，重塑生态合作模式。

这几年，很多政企机构负责人和我探讨，要怎样以最小变动，打通现有安全建设的“任督二脉”。我感觉到，大家对统筹安全能力的诉求非常急切。面对“万家造”的困局，他们想要的不是推倒重来；面对不断涌现的新场景，他们想要构建的也绝不再是老一套的“僵尸体系”。客户真正需要的是“一子落而满盘活”，是为失落多时的体系添上“画龙点睛”的关键一笔。

这关键一笔，在于“安全体系总设计师”的角色构建，这也是盘活全局最事半功倍的破局点。为复杂巨系统构建有机统一的安全体系，其难度远超单一产品和项目的实施。客户要基于自身现状，遵循“先来后到”或者“以小服大”原则，确定一个“安全体系总设计师”。“安全总师”就好比一个安全兜底组长，核心使命是把“万家造”的设备、平台、能力、中心统筹纳管，将不同厂商分散的安全力量拧成一股绳。最终，构建起客户所亟需的、真正有效的、纵深防御的统一安全体系，从容应对未来的安全挑战。

当前，时代催化网络安全从分散走向聚合、从低效走向高效。网络安全的未来是星辰大海，体系建设永无止境。单独航行只能做大海中的几叶扁舟，任何人都难以抵达安全的彼岸。

奇安信作为网络安全头部企业，始终秉持着共生、共荣、共赢的生态合作理念，希望与各界同仁一道推动体系重塑，编织出一张适配时代要求的安全防护网，重燃网络安全产业的力量，打赢这场安全突围之战！

---