兴业数金应用风险防范新思路：以内生安全实现信息系统自我免疫

　　随着信息技术的不断发展，新技术的应用与变化对信息安全工作提出了新的挑战，现有的围墙式安全已不再适应新的安全威胁形势。围墙式安全的边界一旦被突破，内部系统就会完全沦陷;规则库更新缓慢，使围墙形同虚设;不同的围墙相互孤立，形成信息孤岛。围墙式安全的局限性，使企业在数字化环境中面临巨大挑战。为了弥补围墙式安全的“盲区”，新的安全思路内生安全应时而生。

　　内生安全是在信息化环境内部建设安全能力，使生产系统、业务系统具备一定的免疫能力，而不是完全依赖于边界的围墙式保护。内生安全强调信息系统自身的安全能力，在纵深防御体系的基础上，通过信息系统安全能力建设和运营，实现信息系统自我免疫。

　　内生安全的落地实现需要保障执行“三同步”原则，即信息化建设过程中必须同步规划、同步建设、同步运营网络安全。将网络安全工作贯穿信息系统的规划、建设、运营的全生命周期，使网络安全与信息系统深度绑定，才能真正实现具有免疫力的内生安全系统。

1、同步规划

　　同步规划指在信息系统的设计规划中，充分考虑安全需求，包括内在安全功能和外在安全系统，确保安全成为信息系统的有机组成。通过与信息系统同步规划安全体系，实现安全与信息系统的深度结合和全面覆盖，安全能力适配信息系统的安全等级。

2、同步建设

　　同步建设强调在信息系统建设时充分考虑引入并融合安全能力。既要积极建设外在安全基础设施，如防火墙、入侵检测等网络安全产品，又要开展信息系统内在安全机制的建设，如访问控制、权限管控、操作审计等。在信息系统发生变更时，需要评估安全能力是否满足变更后信息系统的安全需求，未能满足的应同步变更、建设安全能力。

3、同步运营

　　同步运营要求网络安全能力在信息系统运行时保持有效输出。网络安全工作应抛弃“买了设备就安全”的思想，通过制度政策、人员、技术、运营等形成完整的安全体系，对接应用系统运营中所有与安全相关的环节，执行常态化安全工作机制，摒弃零散化工作模式。