摘要

随着网络安全形势日益严峻及安全意识不断增强，银行业己基本建立较完善安全保障体系并持续进化。回归信息安全本源，源于信息及力量的不对称下攻防双方的非合作博弈，信息优势将改变局势，实现精准乃至降维打击。此次尝试从攻击者视角出发结合攻击链模型、钻石模型、自适应模型、安全防御象限等概念探讨互联网环境下完善信息安全弹性防御体系理念的一些思考。

正文

2018年4月下旬，全国网络安全和信息化工作会议在京召开，习近平总书记再次强调“没有网络安全就没有国家安全，就没有经济社会稳定运行”。同时，明确提出铸牢安全屏障，就要“加强网络安全信息统筹机制、手段、平台建设，做到关口前移，防患于未然”。“关口前移”实际上就是要知道风险到底在哪里，才能有的放矢。“患生于所忽，祸起于细微”，两年前总书记在419网络安全周讲话就提到“网络环境需要全天候感知，要知道风险在哪里，是什么样的风险，什么时候发生风险，正所谓聪者听于无声，明者见于未形”。网络安全本质在对抗，表现在攻防两端能力较量，输赢取决于信息是否对称，技术是否对等，投入产出是否合理。要以技术对技术，以技术管技术，做到魔高一尺、道高一丈。（备注引用：习近平在网络安全座谈会上的讲话）。

日常工作中，参照国外的NIST标准族，ISO27000标准族，遵循国内GB20274《信息系统安全保障评估框架》、等保标准及银行业信息安全综合规范，各银行单位已综合开展安全防范管理架构。参照的安全保障架构也逐步从（IATF）向防御、攻击和情报三位一体的信息保障/网络安全（IA/CS）架构发展，增强安全架构弹性及自适应性。

随着对信息安全要求的不断提高和能力进化，需将安全防护的哨岗从内部向外扩散，进一步关口前移。具体表现在：从攻击者思维开展防护工作，基于攻击链模型优化防御体系，根据钻石模型开展攻击者分析，综合攻击链及钻石模型开展情报驱动的主动防御。在防御体系建设中，配合高层明确风险接受度及依据人财物圈定信息安全防御能力滑动象限，有所为有所不为。最后，在安全运营中辅助开展毒性测试以增强组织防御的强韧性以至于自适应升级，保证安全生态体系保持自适应进化。

以下，就从攻击者视角出发，基于主流网络网络安全模型架构进行介绍，得出基于攻击链模型构建纵深弹性自适应网络安全防御体系的原则及几点思考。

一、主流网络安全模型框架

1、基于攻击视角的攻击链模型及防御方法

信息安全是基于攻防双方力量不均衡和信息不对称的博弈，春秋时期的《孙子兵法》及1944年的冯·诺依曼均对如何排兵布阵进行过论述。虽然对手信息在变，但预测对手行为和尽可能多的掌握对手信息会让战局处于相对优势，即所谓未知攻，焉知防。为此，从攻击者角度出发的攻击链（Intrusion Kill Chain）模型就有借鉴意义。该模型由美国洛克西德·马丁公司于2011年提出，指网络空间攻击行为分为七个步骤（图1）。包括侦查探测（Reconnaissance）、制作攻击工具（Weaponization）、将工具投送到目标（Delivery）、释放代码（Exploitation）、成功安装并控制（Installation）、主动外联（Command &control）、远程控制及扩散（Actions onObjectives），如下图所示：

攻击链模型精髓在于明确提出网络攻防过程中攻防双方互有优势，攻击方必须专一持续，而防守方若能阻断/瓦解攻击方的进攻组织环节，即成功地挫败对手攻击企图。同时，其提供了一种纵深防御的概念，即在攻击最终造成损失的七步中，任何一步的察觉或者阻挡均能有效阻止和阻断。意即，即使发现了被攻破，在造成最后的损失前，还是有机会进行补救，该模型部分参照不完全信息动态博弈（精炼贝叶斯均衡），就算被攻击后的亡羊补牢，也为时未晚。

