下一代安全 我们转守为攻

随着云计算、大数据、移动互联网等新兴技术的快速兴起，安全威胁和安全挑战也越来越突出。正如信息安全专家、中国计算机学会计算机安全专业委员会主任严明而言：“信息技术已经如此地深入到了我们的社会、我们的企业、我们的家庭和每一个人的方方面面，我们再也不能用虚拟空间或者虚拟社会来轻描淡写地描述我们的网络空间了。我们每一个人的人身安全、财产安全、个人隐私乃至健康发展，事业兴旺等，都已经和网络、和信息安全息息相关。网络和信息化已经成为我们真实社会的不可分割的一部分。”

显然，信息技术和现实世界的紧密结合，让大到国家和企业，小到家庭和个人，各个层面都已经到了对信息安全非常依赖的程度。在这样的背景下，在攻击者越来越多地以窃取利益为目的，以隐蔽的、长潜伏期的攻击为手段，作为防御的一方，我们应该如何应对呢？于近日召开的第十六届中国信息安全大会给出了两个关键词――主动与智能。

以前，掌握主动的往往是攻击者。攻击者对攻击目标发起主动的攻击，而被攻击方只能被动应对，以自己的防御体系应对攻击，随攻击的变化而变。显然，这样的攻防肯定对攻击方有力，而防御方被动挨打的局面始终没有改观。如今，业界越来越多的人提出主动防御，主动防御意味着能够更加积极地应对威胁，甚至积极到攻击还没发生或到达前，就能够预判攻击，并进行有针对性的调整。

主动防御需要大数据分析技术

当前，要实现主动攻击这样的构想，离不开目前非常前沿的大数据分析技术。也只有成熟、有效的大数据分析技术，才能够让主动防御的设想成为现实。

大数据的重要性不言而喻，大数据的安全更是重中之重。大数据的安全包含两个方面。第一个是大数据本身的安全。如今很多大数据的技术还处于起步阶段，很多大数据都是基于开源，如Hadoop等，这无疑加大了安全的风险，开源的发展不涉及版权的问题，很多人买来正版数据库就开始开发，这带来了很多数据的安全问题。我国大数据的发展刚刚兴起，对于大数据本身构架还没有一个标准，所以在整个过程中，对于大数据的平台自身的安全，从访问控制到数据加密等方面都急需加强。

第二个是大数据业务的安全。由于大数据需要各类数据碰撞产生关联，所以不论是技术数据、业务数据还是各类监控数据，它重点都需要进行关联性的分析，而不是简单的因果分析。啤酒和尿布的案例就充分说明了这一点。大数据是知识发现最好的工具。大数据的分析，会带来决策上的革命。原先做决策我们或许是通过系统来分析数据，但如果存在伪造数据，那决策肯定也会出现问题。相反，大数据决策是非常科学的，这使得大数据本身安全和大数据业务的安全保障也非常重要。

北信源大数据部总经理龚建新在演讲中表示北信源就是通过大数据的分析来提升用户的决策，洞察发现流程的优化，以及系统安全的保障。他表示大数据的分析，不是单纯的解决某一个病毒木马，或者是未来攻击的问题，而是放眼整个网络内的用户行为的分析，以及基于泛终端的大数据与主动防御技术。分析终端包含了计算机设备、移动设备、物联网设备等等。在这个过程中还要进行一系列数据的采集，挖掘，分析等，这样才能对终端资源使用状况、系统安全使用状况、员工行为工作倾向等进行安全高效的管理。主动防御需要彻底的转换思维

智能一直是信息安全工作者的梦想，如果安全设备更智能，就能够更加敏锐地感知安全威胁，并更加智能地做出判断并对攻击做出响应，从而大大提升安全防护的效率和水平。

随着云计算、大数据和移动互联网的到来，传统的网络边界将会消失，以往在内网和外网之间有一个隔离，内网是可信、可控、安全的，而外网可能存在着各种各样的威胁。但是网络发展，尤其是SDN（软件定义网络），实现了网络流量的灵活控制，此外网络虚拟化和云计算的到来，都将使我们的业务和数据，甚至是相关的PAS和RAS都将向密集空间的发展。在这种情况下，我们传统安全概念根本无法解决眼前这些问题。特别是现在各种威胁和攻击手段呈现复杂化、智能化的趋势，网络防御的智能化也难以抵御黑客各种隐蔽的攻击手段。在这样的情况下，我们需要彻底的转换思维。

对此，蓝盾信息安全技术股份有限公司副总经理张报明提出了四点措施，第一、数据的智能采集需要高级智能采集器，需要网络威胁感知系统。第二、大数据分析系统决定了所引进的专家系统是否准确可靠。第三、分布式智能安全引擎需要及时应对网络威胁。第四、威胁防御效果评估、威胁预警评估系统要进行反向的预警工程。

张报明表示我们的网络体系架构分为探测、预测、响应和评估。这样的体系架构，对数据采集精准性的要求会更高，如果数据采集有误，或者不是真实准确的数据，那网络安全网络防御手段就存在误差。数据采集之后就需要精准的预警，预警在某种隋况下比预测要求性更高，它需要对整个威胁进行量化分析，精确判断，再将量化的威胁传达给下一步，从而做好防御。而耍做到精确分析一切还是以数据为准，脱离了数据就会成为空中楼阁。

这又回到了数据采集上，智能专家系统采集数据主要是以下几方面。首先是用户行为，其次是用户的网络情况，包括网络整体的态势。第三个则是用户的终端设备，采集之后检查网络是否存在着一些告警，这也是来源之一。另外还要采集用户的数据威胁情报，威胁情报是基于用户的产品和产品信息。此外数据类型首先需要时空维度。数据采集的维度和来源决定了数据准确性，准确性就决定了专家系统，也决定了专家引擎系统是否能够准确及时去应对网络威胁。

一旦专家引擎系统完成预警，下一个步骤就是精确防御。张报明表示蓝盾的精确防御不是一刀切的方式，而是针对于用户、针对于单点、针对于具体威胁技术智能防御。现如今，威胁攻击变得复杂多变，攻击方法、攻击手段变得更加智能化，此时我们的防御手段要随时做出智能反应。在对防御系统进行评估后，将防御之后的数据信息再归总到大数据平台，在平台里面进行再次分析，这就形成了数据采集、数据预警、数据防御、数据事后评估这样一套闭环的自适应智能系统，系统内每一个环节都互相进行影响。

让信息安全迈向下一代，既是人们对信息安全的主观需求，是产业和用户的共同呼声，又是由于信息技术快速变革带来的威胁泛化的必然结果。特别是云计算、移动互联网等新技术的不断涌现和快速应用，让原有的信息安全防护体系被完全打破，原有的信息安全防护方式失效，所以我们必须适应新的IT环境，构造新的有效的信息安全体系。而此次会议的召开，无疑为大家指明了新的思维方式和新的技术发展方向。