從1986年世界上第一個流行計算機病毒C-Brain的誕生算起，信息安全發(fā)展已經走過了30個年頭。其間，無論是安全威脅還是ICT技術應用都發(fā)生了巨大的變化。

從終端訪問互聯(lián)網的隨機病毒感染，到基于網絡以及WEB弱點而主動發(fā)起的網絡攻擊，再到近來利用零日漏洞的有針對性的APT滲透，可以說黑客攻擊手段趨于高級化、智能化，目標性更強。與此同時，經濟全球化、競爭加劇以及專業(yè)分工協(xié)作，ICT發(fā)展從單機時代，到互聯(lián)網時代，再到如今以BYOD、物聯(lián)網、云計算、大數(shù)據為特征的全聯(lián)接時代，企業(yè)和組織正在使用更加敏捷開放的系統(tǒng)，從而提高效率、開拓創(chuàng)新、增加生產力。而這也造成了一些新的漏洞和安全隱患，當今的攻擊旨在利用我們高度互聯(lián)的ICT基礎架構的弱點。

威脅在變，ICT環(huán)境在變，面對如此嚴峻的形勢，信息安全如何應對?本文從技術方案角度給出在新的威脅趨勢、ICT環(huán)境下，信息安全防護應該采取的變革舉措。

“腳踏兩張網”的安全防護

基于邊界的防護模型由來已久。在過去，我們的企業(yè)網絡都是有明確的物理邊界的，主要是互聯(lián)網邊界以及內網PC終端邊界。物理邊界內相對比較可控，只要在這兩類邊界設卡監(jiān)控，做好攻擊以及泄密防護，企業(yè)網絡的安全就有了基本的保障。

BYOD的引入打破了這個局面，移動設備既能夠訪問內網又能脫離內網自由訪問互聯(lián)網，導致原來的內網物理邊界蕩然無存。這種“腳踏兩張網”的特點會帶來兩個安全問題：一個是泄密，企業(yè)數(shù)據通過BYOD終端暴露在互聯(lián)網上，很容易泄漏;一個是攻擊，BYOD在公司外無安全保障的互聯(lián)網環(huán)境里遭到感染的幾率很高，當BYOD接入內網時，這些威脅很容易被帶入內網發(fā)起攻擊。問題的核心是，由于沒有明確的邊界以及歸屬，無法用基于邊界防護的思想來解決BYOD安全問題。

對于BYOD的防泄密，業(yè)界主要采用安全沙箱技術，本質上是一種基于邏輯邊界的隔離技術。通過這種技術，在BYOD終端設備上創(chuàng)建獨立的安全存儲區(qū)，保證企業(yè)應用數(shù)據封閉隔離，而個人互聯(lián)網應用是無法訪問到的。通過與企業(yè)后端系統(tǒng)建立應用專屬VPN，數(shù)據直接在本地應用層開始加密，防止本地網絡層竊取，同時防止不安全的互聯(lián)網環(huán)境的通信竊聽。

對于BYOD的防攻擊，大家可能會想到在園區(qū)網絡的接入邊界點做防護。由于BYOD的移動性，在園區(qū)內網隨地接入，引入內網的威脅路徑并不固定，而企業(yè)不可能在每個接入點都部署安全設施，復雜性和設備成本都是難以承受的。其實這還是深受基于邊界防護思想的影響。當前一個針對性的解決方案就是基于網絡構建安全資源池，將不安全的終端或用戶流量引入進行安全清洗。通過安全資源池化，安全設備的部署不受物理邊界限制，按需靈活調用安全能力，同時也提高了安全資源利用率。事實上，這種方案不僅適用于BYOD場景，對于不安全的訪客、啞終端、物聯(lián)終端等難以基于邊界防護的場景都能做到很好的防護。

基于大數(shù)據的全網安全協(xié)同

現(xiàn)在我們的網絡里已經部署了多“兵種”安全設施，像防火墻、入侵檢測、防毒墻、流量監(jiān)控、日志審計系統(tǒng)等等。但每一種只能在各自的領域發(fā)揮作用，解決單點問題，而且這些傳統(tǒng)檢測技術往往基于靜態(tài)簽名，只能識別已知攻擊特征，對付APT這種利用零日漏洞、逃逸檢測、動態(tài)持續(xù)性的高級未知威脅已經顯得力不從心。事實上，在近來全球發(fā)生的重大信息安全事件中，多數(shù)都具備APT的特征，如著名的Google極光攻擊泄漏、席卷工業(yè)界的Stuxnet震網攻擊、RSA SecureID竊取攻擊等。魔高一尺，如何道高一丈?