2、钻石模型的应用

攻防不仅是以一种双方力量博弈的艺术，也是攻守双方转化与情报、能力的积累变换过程，如果将攻击分为7步对应到攻击链模型上，钻石模型则是建立在每步单个攻击事件上，是攻击链模型的细化落地。应通过分析穿透攻击行为看到背后的对手，进而开展攻击者画像和受害者关联，而非每次应急就事论事。

根据犯罪学中的罗卡交换定律，“凡两个物体接触，必会产生转移现象”，意即现场一定会留下相应痕迹，为此，要了解犯罪的动机、机会和手段。塞尔吉奥·卡尔塔吉龙（Sergio Caltagirone）提出的钻石模型（The Diamond Model）是针对以上挑战提出的一个分析模型，用于将攻击方，攻击使用的基础设施，攻击方法（能力）和受害者四个因素通过一个菱形进行关联。

每个事件有四个基本元素，对手、能力、基础设施及受害者。四者的关系布置成菱形，因此得名“钻石模型”。元特征描述了元素互相作用的时间先后，在攻击链中的阶段，是否成功，方向和方法归类，所用资源等。 

简单来说，钻石模型解释攻击者（对手）运用基础设施（IP、域名等），通过掌握的功能技术，攻击受害者。受害者在受到攻击后，以自己为支点（Pivoting），将功能和基础设施联系起来，通过攻击路径翻转找到攻击者。

以木马攻击为例。①受害者中马，经过排查发现恶意软件②通过技术能力对木马软件分析，定位僵尸网络控制域名③通过对域名解析，定位远控端IP④反转，通过远控IP查询网内其余中马主机⑤逆向反转，通过远控IP追踪远控主机。

通常情况下，将对手和受害者划入一个象限，以此来思考攻击方和受害方的关联关系。将功能和基础设施划入一个象限，以此来关联技术能力上的关联。通过人的关联和技术能力（习惯手法）的关联对攻击方进行画像以及定位更多受控设备。

3、基于攻击链和钻石模型产生的威胁情报开展主动防御

攻击链和钻石模型各有特色，相辅相成。攻击链模型着重描述过程，详细介绍七步攻击的阶段，为每个阶段提取指标，并开展跨阶段跟踪，钻石模型直接补充了攻击链分析中每一步具体实现，使用结构化指标来定义和了解对手的活动，有利于知识积累。两者结合在一起，不仅能完成应急，而且能形成知识沉淀和威胁情报，理解攻击者意图。

主动防御（The Active Cyber Defense Cycle）采取了使用前两个模型产出的威胁情报和攻击者信息，将攻击特征在组织内部进行消化，分四步完成，第一步应用威胁情报，对攻击行为特征在组织内部开展回溯梳理，查找未发现受害者；第二步开展安全监控，对威胁情报内容进行建模或特征提取，作为组织资产输入到防护设备中；第三步开展应急响应，将情报应用后监控和发现的新的威胁进行处置；第四步开展针对外部威胁的系统脆弱性加固。主动防御的优势在于通过攻击者的攻击开展自我提高。

以攻击链的投送恶意软件阶段开展钻石分析后形成的威胁情报进行的主动防御为例，如上图，显示了开展钻石模型分析后通过基础设施分析能力，对攻击者特征、远控IP等形成了威胁情报，主动防御体系根据威胁情报对系统开展闭环修复，增强了系统的健壮性，利用自身应急产出开展安全增强，也同时符合应急处置中调查，归类，遏制，分析，追踪，恢复六步走原则。

另外，将威胁检测及情报处理能力落地，最直接的效果就是降低平均威胁检测时间（MTTD）和平均威胁响应时间（MTTR），这一点对安全运营工作非常重要，直接涉及KPI考核。

 4、基于TCP/IP分层协议的安全防护

开放系统互连参考模型 (简称OSI）为开放式互连信息系统提供了一种功能结构的框架。它从低到高分别是：物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。根据不用层所用协议的不同，安全防护可以从传输层和应用层分别实现，从而达到不同的应用效果。传输层包括传统IPS、包过滤防火墙等，而应用层则主要针对WEB层面，解决OWASP列出的主要WEB攻击类型。

