從1986年世界上第一個流行計算機病毒C-Brain的誕生算起，信息安全發展已經走過了30個年頭。其間，無論是安全威脅還是ICT技術應用都發生了巨大的變化。

從終端訪問互聯網的隨機病毒感染，到基于網絡以及WEB弱點而主動發起的網絡攻擊，再到近來利用零日漏洞的有針對性的APT滲透，可以說黑客攻擊手段趨于高級化、智能化，目標性更強。與此同時，經濟全球化、競爭加劇以及專業分工協作，ICT發展從單機時代，到互聯網時代，再到如今以BYOD、物聯網、云計算、大數據為特征的全聯接時代，企業和組織正在使用更加敏捷開放的系統，從而提高效率、開拓創新、增加生產力。而這也造成了一些新的漏洞和安全隱患，當今的攻擊旨在利用我們高度互聯的ICT基礎架構的弱點。

威脅在變，ICT環境在變，面對如此嚴峻的形勢，信息安全如何應對?本文從技術方案角度給出在新的威脅趨勢、ICT環境下，信息安全防護應該采取的變革舉措。

“腳踏兩張網”的安全防護

基于邊界的防護模型由來已久。在過去，我們的企業網絡都是有明確的物理邊界的，主要是互聯網邊界以及內網PC終端邊界。物理邊界內相對比較可控，只要在這兩類邊界設卡監控，做好攻擊以及泄密防護，企業網絡的安全就有了基本的保障。

BYOD的引入打破了這個局面，移動設備既能夠訪問內網又能脫離內網自由訪問互聯網，導致原來的內網物理邊界蕩然無存。這種“腳踏兩張網”的特點會帶來兩個安全問題：一個是泄密，企業數據通過BYOD終端暴露在互聯網上，很容易泄漏;一個是攻擊，BYOD在公司外無安全保障的互聯網環境里遭到感染的幾率很高，當BYOD接入內網時，這些威脅很容易被帶入內網發起攻擊。問題的核心是，由于沒有明確的邊界以及歸屬，無法用基于邊界防護的思想來解決BYOD安全問題。

對于BYOD的防泄密，業界主要采用安全沙箱技術，本質上是一種基于邏輯邊界的隔離技術。通過這種技術，在BYOD終端設備上創建獨立的安全存儲區，保證企業應用數據封閉隔離，而個人互聯網應用是無法訪問到的。通過與企業后端系統建立應用專屬VPN，數據直接在本地應用層開始加密，防止本地網絡層竊取，同時防止不安全的互聯網環境的通信竊聽。

對于BYOD的防攻擊，大家可能會想到在園區網絡的接入邊界點做防護。由于BYOD的移動性，在園區內網隨地接入，引入內網的威脅路徑并不固定，而企業不可能在每個接入點都部署安全設施，復雜性和設備成本都是難以承受的。其實這還是深受基于邊界防護思想的影響。當前一個針對性的解決方案就是基于網絡構建安全資源池，將不安全的終端或用戶流量引入進行安全清洗。通過安全資源池化，安全設備的部署不受物理邊界限制，按需靈活調用安全能力，同時也提高了安全資源利用率。事實上，這種方案不僅適用于BYOD場景，對于不安全的訪客、啞終端、物聯終端等難以基于邊界防護的場景都能做到很好的防護。

基于大數據的全網安全協同

現在我們的網絡里已經部署了多“兵種”安全設施，像防火墻、入侵檢測、防毒墻、流量監控、日志審計系統等等。但每一種只能在各自的領域發揮作用，解決單點問題，而且這些傳統檢測技術往往基于靜態簽名，只能識別已知攻擊特征，對付APT這種利用零日漏洞、逃逸檢測、動態持續性的高級未知威脅已經顯得力不從心。事實上，在近來全球發生的重大信息安全事件中，多數都具備APT的特征，如著名的Google極光攻擊泄漏、席卷工業界的Stuxnet震網攻擊、RSA SecureID竊取攻擊等。魔高一尺，如何道高一丈?

面對高級威脅，必須采取高級防御措施。沙箱檢測與大數據分析技術已經被證明是對付高級威脅的有效手段。這方面，一些先進的安全廠商已經走在了前列。從大部分APT攻擊序列看，往往需要終端主動或被動下載惡意文件，APT檢測沙箱是一種模擬終端環境的文件惡意行為分析技術。當然檢測效果如何，關鍵還是看沙箱能模擬的操作系統、瀏覽器、文件系統、文件類型的豐富性以及惡意行為特征的質量。而隨著大數據分析技術的逐漸成熟，通過感知威脅情報、日志、事件、網絡流等全情境的安全信息，進行大數據的建模與整合分析來發現異常行為也被一些企業嘗鮮采用。它的獨到之處是幾乎能看到網絡中所有發生的行為，基于正常模型以及離散行為關聯分析來從中尋找異常的蛛絲馬跡。需要說明的是，這種技術不僅有助于發現APT，還可以識別其它一些泄密、離散的惡意行為。

至此，我們通過整合全網的安全信息，找到了識別APT等高級威脅的方法。但是如何阻止這些高級威脅呢?具有流量制動能力的往往是網絡中的關鍵節點，比如終端、網絡設備、安全設備。這就需要大數據安全平臺能夠與這些控制點進行聯動，通過告知控制點惡意行為的用戶信息或者流量特征，由控制點來進行阻斷或者隔離防護。如此，通過基于大數據的全網安全協防，才能有效識別并抵御高級威脅。

安全工程師的春天，運維部署簡化

安全固有的復雜性，使得安全管理和運維對專業性要求很高。全聯接時代，無論是終端類型、接入方式、用戶角色都是多種多樣，接入場景愈發復雜，加上不同接入設備的配置風格不一，使得基于IP/VLAN接入控制策略變得異常復雜;對于網絡中主打的安全設施下一代防火墻，為了做到精細化的控制，從由IP、端口、協議的四層配置，增加到用戶、應用、內容、威脅、位置的七層配置，隨之而來的管理維度和復雜度也大為增加。另一方面，大數據時代海量日志事件的淹沒以及安全的不可見，導致安全危機處理決策支撐不足，管理者難以進行快速準確的研判，運維人員無法準確識別真正的高危安全事件并及時響應。現實情況下，企業的安全團隊人員往往還編制不足，靠人工手動機械的部署運維根本力不從心，這就要求安全部署和運維能夠盡量自動化，簡化安全。

對于策略部署，采用智能化的策略組件是一個解決之道。管理員只要將接入源組和訪問目的組定義好，并設定他們之間的安全策略，系統會自動翻譯并下發到各個接入設備;通過預置的模板以及流量學習自動調整優化策略，可以輕松駕馭下一代防火墻。這種智能化的安全策略，將管理員配置工作由數小時/數天降到分鐘級，大大簡化安全部署。

對于安全運維，可以通過態勢感知和可視化來提高管理和運維效率。安全監控平臺通過全網日志事件采集、上下文感知和自動分析計算評估，宏觀上全面、準確地呈現全網安全狀況，支撐管理者決策;微觀上呈現APT攻擊、數據泄漏等關鍵安全事件，并融合資產環境信息，冒泡高優先級安全事件，加速運維人員響應速度。

結束語

不管信息安全怎么演進和改變，我們的初心不變，那就是：安全要促進業務、為業務服務，而不應成為前進道路上的絆腳石。而所有這些變革也正是為了達成一個使命：讓安全更敏捷地為業務服務。