内生安全框架

组件1、网络安全能力体系

内生安全能力体系是保障政企机构数字化业务所必需的网络安全能力的集合。框架中网络安全能力体系是结合国内外安全领域规范标准、最佳实践、新安全技术研究以及威胁框架，枚举出保障政企机构数字化业务安全运行所需的能力集合。借鉴网络安全“滑动标尺”模型对安全能力分类，结合中国政企机构信息化普遍存在的安全领域，规划设计形成了叠加演进的网络安全能力体系。

组件2：规划方法论与工具体系

政企机构可采用框架中的安全规划方法论指导开展自身网络安全工作，使用网络安全规划工具开展访谈、调研、路线设计工作。将网络安全、系统工程、项目管理、服务管理等理论融入网络安全规划方法中，合理使用安全规划工具，确保政企能以完整、严谨、科学的方式将安全专业知识应用于规划建设全周期，使规划出的项目（工程和任务）适合政企机构。

新一代企业网络安全框架的规划方法论，将规划过程划分为五步，分别是：现状分析、规划安全战略、展望目标安全体系、项目规划与路线图设计、可研与立项。其优点表现为：

组件3：组件化安全能力框架

组件化安全能力框架是将网络安全能力映射成为可执行、可建设的网络安全能力组件的重要工具。使用该框架将保障数字化业务所必需的安全能力映射到安全能力组件。安全能力组件是安全能力的实现载体，包括安全机制、技术手段、安全系统、安全管理制度、安全责任等内容。

如下图所示，通过组件化网络安全能力框架，呈现出安全能力在信息化不同层次的安全控制方式，充分反映了安全能力深度结合的思想。

组件4：建设实施项目库

新一代网络安全框架使用能力导向的EA方法论，将政企的动态综合网络安全防御体系作为一个整体进行设计，并识别出了十五个构成子系统，进一步以系统工程方式将这十五个构成子系统也作为巨系统进行设计，面向这十五个子系统设计了项目规划纲要。项目规划纲要是项目库的核心，在规划的全周期，政企参考项目规划纲要进行可研、立项、招标、初步设计、概要设计、建设和运行，确保安全能力的完整性、体系性和可落地性，进而以可实现、一贯秉承的整体视角建设达成网络安全防御目标。

组件5：政企机构网络安全技术部署参考架构

它是描述安全技术能力目标状态的参考架构，以安全技术部署架构图的形式，全面表达了政企机构网络全景、信息化和网络安全的融合关系、以及安全全景，展示了网络安全技术部署的目标状态。政企机构在设计网络安全技术部署架构的过程中，以政企机构网络安全防御全景模型为工具，参考政企机构网络安全技术部署参考架构，结合自身信息化实际情况，对参考架构进行剪裁、适配，规划适合政企机构自己的网络安全技术部署架构。

展现了政企机构的整体网络布局；展现了政企机构信息化与安全的全面融合关系；展现了政企机构所必需的所有安全能力及其部署形态；发挥政企机构网络安全技术部署架构的作用。

组件6：政企机构网络安全运行体系参考架构

政企机构网络安全运行体系参考架构是描述安全运行体系的目标状态参考架构，以安全运行体系参考架构图的形式，全面展现了十大工程、五大任务建成之后，安全体系与信息化协同运行的目标状态。通过安全与信息化技术聚合、数据聚合、人才聚合，构建一体化的协同运行能力。