不同的网络模型，就要从不同的网络安全形态开展部署。去除掉物理安全，实际上需要根据OSI协议部署不同方式。在安全架构模型中，应注意此问题，有的单位为了合规驱动，仍在部署的传统IDS实际上已无法满足需求，此处的部署方法在后面会提到。

5、自适应安全架构

自适应安全架构（AdaptiveSecurity Architecture,简称ASA）是由Gartner在2014年提出的安全体系，类似于PDCA的戴明环理念，强调以持续监控和分析为核心，将防御、检测、响应、预测四个方面结合起来，自适应不同系统基础形态和业务系统变化，能够持续的自我进化，自我调整来适应新型、不断变化的攻击类型。

自适应安全架构中，右上方防御包括预防攻击的现有策略产品和进程；右下方的检测用于发现、监测和确认、遏制攻击行为；左下方的响应表示调查、修复检测能力（或外部服务）发现的问题；左上方预测值是安全服务机构可以从外部检测黑客行动的能力。

太阳底下没有新鲜事，信息安全的的ASA架构也趋同于PDR响应模型，即保护，检测，响应模型，但其优点是加入了对威胁情报的引入和使用。

6、PDR模型（基于时间维度的检测响应体系）

防护-检测-响应（PDR）模型是基于时间的可证明的安全模型，其概念是防护（Protection）及其防护时间Pt（系统在黑客攻击下的存活时间）、检测（Detection）及其检测时间Dt(黑客攻击开始到被发现时间)、响应（Response）及其响应时间Rt（从发现攻击到做出有效响应的时间）。

任何安全防护措施都是基于时间的，超过该段时间，防护措施就可能被攻破。该模型的基本思想是承认信息系统中存在漏洞，正视系统所面临的威胁，通过适度的防护并加强检测，落实安全事件响应，保障系统安全。

安全状态： Pt>Dt+Rt  S安全（系统S的防护时间Pt大于攻击及响应事件，系统安全）；非安全状态：Pt<Dt+Rt，S是不安全的，系统暴露风险敞口事件Et=(Dt+Rt)-Pt。从攻击检测响应事件看，攻击存活时间Pt对应的是黑客攻击能力，不好把握。所以对检测时间Dt和恢复响应时间要求就越来越高，就像3中间提到的威胁情报引入会降低MTTD和MTTR一样，采用自动化手段能显著降低响应时间（Rt）。

PDR模型的扩展包括PPDR以及PPDRR模型，其中PPDR模型增加了策略(policy);而跟进一步演化的PPDRR模型增加了恢复环节，包括策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）和恢复（Recovery）5个主要部分。

7、网络安全滑动标尺模型

由于安全工作不好量化，是以风险和合规作为驱动的源头，企业安全工作做的好不好，处于哪个阶段不好界定。为此，参考网络安全活动标尺模型（The Sliding Scale of Cyber Security）对安全水平进行断代具有参照意义。该模型是罗伯特Robert M. Lee月2015年在美国系统网络安全协会（SANS）网站首次提出，其有点类似于信息安全CMMI能力成熟度模型，他将企业在应对外部攻击时的五个信息安全能力阶段，分别是架构建设、被动防御、主动防御、智能分析和反击威慑。其核心是在原有IATF框架的基础上，强调“威慑”概念，将防御、威慑和利用结合成三位一体的信息安全保障/网络空间安全（IA/CS））。

上图将一个机构信息安全阶段进行了详细描述。第一阶段是基础架构阶段，解决的是从无到有的问题。第二阶段为被动防御，意即根据架构完善安全系统、掌握工具、方法，具备初级检测和防御能力。第三阶段为主动防御，指主动分析检测、应对，从外部的攻击手段和手法进行学习，该阶段开始引入了渗透测试、攻防演练和外部威胁情报。第四阶段为智能学习，指利用流量、主机或其他各种数据通过机器学习，进行建模及大数据分析，开展攻击行为的自学习和自识别，进行攻击画像、标签等活动。第五阶段指利用技术和策略对对手进行反制威慑。