面對高級威脅，必須采取高級防御措施。沙箱檢測與大數(shù)據分析技術已經被證明是對付高級威脅的有效手段。這方面，一些先進的安全廠商已經走在了前列。從大部分APT攻擊序列看，往往需要終端主動或被動下載惡意文件，APT檢測沙箱是一種模擬終端環(huán)境的文件惡意行為分析技術。當然檢測效果如何，關鍵還是看沙箱能模擬的操作系統(tǒng)、瀏覽器、文件系統(tǒng)、文件類型的豐富性以及惡意行為特征的質量。而隨著大數(shù)據分析技術的逐漸成熟，通過感知威脅情報、日志、事件、網絡流等全情境的安全信息，進行大數(shù)據的建模與整合分析來發(fā)現(xiàn)異常行為也被一些企業(yè)嘗鮮采用。它的獨到之處是幾乎能看到網絡中所有發(fā)生的行為，基于正常模型以及離散行為關聯(lián)分析來從中尋找異常的蛛絲馬跡。需要說明的是，這種技術不僅有助于發(fā)現(xiàn)APT，還可以識別其它一些泄密、離散的惡意行為。

至此，我們通過整合全網的安全信息，找到了識別APT等高級威脅的方法。但是如何阻止這些高級威脅呢?具有流量制動能力的往往是網絡中的關鍵節(jié)點，比如終端、網絡設備、安全設備。這就需要大數(shù)據安全平臺能夠與這些控制點進行聯(lián)動，通過告知控制點惡意行為的用戶信息或者流量特征，由控制點來進行阻斷或者隔離防護。如此，通過基于大數(shù)據的全網安全協(xié)防，才能有效識別并抵御高級威脅。

安全工程師的春天，運維部署簡化

安全固有的復雜性，使得安全管理和運維對專業(yè)性要求很高。全聯(lián)接時代，無論是終端類型、接入方式、用戶角色都是多種多樣，接入場景愈發(fā)復雜，加上不同接入設備的配置風格不一，使得基于IP/VLAN接入控制策略變得異常復雜;對于網絡中主打的安全設施下一代防火墻，為了做到精細化的控制，從由IP、端口、協(xié)議的四層配置，增加到用戶、應用、內容、威脅、位置的七層配置，隨之而來的管理維度和復雜度也大為增加。另一方面，大數(shù)據時代海量日志事件的淹沒以及安全的不可見，導致安全危機處理決策支撐不足，管理者難以進行快速準確的研判，運維人員無法準確識別真正的高危安全事件并及時響應?，F(xiàn)實情況下，企業(yè)的安全團隊人員往往還編制不足，靠人工手動機械的部署運維根本力不從心，這就要求安全部署和運維能夠盡量自動化，簡化安全。

對于策略部署，采用智能化的策略組件是一個解決之道。管理員只要將接入源組和訪問目的組定義好，并設定他們之間的安全策略，系統(tǒng)會自動翻譯并下發(fā)到各個接入設備;通過預置的模板以及流量學習自動調整優(yōu)化策略，可以輕松駕馭下一代防火墻。這種智能化的安全策略，將管理員配置工作由數(shù)小時/數(shù)天降到分鐘級，大大簡化安全部署。

對于安全運維，可以通過態(tài)勢感知和可視化來提高管理和運維效率。安全監(jiān)控平臺通過全網日志事件采集、上下文感知和自動分析計算評估，宏觀上全面、準確地呈現(xiàn)全網安全狀況，支撐管理者決策;微觀上呈現(xiàn)APT攻擊、數(shù)據泄漏等關鍵安全事件，并融合資產環(huán)境信息，冒泡高優(yōu)先級安全事件，加速運維人員響應速度。

結束語

不管信息安全怎么演進和改變，我們的初心不變，那就是：安全要促進業(yè)務、為業(yè)務服務，而不應成為前進道路上的絆腳石。而所有這些變革也正是為了達成一個使命：讓安全更敏捷地為業(yè)務服務。