隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)技術(shù)對(duì)企業(yè)的一步步“侵蝕”,企業(yè)的安全邊界被徹底打破,海量的數(shù)據(jù)以及越來越多的未知威脅使得企業(yè)的安全架構(gòu)“不得不”發(fā)生著潛移默化的改變。另一方面,安全領(lǐng)域近幾年也出現(xiàn)了很多革命性的技術(shù)和產(chǎn)品,如下一代防火墻、沙箱技術(shù)以及大數(shù)據(jù)安全,但面對(duì)如今復(fù)雜的安全形勢,一個(gè)網(wǎng)關(guān)抵擋80%的安全威脅早已成為傳說,安全不再是一個(gè)產(chǎn)品或者幾個(gè)產(chǎn)品的組合,而是一整套思路、方法論以及認(rèn)知。
▲華為交換機(jī)與企業(yè)通信產(chǎn)品線首席安全架構(gòu)師錢曉斌
華為交換機(jī)與企業(yè)通信產(chǎn)品線首席安全架構(gòu)師錢曉斌談到,企業(yè)面臨的安全風(fēng)險(xiǎn)與其業(yè)務(wù)數(shù)據(jù)特點(diǎn)及其IT安全治理能力強(qiáng)相關(guān)。一般來說,企業(yè)的關(guān)鍵信息資產(chǎn)關(guān)鍵設(shè)施與關(guān)鍵人員最容易出現(xiàn)安全問題,因?yàn)檫@些位置對(duì)于攻擊者來說具有更大的利益誘惑。
從源頭看,這些威脅一部分來自企業(yè)外部,另一部分則來自企業(yè)內(nèi)部。Web與郵件是威脅入侵的兩大入口,通過其他方式滲入內(nèi)網(wǎng)的手段也非常多且復(fù)雜,如研發(fā)生產(chǎn)環(huán)節(jié)、供應(yīng)鏈物流環(huán)節(jié),都可能存在安全漏洞,攻擊一旦侵入內(nèi)網(wǎng),駐留到主機(jī),則會(huì)伺機(jī)搜尋其攻擊目標(biāo)與數(shù)據(jù),而一旦企業(yè)的關(guān)鍵信息資產(chǎn)關(guān)鍵設(shè)施與關(guān)鍵人員受到攻擊,輕則造成聲譽(yù)上的損失,重則導(dǎo)致核心競爭力受挫、關(guān)鍵業(yè)務(wù)失效。從更高的層面看,還有可能在行業(yè)、國家、社會(huì)面上構(gòu)成重大威脅。
下一代安全已經(jīng)成為安全領(lǐng)域廠商的競爭熱點(diǎn)。NGFW、NGIPS已陸續(xù)面世,新一代的SOC、SIEM也正開始興起。究其原因,云計(jì)算、移動(dòng)計(jì)算、SDN等網(wǎng)絡(luò)技術(shù)的演進(jìn),推動(dòng)企業(yè)IT架構(gòu)云化發(fā)展、企業(yè)BYOD辦公模式流行,與此同時(shí),攻防對(duì)抗正在逐步升級(jí),APT給各行各業(yè)組織結(jié)構(gòu)帶來巨大的安全威脅,所有這些,都驅(qū)動(dòng)著安全技術(shù)的變革。
錢曉斌認(rèn)為,企業(yè)下一代安全架構(gòu)的關(guān)鍵特征應(yīng)該包含:企業(yè)級(jí)精細(xì)化應(yīng)用管控能力,APT威脅檢測與數(shù)據(jù)安全能力,基于安全智能的策略自動(dòng)化與全網(wǎng)協(xié)同能力,以及適應(yīng)下一代網(wǎng)絡(luò)架構(gòu)的虛擬化安全與SDN安全能力。
企業(yè)安全需求的變化
企業(yè)用戶對(duì)于安全的投資力度在加大,這反映了企業(yè)在當(dāng)今安全威脅態(tài)勢日益復(fù)雜化的環(huán)境下不斷加強(qiáng)自我保護(hù)意識(shí)、提升防御與應(yīng)急能力的需求。錢曉斌談到,根據(jù)我們對(duì)于典型客戶的調(diào)查分析,以下幾項(xiàng)已經(jīng)成為TOP安全需求:
安全需求1:防止關(guān)鍵信息泄密,避免企業(yè)聲譽(yù)、競爭力和業(yè)務(wù)發(fā)展受到損害。
安全需求2:構(gòu)建整體的信息安全技術(shù)體系和管理體系用以指導(dǎo)信息安全的規(guī)劃和建設(shè),借鑒信息安全成功實(shí)踐來確保信息安全方案和措施真正落地。
安全需求3:保護(hù)企業(yè)IT系統(tǒng)免受攻擊和入侵,避免業(yè)務(wù)損失,影響IT效率。
從上述調(diào)查結(jié)果來看,企業(yè)安全已從幾年前以FW、IPS、UTM、AV等邊界防御終端防御為主,開始提升到全局安全、數(shù)據(jù)安全等更高層面上來了。也有更多用戶關(guān)注BYOD安全、虛擬化安全等更前沿的安全問題,這跟用戶業(yè)務(wù)發(fā)展進(jìn)入新的階段有關(guān)。另外,在安全體系建設(shè)中,很多企業(yè)對(duì)于安全帶來的IT管理效率與成本的關(guān)注也非常突出,這就要求安全廠商提供的產(chǎn)品與解決方案要具備更好的性價(jià)比、更高的易用性與可管理性。
對(duì)于不同企業(yè)對(duì)安全架構(gòu)的需求,錢曉斌談到,這取決于企業(yè)網(wǎng)絡(luò)架構(gòu)、業(yè)務(wù)內(nèi)容與信息資產(chǎn)的性質(zhì)。相對(duì)于中小企業(yè)來說,大型企業(yè)的IT架構(gòu)更復(fù)雜,管理體系更完善,外部競爭壓力更大,在安全投入預(yù)算方面也更充足,尤其是在全網(wǎng)安全、APT防御、數(shù)據(jù)安全,以及安全架構(gòu)與其IT體系的對(duì)接能力等方面,要求更高。中小企業(yè)更傾向于提升基本安全防御水平,避免整體安全體系中出現(xiàn)短木板。
APT時(shí)代安全架構(gòu)選型
錢曉斌表示,當(dāng)前的安全態(tài)勢非常復(fù)雜,企業(yè)如果要進(jìn)行安全設(shè)備選型,首先要轉(zhuǎn)變對(duì)威脅的認(rèn)識(shí):
其次,企業(yè)要仔細(xì)梳理自己的IT架構(gòu)、業(yè)務(wù)狀態(tài)與信息資產(chǎn),形成系統(tǒng)的安全規(guī)劃。另外,完整的安全架構(gòu)由安全產(chǎn)品解決方案及企業(yè)自身的IT安全管理體系組成,要考慮兩者動(dòng)態(tài)發(fā)展過程中的匹配度。有必要的話,可以請(qǐng)專業(yè)的安全咨詢團(tuán)隊(duì)幫助制定安全體系。
第三,企業(yè)要分析總結(jié)自己的安全產(chǎn)品需求,理性選型,選擇最適合自己的安全產(chǎn)品,并正確地部署與配置。
第四,持續(xù)評(píng)價(jià)自己的安全狀態(tài),持續(xù)改進(jìn),保證整體安全體系處于較高的安全水平。