岑 嵐，王 軍

（中國移動集團安徽分公司，合肥 230000）

大多數信息安全審計方面會優(yōu)先集中在聚焦關鍵系統(tǒng)、關鍵業(yè)務操作、高價值信息，以及基于策略、規(guī)則的控制，將危險攔截在外。

然而，完美的防御是不可能的。高級定向攻擊總能輕而易舉地繞過傳統(tǒng)預防機制。

結果，面對不可避免的風險行為時，大多數企業(yè)只有有限的能力檢測和反應，隨之而來是“停擺”時間變長，損失變大。

1 自適應響應式信息安全識別模型的四個階段（識別-＞預測-＞監(jiān)控-＞回溯）

實際情況中，提升后的識別、檢測、響應和預測服務都需要繼續(xù)應對各種風險。因此，更重要的是不要將其視作封閉固定的功能，而應以智能、分享的方式工作，對于高級風險，自適應響應式系統(tǒng)需持續(xù)完善保護功能。

2 自適應響應式信息安全識別模型關鍵能力

（1）“識別能力”是指一系列指標集、產品和服務可以用于識別風險。這個方面的關鍵目標是通過識別風險、減少被威脅面來提升風險門檻，并在受影響前進行攔截。

（2）“管控能力”該方面的關鍵目標是降低風險造成的“停擺時間”以及其他潛在的損失。管控能力非常關鍵，風險管控要懂規(guī)則，更要懂業(yè)務，要負責把規(guī)則轉化成業(yè)務行動，并監(jiān)督落實。

（3）“回溯能力”用于高效調查和補救被檢測分析功能查出的事務，以提供數據證據和風險來源分析，并產生新的預測、識別手段來避免未來事故。

（4）“預測能力”使模型體系可從外部監(jiān)控下的威脅行動中學習，以主動鎖定對現有系統(tǒng)和信息具有威脅的新型風險，并優(yōu)化識別能力。該情報將反饋到識別和檢測功能，從而構成完整的閉環(huán)立體結構。

3 自適應響應式信息安全識別模型是一項持續(xù)處理過程

在持續(xù)信息安全風險中，我們需要完成對安全思維的根本性切換，從“應急響應”到“持續(xù)響應”，前者認為風險是偶發(fā)的，一次性的事故，而后者則認為風險是不間斷的，滲透系統(tǒng)和信息的努力是不可能完全攔截的，系統(tǒng)應承認自己時刻處于被攻擊中。在這樣的認知下，我們才能認清持續(xù)監(jiān)控的必要性。

4 持續(xù)監(jiān)控和分析是自適應響應式信息安全識別模型的核心

為面向復雜、變化的信息安全風險而實現真正的自適應及基于風險的響應，信息安全識別模型防護程序的核心一定是持續(xù)的主動監(jiān)控和可視化分析風險行為痕跡。這將生成大量數據，我們可以用多種分析手段來處理這些數據，包括啟發(fā)性方法、統(tǒng)計方法、推理建模、機器學習、聚類分析、貝葉斯建模。通過一段時間的存儲和數據分析，并融入業(yè)務場景、內外風險和社群智慧，“正?！蹦Ｊ讲拍芙?，而且數據分析也可以結合業(yè)務理解，用于分辨出從正常模式偏離的行為。

5 自適應響應式信息安全識別模型5種關鍵輸入

指標：用于定義和描述各項組織需求，包括數據類型、數據權限、業(yè)務活動、哪些應用允許執(zhí)行，哪些應被禁止，掃描的頻率、敏感數據保護、應急響應等，這些指標通常源于內部指導和外部影響。

場景：基于當前條件的信息（如對象、時間、地點、風險狀態(tài)等），場景感知使用額外信息提升信息安全決策正確性。對于分辨哪些風險逃過傳統(tǒng)安全防護機制，以及幫助確定有意義的偏離正常行為，而不需要增加大量誤報率時，對場景的利用非常關鍵。

社區(qū)智慧：為更好地應對高級風險，信息應該是聚合的，可通過基于社區(qū)進行分析和分享的，理想的情況下，還應該擁有在相似行業(yè)和地區(qū)進行信息聚合及分析的能力。這種風險知識能力建設與分享可以提升所有參與者的整體防護能力。

風險情報：風險情報既可以為客戶提供單獨的風險監(jiān)測，鎖定危害性的惡意IP、域名、黑產號碼等，也可集成到主流安全管控防護系統(tǒng)和產品，如風險控制系統(tǒng)、業(yè)務生產系統(tǒng)、客戶管理系統(tǒng)等，同時可以為安全分析人員提供溯源線索，從而打造健康高效的風險情報生態(tài)系統(tǒng)，構筑寬共享、全聯通的信息共享環(huán)境，可使威風險報價值最大化，提高參與共享各方的智能風險檢測與應急響應能力。

漏洞分析：該信息提供給我們對其所用到的設備、系統(tǒng)、應用和接口中的漏洞進行分析。除了包括一致的漏洞，分析還包括存在于企業(yè)客戶和第三方應用中的一些未知的漏洞，可通過主動測試其應用、庫和接口來完成。

6 自適應響應式信息安全識別模型價值

與自適應響應式信息安全識別模型的核心思想——敏捷處理不同，傳統(tǒng)信息安全的核心思想是防御和控制，就像是建設一座城墻，希望把風險阻擋在城墻外面，但風險穿透城墻有很多種方式。而且企業(yè)的業(yè)務要發(fā)展、要壯大，與安全講究的控制是有些矛盾的?！拔覀儾荒苎刂踩睦下纷?，我們要走一條新的道路，信息安全審計的目標也是多產糧食，而不是影響或阻礙糧食的生產，絕不允許為了風險控制，把業(yè)務逼上梁山?！?/p>