在上一篇《为什么说当前网络安全已经进入了2.0时代?》的文章中,我们系统阐述了当前国内从传统的信息安全时代,已经过渡到了网络安全2.0时代。
从信息安全1.0时代跨入网络安全2.0时代,传统的信息安全被动防御体系已经无法适应当前形势,以积极防御为标志的网络安全新防御体系2.0时代已经来临。
那么,网络安全2.0新防御体系相对传统安全体系有哪些思路上的转变呢?下面笔者对此进行简单的阐述。
一、网络安全的内涵与外延已经发生了变化
在传统的信息安全体系中,需要保护的对象通常以信息资产为主,信息安全建设从物理层、网络层、系统层、应用层、数据层依次部署防护措施,安全防护措施分为身份认证、访问控制、内容安全、监控审计、备份恢复五大类,这也是我们通常所讲的“五横五纵”安全技术体系。
在信息安全技术体系建设的基础上,逐步扩展融入信息安全组织体系、管理体系、运行体系,从而形成综合的信息安全保障体系。在个成熟度较高的机构中,还会进一步将信息安全保障体系与信息科技风险管理体系进行融合,在信息安全保障的基础上提升IT风险管控能力。
以信息资产保护、IT风险管控为主的体系建设,其理念在相当长的一段时间里是非常先进的,并且对于各类组织是行之有效的。然而,在新技术、新应用层出不穷的今天,网络安全已经扩展了物联网安全(IoT Security)、数字安全(Digital Security)等内容;同时,业务欺诈、供应链等风险也信息安全有着千丝万缕的关系。当前的网络安全是大安全的概念,安全防护要在IT基础设施、信息安全的基础上,扩展到全方位的网络空间安全防护。
二、“业务+数据定义安全”成为2.0时代安全建设核心理念
在传统的业务模式下,信息技术(IT)只是作为业务的一种支撑工具,来提高业务运营效果与运转效率。然而在“科技引领业务”的互联网时代,信息科技与业务已经融合在一起,很难再将其二者很清晰的区分开来。
同时,未来所有的业务模式将变成“在云端用人工智能处理大数据”,“数据”越来越成为组织机构赖以生存的核心竞争力。在数据的融合与共享的过程中,如何处理好数据的安全性问题,已经变成了当前社会共同探讨的话题。
很长一段时间以来,“业务不能停、数据不能丢”是所有安全工作的终极目标,然而如果只是在信息科技(IT)层面来去保障,这个响当当的安全口号喊得再响亮,也只能算是掩耳盗铃而已。如何才能真正做到业务不能停、数据不能丢?答案是将业务安全、应用安全、数据安全与基础设施安全防护进行统一筹划。
三、2.0时代网络安全防御思路方法已经有了重大升级
传统的安全建设主要基于边界、规则、策略为主的静态防御,而将安全检测与事件响应作为辅助手段。但依据目前的安全形势来看,被动的安全防守是终究防不住的。
因此,最新的自适应安全框架强调在传统的安全防御的基础上,强调持续的进行基于异常的安全动态检测与响应,并在此基础上做到安全风险事件的预测。
综合来看,网络安全2.0防御重点是数据驱动安全、安全异常深度检测、安全风险事件精准预测与态势感知,并依托于这些进行安全能力的建设,最终达到安全的可视、可管、可控。
四、2.0时代网络安全建设目标不再只考虑合规要求
传统安全体系基本特征是是充分考虑了信息安全的各层面的控制,并使之成为一个系统化的整体,不过其不足是面面俱到而不深入,正所谓“一英里宽,一英寸深”。在传统信息安全体系之上,是否还有其它的更高安全成熟度目标呢?答案是肯定的。还包括以“积极防御”为特征的主动性防御阶段、在主动防御阶段之上还有情报阶段、进攻阶段。
由此可见,在网络安全2.0时代,“被动防御”已经不能满足组织安全建设的目标,而只能算是安全工作的一条基本线而已。所有组织机构需要在满足安全“被动防御”的基础上,考虑源于业务本身需求的网络安全“主动防御”建设需求。
五、总结
在网络2.0时代,传统的以“被动防御”为基础的传统信息安全体系,将会过升级到网络安全2.0时代主动防御体系,所有组织机构的安全建设的重点也将从传统建设,过渡到满足自身网络安全需求的新防御体系。
网络安全2.0时代,主动防御体系如何有效的落地,是未来每个安全管理人员需要重点考虑的内容。