在上一篇《為什么說當前網絡安全已經進入了2.0時代?》的文章中,我們系統闡述了當前國內從傳統的信息安全時代,已經過渡到了網絡安全2.0時代。
從信息安全1.0時代跨入網絡安全2.0時代,傳統的信息安全被動防御體系已經無法適應當前形勢,以積極防御為標志的網絡安全新防御體系2.0時代已經來臨。
那么,網絡安全2.0新防御體系相對傳統安全體系有哪些思路上的轉變呢?下面筆者對此進行簡單的闡述。
一、網絡安全的內涵與外延已經發生了變化
在傳統的信息安全體系中,需要保護的對象通常以信息資產為主,信息安全建設從物理層、網絡層、系統層、應用層、數據層依次部署防護措施,安全防護措施分為身份認證、訪問控制、內容安全、監控審計、備份恢復五大類,這也是我們通常所講的“五橫五縱”安全技術體系。
在信息安全技術體系建設的基礎上,逐步擴展融入信息安全組織體系、管理體系、運行體系,從而形成綜合的信息安全保障體系。在個成熟度較高的機構中,還會進一步將信息安全保障體系與信息科技風險管理體系進行融合,在信息安全保障的基礎上提升IT風險管控能力。
以信息資產保護、IT風險管控為主的體系建設,其理念在相當長的一段時間里是非常先進的,並且對於各類組織是行之有效的。然而,在新技術、新應用層出不窮的今天,網絡安全已經擴展了物聯網安全(IoT Security)、數字安全(Digital Security)等內容;同時,業務欺詐、供應鏈等風險也信息安全有着千絲萬縷的關系。當前的網絡安全是大安全的概念,安全防護要在IT基礎設施、信息安全的基礎上,擴展到全方位的網絡空間安全防護。
二、“業務+數據定義安全”成為2.0時代安全建設核心理念
在傳統的業務模式下,信息技術(IT)只是作為業務的一種支撐工具,來提高業務運營效果與運轉效率。然而在“科技引領業務”的互聯網時代,信息科技與業務已經融合在一起,很難再將其二者很清晰的區分開來。
同時,未來所有的業務模式將變成“在雲端用人工智能處理大數據”,“數據”越來越成為組織機構賴以生存的核心競爭力。在數據的融合與共享的過程中,如何處理好數據的安全性問題,已經變成了當前社會共同探討的話題。
很長一段時間以來,“業務不能停、數據不能丟”是所有安全工作的終極目標,然而如果只是在信息科技(IT)層面來去保障,這個響當當的安全口號喊得再響亮,也只能算是掩耳盜鈴而已。如何才能真正做到業務不能停、數據不能丟?答案是將業務安全、應用安全、數據安全與基礎設施安全防護進行統一籌划。
三、2.0時代網絡安全防御思路方法已經有了重大升級
傳統的安全建設主要基於邊界、規則、策略為主的靜態防御,而將安全檢測與事件響應作為輔助手段。但依據目前的安全形勢來看,被動的安全防守是終究防不住的。
因此,最新的自適應安全框架強調在傳統的安全防御的基礎上,強調持續的進行基於異常的安全動態檢測與響應,並在此基礎上做到安全風險事件的預測。
綜合來看,網絡安全2.0防御重點是數據驅動安全、安全異常深度檢測、安全風險事件精准預測與態勢感知,並依托於這些進行安全能力的建設,最終達到安全的可視、可管、可控。
四、2.0時代網絡安全建設目標不再只考慮合規要求
傳統安全體系基本特征是是充分考慮了信息安全的各層面的控制,並使之成為一個系統化的整體,不過其不足是面面俱到而不深入,正所謂“一英里寬,一英寸深”。在傳統信息安全體系之上,是否還有其它的更高安全成熟度目標呢?答案是肯定的。還包括以“積極防御”為特征的主動性防御階段、在主動防御階段之上還有情報階段、進攻階段。
由此可見,在網絡安全2.0時代,“被動防御”已經不能滿足組織安全建設的目標,而只能算是安全工作的一條基本線而已。所有組織機構需要在滿足安全“被動防御”的基礎上,考慮源於業務本身需求的網絡安全“主動防御”建設需求。
五、總結
在網絡2.0時代,傳統的以“被動防御”為基礎的傳統信息安全體系,將會過升級到網絡安全2.0時代主動防御體系,所有組織機構的安全建設的重點也將從傳統建設,過渡到滿足自身網絡安全需求的新防御體系。
網絡安全2.0時代,主動防御體系如何有效的落地,是未來每個安全管理人員需要重點考慮的內容。