引言： 在信息化快速發(fā)展的時代，網(wǎng)絡(luò)的攻擊形式以及攻擊手段都發(fā)生了極大的變化，風險流量變得異常的多樣化和隱蔽化。網(wǎng)絡(luò)空間的廣度和深度不斷拓展、安全對抗日趨激烈，傳統(tǒng)的安全思維模式和安全技術(shù)已經(jīng)無法有效滿足企業(yè)安全防護的需要，企業(yè)信息化建設(shè)也在發(fā)生著極大的轉(zhuǎn)變，由傳統(tǒng)的防護手段向新型的防護和檢測轉(zhuǎn)型。

背景

隨著信息化建設(shè)的不斷普及和發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為人類生存活動的第五空間，在網(wǎng)絡(luò)空間領(lǐng)域，網(wǎng)絡(luò)安全顯得尤為重要。隨著業(yè)務(wù)系統(tǒng)應(yīng)用功能和范圍的發(fā)展，系統(tǒng)通過互聯(lián)網(wǎng)進行安全數(shù)據(jù)交互需求也越來越迫切，企業(yè)非常重視整個信息化的建設(shè)，從整體的框架設(shè)計，數(shù)據(jù)的安全交互，系統(tǒng)的可靠運營等多個維度來加快整個企業(yè)信息化建設(shè)安全、穩(wěn)定、高效的發(fā)展。

網(wǎng)絡(luò)安全風險新形勢

在信息化建設(shè)的過程當中，信息部門及時了解網(wǎng)絡(luò)空間尤其是網(wǎng)絡(luò)安全的變化和發(fā)展，在信息化快速發(fā)展的時代，網(wǎng)絡(luò)的攻擊形式以及攻擊手段都發(fā)生了極大的變化，風險流量變得異常的多樣化和隱蔽化。網(wǎng)絡(luò)空間的廣度和深度不斷拓展、安全對抗日趨激烈，傳統(tǒng)的安全思維模式和安全技術(shù)已經(jīng)無法有效滿足企業(yè)安全防護的需要，企業(yè)信息化建設(shè)也在發(fā)生著極大的轉(zhuǎn)變，由傳統(tǒng)的防護手段向新型的防護和檢測轉(zhuǎn)型。同時網(wǎng)絡(luò)環(huán)境也在發(fā)生著巨大的改變，網(wǎng)絡(luò)由原來的有線網(wǎng)向無線的延伸，提供便捷性的同時，內(nèi)部數(shù)據(jù)的無線接入，給業(yè)務(wù)系統(tǒng)帶來了風險；用戶終端由原來的固定的內(nèi)網(wǎng)終端向移動終端的轉(zhuǎn)型；用戶身份的偽裝；攻擊類型的多樣化、攻擊目標的轉(zhuǎn)移化、黑產(chǎn)利益的普遍化等，這些網(wǎng)絡(luò)環(huán)境的更新和變化，使得在進行信息化安全建設(shè)和加固的同時，必須要做好新安全的了解和掌握；同時也需要更新防護意識和理念，能夠具備面對新的安全環(huán)境和新的安全理念的新的實踐方案。

企業(yè)面臨的安全新挑戰(zhàn)

網(wǎng)絡(luò)與信息安全領(lǐng)域正面臨著全新的挑戰(zhàn)。一方面，伴隨大數(shù)據(jù)和云計算時代的到來，安全問題正在變成一個大數(shù)據(jù)問題，企業(yè)網(wǎng)絡(luò)及信息系統(tǒng)每天都在產(chǎn)生大量的安全數(shù)據(jù)，并且產(chǎn)生的速度越來越快。另一方面，需要應(yīng)對的網(wǎng)絡(luò)空間安全攻擊和威脅變得日益復雜和嚴峻，具有隱蔽性強、潛伏期長、持續(xù)性強的特點。

基于網(wǎng)絡(luò)空間和網(wǎng)絡(luò)安全發(fā)展過程中的變化，網(wǎng)絡(luò)運維面對網(wǎng)絡(luò)安全的挑戰(zhàn)，傳統(tǒng)的安全技術(shù)難以應(yīng)對，會面臨或者即將面臨以下幾個方面的問題。

