太极股份郭峰:构建下一代信息安全落地保障体系

《黄帝内经》中说：圣人“不治已病治未病，不治已乱治未乱”，意思是说好医生的高明之处不只在于能治症状明显的疾病，更在于能在未发病的情况下就能发现疾病，并治疗好。这个道理，在太极计算机股份有限公司（简称太极股份）信息安全与自主可控战略业务本部副总经理郭峰看来，对信息安全也一样适用。近日，郭峰接受《中国信息化周报》记者的采访，将他多年来对信息安全工作的认识和最新的思考向记者娓娓道来。

信息安全的新形势

“从2004年开始，我们开始做信息安全相关项目和工作。十几年来，整个产业技术和市场不断发展，我们也不断从用户那儿听到不同声音。信息安全在发生着深刻的变革，越来越复杂，我们也在不断总结、思考。”

在郭峰看来，从单机时代、网络时代、互联网时代到云时代，信息安全在各个方面都在发生变化。首先，威胁特性在变：从恶作剧到商业化到今天的国家安全威胁；其次，计算环境在变，从单一计算到网络计算到云计算；再次，安全防御重点在变，从基础安全到网络安全到现在的合规安全……

“随着计算环境的更迭，威胁技术、攻击方式也在变化，安全防御的重点也随之变化，安全与业务的结合紧密度越来越高，管理者的安全意识不断提升，我们可以从复杂变化中探索出未来信息安全防御体系趋势。”郭峰借用马斯洛需求层次图来类比表述企业对信息安全的不同需求层次（如图1）。

结合在2016年RSA大会所见所闻的信息安全国际趋势，经过多年的摸索和思考，郭峰提出了有效构建下一代信息安全落地保障体系的思考，核心思想是“持续建设IT免疫系统+信息安全能力叠加”。

安全评估是信息安全的第一步，构建业务系统信息安全防护体系的前提是深入了解组织业务系统风险，评估组织安全状态。安全防御成熟度是评价组织安全现状的一种方式，不同程度的安全成熟度映射出自身免疫系统的稳固程度，定义了组织的信息安全需求度，对应其成熟度为组织构建相应保障体系是信息安全建设的有效途径。

何以堪称下一代

传统信息安全的核心是合规性建设，但信息安全合规建设有不足之处有待完善，如政策标准滞后、保障体系建设过程不完整、管理技术运行体制不一致、对业务视角的重视度不够等，因此需要持续改进传统基础防御体系，并以业务为核心进行安全策略一体化运转，运用可视化技术提升管控能力，强化业务系统的自身免疫能力，且需要整合各种对抗新型威胁的技术能力以提高防御自适应能力。

就像治病防身的有效途径是提高人体免疫力一样，郭峰介绍，下一代信息安全落地保障体系核心主导思想是持续建设IT免疫系统及信息安全能力叠加，延续Gartner自适应体系的思想，主要功能分为预测、防御、恢复、检测四个模块，在合规建设的基础上进行安全能力的叠加及持续可视化策略自适应调整，以安全策略可视化为核心将所有功能聚合成一个体系。

下一代信息安全落地保障体系强调从业务视角实现安全，保障业务连续性和安全性。在传统合规建设体系的基础上转换视角进行防御技术的叠加，实现持续可视化监控业务系统状态并自适应调整以提升业务系统自身的免疫能力。

从技术层面而言，与业务结合的安全策略可视化是构建下一代信息安全落地保障体系的核心，业务系统的IT免疫能力和自适应能力决定自身的安全防御能力。可视化的安全策略可以叠加各种能力进行联动调整，通过监控用户异常行为进行策略调整防护用户受到APT攻击；通过监控应用层数据防护用户受到Web攻击，通过监控业务层数据进行策略调整优化业务性能，整合业务层、Web层、网络层、数据层关键数据以及用户行为及外部威胁情报进行快速分析、可视化展现并做出准确预警，在解决合规建设不完善之处同时防御新型攻击威胁，实现业务与安全的融合统一，最终实现核心业务安全态势感知（如图2）。

对于通过监控用户异常行为进行策略调整防护用户受到APT攻击，郭峰具体解释说：“其实，从某种程度上讲，你阻止不了网络入侵者进来，因为他们都是通过各种手段伪装成正常用户，但是我们可以通过监测用户进入系统之后的具体行为，如果其行为路径出现异常就可以辨识出伪用户，继而通过调整策略进行防护。”

寻求新能力者联盟 落地信息安全

郭峰向记者介绍，太极股份现有100多人的信息安全服务队伍，积淀50多个安全解决方案与10多个行业安全经验，着眼于重要基础设施、重要信息系统、重要公共服务三大领域，覆盖咨询、规划、建设、运行、审计等服务，最近6年内累计了20亿信息安全工程合同，300多项等级保护、保护合规建设项目，积累了大量行业安全经验，沉淀出核心的信息安全落地解决方案，并且随着国家政策、国内外形势、威胁技术的发展不断更新。

“过去，我们给客户做了大量的等保合规，帮助客户梳理安全体系策略。但等我们第二年再去客户那里发现，梳理完就梳理完了，都因为这样那样的原因，并没有继续落地执行。”

为什么会这样？除了客户自身意识或者管理的原因，郭峰认为过去信息安全策略的可落地执行性差也是造成这种局面的主要原因。而下一代信息安全落地保障体系从业务视角出发，以安全策略可视化为核心将所有功能聚合成一个体系，大大提高了可执行性，效果立显，“这对用户来说不再是走过场的摆设，而是必须落地执行，真正能带来效果、效益的事情。”

要帮助客户建立下一代信息安全落地保障体系，太极股份首先要深刻理解客户核心业务和业务流程，明确风险关键，在这个基础上进一步清晰用户、系统、数据的关系，树立明确IT基础架构和安全域，将数据和信息进行分级分类，分清楚哪些是公开的，哪些是内部的，哪些是敏感的，继而深刻了解用户访问场景与数据通道，通过策略设计确定安全策略合规基线，实现策略实时可视、可管、可控，无论是传统计算还是云计算环境，实现多环境多视角的实时可视化，逐步实现业务层、Web层、网络层、数据层、用户异常行为、外部第三方威胁情报等关键数据的综合叠加及实时可视化。

“可能，现在这些观点还有些超前，但我笃定这是信息安全未来的发展方向。太极股份的信息安全业务会按照这个方向不断推进，但也不会急于求成，我们会一块一块，一步一步地去实现。”郭峰认为，这将需要至少四五年的时间。

而未来是IoT空间，物联网网络空间信息安全将更宽泛、更复杂。“一家之力有限，孤军作战时代已结束。太极股份也向业内发起倡议，寻求真正有能力的合作伙伴，构建下一代信息安全防御体系能力者联盟，集合各种专业技术能力，在现有防御体系基础上叠加新型防御技术，致力于未来的信息安全领域。”郭峰充满信心地说。