1月3日，主题为“情报内生，聚合应变”的奇智威胁情报峰会在北京举行，奇安信总裁吴云坤发表了题为《内生安全与威胁情报体系构建》的主题演讲，基于奇安信内生安全和威胁情报体系构建的大量实践，提出情报内生是内生安全的最佳实践。

　　奇安信集团总裁 吴云坤

　　信息化系统需要内生安全保障

　　随着云计算、大数据、物联网等新一代信息技术的加速发展和普及应用，国家、经济、社会与网络空间深度融合，伴随着政企机构的信息化环境的改变，网络安全威胁也发生了很大变化，外部攻击与内部威胁相互交织，组织化的网络攻击成为常态化。

　　由于没有规划、缺少运行、投入不足等原因，过去的安全防护和运行体系留下了很多的坑，奇安信在2019年参与的超百场实网攻防演习中发现，面对组织化的网络攻击手段，没有打不透的“墙”。吴云坤认为，信息化系统需要内生安全体系保障，在三同步(同步规划、同步建设和同步运行)机制保障下，通过技术聚合、人员聚合和数据聚合，建立信息化系统的内生安全体系。

　　内生安全和威胁情报体系构建

　　吴云坤称，内生安全的实现首先要“关口前移，规划先行”，从信息化视角，与信息化系统同步规划安全体系。

　　信息化与安全的同步规划正在逐步形成行业共识，从2018年开始，奇安信已经参与了数十个部委、重要行业、大型企业、金融机构和区域政府的信息化系统的改造和建设中的安全规划。通过规划，首先实现安全组件与信息化层次的深度结合和全面覆盖;其次将安全架构思想融入组织战略，解决各层级、各业务口对网络安全理解不一致的问题。

　　“要把规划落地到建设实现”，吴云坤称，需要基于数据驱动安全理念，按照叠加演进原则，建立起能力导向的网络安全体系，作为积极防御的关键，威胁情报在网络安全体系的建设中发挥着重要作用。”

　　数据驱动安全的初期是利用互联网数据生成威胁情报，提升威胁检测和响应效率;而在内生安全时代，数据驱动安全需要全面利用内部信息化和业务数据，与信息化系统深度结合、全面覆盖，而威胁情报从生产、应用到运行的全流程都要与信息化结合。

　　吴云坤认为，威胁情报驱动的威胁运营是一个运行闭环，威胁情报从生产、应用到运行要在政企机构落地，不能仅依赖于外部的IOC情报数据，更需要“嵌入”内部的信息化和业务系统和流程中，并作用于积极防御，建立自身的情报生产和消费能力，挖掘出潜在和未知威胁，并及时有效的弥补防御弱点，这个过程就是情报内生。

　　情报内生一定是内生安全的最佳实现，尤其关键基础设施单位和组织，针对他们的高级威胁攻击目标选择有高度的定向性，互联网上能看到攻击载荷的概率很低，更需要通过在内部信息化和业务系统上构建威胁情报能力来生产与自身密切相关的情报，安全企业可以向这些单位和组织输出平台、流程、人和数据能力。