安全防护新思维|新思维教育

　　在过去的十年间，作为一种无处不在的通信方式，互联网已经成为人们高度依赖的工具，而网民的活动内容也早已经从单纯的网页浏览转变为登录社交网络、进行网上交易、网上办公等各式各样的内容，新型的应用层出不穷。数字内容总量飙升、带宽成倍增长等现象也随之而来，与此同时，移动设备和应用程序不断增加，各个机构也开放了自己的基础设施，得到了很高的生产力……
　　然而更重要的是，当我们的工作、学习和生活都高度依赖互联网，黑客也在利用互联网的优势，对企业和消费者展开攻击。信息安全的形势越来越严峻：公共互联网信息安全形势不容乐观，政府信息系统、关键技术、IT基础设施面临前所未有的威胁。如何从法律、政策各方面积极采取应对措施，逐步改善信息安全状况，如何通过技术创新为网络空间构建起安全屏障，如何推出更加可靠的安全产品和解决方案，怎样的产品和服务才能满足用户的需求，如何更好地促进国际合作，共同推动信息安全产业的发展……这些信息安全领域关注的热点，在8月28日至29日举行的2012 RSA中国信息安全大会上，成为备受关注的话题，与会专家就这些问题进行了热烈的讨论。
　　企业IT突破三大边界
　　新世纪以来，企业IT的改变给安全带来极大挑战，当智能移动终端迅速崛起，当云计算开始“化云为雨”，当虚拟化技术在一些国家被高度应用，企业的IT部门却越来越倾向于在越来越多的无效网络边界进行安全防护工作。信息安全必须经历“涅槃”，才能重新让企业收获安全的IT基础设施和网络环境。
　　“IT的改变的确对信息安全造成很大挑战。”在2012 RSA中国信息安全大会上，赛门铁克中国区技术总监李刚认为，之所以给安全带来挑战，是因为当前的企业IT已经突破了三个边界：一是突破了应用的边界，因为云计算及IT的变化，使得应用开发的难度降低了，企业应用越来越多。二是服务的边界发生变化，企业所需的任何服务都可以通过第三方来提供，而云计算让服务的提供方式变得更加便捷，也使企业的边界不断拓展。三是企业内部IT资产的概念变得更加模糊，“现在很多基础设施并不是你拥有的，你真正拥有的是信息和数据”。在李刚的眼里，应用、服务和资产边界的变化，使IT主管对安全产品的控制力减弱，企业暴露出的安全隐患越来越多。
　　赛门铁克公司发展经理Dave Elliott认为，企业对于云计算安全的认识存在七大误区，即忽视信息的价值、抵触云计算技术、盲目乐观和轻视基础设施建设、信息孤岛、缺乏顶层设计和技术积累、缺乏风险预见能力，以及缺乏混合云、安全法规和合规政策的应对策略。在他看来，云计算固然为企业描绘了一个美好的蓝图，但是目前企业距离成功应用云计算还很远。
　　的确，很多企业还没有真正认识到网络威胁的严重性，并没有对云计算、虚拟化和移动互联网带来的安全问题有全面的、足够的了解，没有全面认识到风险的存在。但就在企业的CIO或CSO（首席信息安全官）还没有觉醒时，网络攻击却已经发生变化。现在，黑客更倾向于长时间潜伏在企业的网络内部，广泛收集企业和个人的信息，以最大限度地获取利益。在2012 RSA中国信息安全大会进行主题演讲时，EMC执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛介绍了一种新型的攻击技术——“水坑”，它专门针对那些存在安全隐患的涉及公共服务、政府、金融机构和学校的网站，将其作为自己的垫脚石，去攻击最终的目标。当木马被注入这些网站，用户在进行合法访问时，也将感染这些木马，“黑客就像是在水坑边上等待来饮水的动物的实质一样，等待被攻击对象的访问”。“水坑”不容易对付，要击败这类攻击，企业需要具备利用最新、最先进的检测能力，不仅是简单地检查每个数据包的流量和每个相关的日志文件，而且要明白这些数据背后的意义所在。
　　尽管“水坑”只是黑客攻击的众多工具中之一，但管中窥豹，我们可以看到信息安全的风险无处不在，黑客可能潜藏在网络的每个角落，随时准备对企业发起攻击。而这些攻击往往难以预测，大多数企业只能亡羊补牢，做事后诸葛，而在事前防范、事中检测和应急响应的阶段几乎没有作为。
　　基于智能的信息安全模式
　　当传统的防御方法开始逐渐失效，企业的安全防护也需要更加智慧的思路，能够洞察风险并及时有效地响应。
　　在本次大会上，亚瑟·科洛维给出了更加智慧地应对威胁的四点建议：致力于智能驱动型的信息安全建设，最佳的防御是分层防御，找到合适的安全专业人才和合作共赢。亚瑟·科洛维认为，在应对风险上，企业首先需要一个更加智能的网络安全模型。“这是一个以智能为基础并且囊括许多组成部分的安全体系，对风险具有透彻的理解。该模型以技术为导向，利用基于模式识别和预测分析的灵活控制以及大数据分析，来解析从多种来源得到的数据，从而及时获取有价值的信息。因此，该模型需要具备相关技能的专业人员，并且需要大规模的信息共享。”
　　要致力于智能驱动型信息安全，企业必须同时进行自内而外和自外而内地风险评估，从脆弱性、可能性和重要性等方面综合考虑风险问题。亚瑟·科洛维认为：“不只是考虑你需要保护什么，更重要的是考虑你的对手会如何出现在你面前。为了符合成本效益，我们需要从脆弱性、可能性和重要性等方面来看待风险。”以基于这种方式得出的信息为基础，企业需要重新评估对安全的预算，并平衡安全预算支出的优先顺序，“对于那些无效的技术，企业应该缩减投资”。
　　当前，企业将安全防范的重点仍然放在防火墙、IPS/IDS上。但这些防范措施已经难以应对恶意网络、DDoS攻击、APT攻击等更高级的攻击。为此，杭州安恒信息技术有限公司（简称安恒信息）高级项目经理郑赳认为，随着企业数据量的迅速增加，企业需要将重点放在安全评估和审计上，重视企业运行状况的监测及其可视化，“建立合理的日志审计模型，利用大数据分析技术，及时发现违规行为。”这与亚瑟·科洛维的观点不谋而合。在亚瑟·科洛维看来，最佳的防御是分层防御。而分层防御的重点必须放在控制能力上，安全解决方案必须具备情景识别、深度可视性和环境敏捷性等特征，才能找出威胁，并且击败那些复杂的攻击，同时对恶意网络起到震慑作用。安恒信息今年7月推出的数据库审计防统方专版，就是这一理念的实践。该系统是针对医疗行业统方工具的应用特点，专门针对医疗腐败推出的安全审计工具，能够有效检测出非法篡改统方数据的行为，并且及时查找出非法操作的账号。