當前絕大多數(shù)安全分析工具和方法都是針對小量安全數(shù)據(jù)設(shè)計的，在面對大量安全數(shù)據(jù)時難以為繼。新的攻擊手段層出不窮，需要檢測的數(shù)據(jù)越來越多，現(xiàn)有的分析技術(shù)不堪重負。

傳統(tǒng)的分析方法大都采用基于規(guī)則和特征的分析引擎，必須要有規(guī)則庫和特征庫才能工作，而規(guī)則和特征只能對已知的攻擊和威脅進行描述，無法識別未知的攻擊，或者是尚未被描述成規(guī)則的攻擊和威脅。因此需要加大對于未知威脅和新興威脅的識別和防護。

企業(yè)應(yīng)對網(wǎng)絡(luò)安全風險的新思路

在這種情況下，需要對傳統(tǒng)安全防護體系進行重新思考。其中，Gartner提出了自適應(yīng)安全架構(gòu)的新理念，并給出建議：

1.傳統(tǒng)的“事件響應(yīng)”的安全思想要轉(zhuǎn)變?yōu)椤俺掷m(xù)響應(yīng)”，系統(tǒng)要假定已經(jīng)被入侵，并且需要持續(xù)地監(jiān)測與修復。

2.采用一種自適應(yīng)的安全架構(gòu)來防御高級威脅。

3.不再沉迷于阻斷，而更多地關(guān)注檢測、響應(yīng)和預(yù)測能力。

4.將來自各供應(yīng)商的網(wǎng)絡(luò)、終端和應(yīng)用安全防護平臺通過情境感知關(guān)聯(lián)起來，提供集成的預(yù)測、阻止、檢測和響應(yīng)能力;

5.安全運營中心(要支持持續(xù)監(jiān)測，并能夠支撐起持續(xù)地威脅防御過程;

6.要對IT環(huán)境構(gòu)建一個全面的，持續(xù)監(jiān)測的、多維度、全層次的架構(gòu)，涵蓋從網(wǎng)絡(luò)包、流、操作系統(tǒng)活動、內(nèi)容、用戶行為到應(yīng)用交易的所有IT層次。

Gartner認為，個體或單個組織的防護正在向情報驅(qū)動的信息共享、集體協(xié)作模式轉(zhuǎn)變。

在當前網(wǎng)絡(luò)攻防對抗的形勢下，企業(yè)網(wǎng)絡(luò)安全防護體系和思路也需要進行改變。從消被動護轉(zhuǎn)變?yōu)橹鲃臃雷o、甚至是自適應(yīng)性防護，要從單純的防御轉(zhuǎn)向積極對抗，要從獨立防御向協(xié)同防御體系邁進。安全需要知己，還需要知彼。同時隨著0DAY漏洞、APT攻擊以及社工的不斷衍生，除了做好網(wǎng)絡(luò)安全防護工作的同時，也需要向持續(xù)檢測進行轉(zhuǎn)移，如果網(wǎng)絡(luò)防護一旦被突破，需要做好風險流量的持續(xù)檢測和快速響應(yīng)，在盡可能短的時間內(nèi)，發(fā)現(xiàn)風險流量，識別風險流量，并且能夠快速的阻斷風險流量，并且能夠檢測風險流量是否已經(jīng)發(fā)生漂移和感染，能夠快速的進行網(wǎng)絡(luò)終端節(jié)點的風險檢測。

總結(jié)

我國的網(wǎng)絡(luò)安全觀為：網(wǎng)絡(luò)安全是整體的而不是割裂的、網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的、網(wǎng)絡(luò)安全是開放的而不是封閉的、網(wǎng)絡(luò)安全是相對的而不是絕對的、網(wǎng)絡(luò)安全是共同的而不是孤立的。因此面對網(wǎng)絡(luò)空間的和網(wǎng)絡(luò)安全的不斷變化，需要及時的了解和掌握目前網(wǎng)絡(luò)空間領(lǐng)域的攻擊動態(tài)，包括攻擊形式、攻擊方式、攻擊目標等，同時做好網(wǎng)絡(luò)風險的安全運行而不僅僅停留在網(wǎng)絡(luò)運維的角度，做好安全防護的同時，也能夠具備未知威脅和新型威脅的識別和防護，做好持續(xù)的檢測和快速響應(yīng)，提升信息化的安全運維能力，確保企業(yè)業(yè)務(wù)平臺能夠更加安全、更加快速、更加穩(wěn)定的進行數(shù)據(jù)交互。