上图表明，安全建设是循序渐进的过程，基础架构和下层建筑是性价比高的行为。而基础层不做好，上层的智能分析和情报引入会造成资源浪费在误报和低级事件上。信息安全也要基于RIO视角权衡投入产出比，统筹考虑需要考虑人员的的投入与成本之间的估算。落实到具体工作中，人少钱不够，要说服管理层接受风险或购买保险。

8、信息安全建设的“马斯洛需求”层次

赵彦在《互联网企业安全高级指南》中将企业的安全水平参照SANS滑动象限和能力成熟度模型结合马斯洛需求层次划分了5层。

具体是：

第一层：通过一些较为基础的安全措施，做到了基础的访问控制，交付的系统不含有明显的高危漏洞。但对于复杂的安全事件，自身没有独立处理的能力，必须依赖于外部厂商。

第二层：有专职的安全团队，有攻防技术能力，能做到有火必救，不依赖于外部厂商。但在安全建设上缺乏思路，大多依赖商业产品或照搬已有的安全模式。

第三层：安全建设呈现初步的系统化，覆盖全生命周期，开发和运维环节有必要的控制流程，主要的系统在架构上都会考虑安全方案，检测和防护手段能因地制宜。

第四层：除了基础架构，应用，数据等技术层面安全能做到全生命周期系统化建设，业务层面安全问题得到系统化解决方案。安全此时不止关注技术层面的攻防对抗，也关注业务形式的安全及黑产的对抗。

第五层：安全建设进入最佳实践阶段，不依赖现有安全机制，也不依赖于厂商的安全产品，自身建设安全。严重的安全事件几乎很少发生，大多数精力用于优化现有系统的检测和拦截率。

基于以上从攻击者角度的模型，网络模型，强调持续改进的自适应模型和基于时间维度的PDR模型，可以从不同的角度对企业构建防御体系进行参考。而安全滑动象限及安全的马斯洛需求层次则为安全水平进行断代。不同关注点和建设阶段均可在其中找到锚定坐标。下面，浅谈几点互联网安全防护的原则及其成因。

二、基于攻击链模型构建纵深弹性自适应网络安全防御体系的原则原则及成因

1、基于攻击链路径构建纵深防御（深度防御DEEP DENFENSE）体系

在传统企业中，通过设置多层重叠的安全防护系统而构成多道防线，使得即使某一防线失效也能被其他防线弥补或纠正，即通过增加系统的防御屏障或将各层之间的漏洞错开的方式防范差错发生的。

纵深防御，一是补短板，是从不同层面的建设，包括从做操作系统，网络，边界等。二是说不同的产品有不同的分工。

纵深防御从攻击链的七步对应出来，按照时间维度，从事前监测，事中遏制及阻断，事后跟踪及恢复三个方面进行阐述。

主要原则有三个，一是在攻击链的不同阶段，部署不同防护策略，以实现互补。二是基于OSI模型，在网络层、应用层分别部署以展现。三是尽管同一防护内容，在不同层次防护效果不一样，譬如对于SQL注入，在WAF层面，WEB日志，RASP和SQL层面效果差距很大。

基于此，基于攻击视角，结合威胁情报的的纵深防御架构应该实现的架构是：

以上及架构是在传统架构上的延展，在上云和大数据以后，理念还可通用。上云后从成本及效能的角度，防御方法偏向于分布式架构中的安全域隔离划分，通过业务数据流驱动进行建模及关联分析，安全以服务及组件的形式提供给业务（租户），基于大数据开展用户标签及画像，通过用户行为开展适度的安全预测。

2、安全防护体系应异构并具备强韧性

首先，通过毒性测试及反馈机制，构建系统弹性及强韧性。毒物兴奋效应( hormesis)是从医学中起源，16 世纪Paracelsus 的名言“剂量决定毒物”，即所有物质都是有毒的，只和剂量大小有关。《反脆弱》纳西姆·尼古拉斯·塔勒布把事务在应对波动、压力等环境后变的更强还是更弱分为脆弱性、强韧性、反脆弱性三类。脆弱性可以理解为一成不变的架构，在遇到风险时无法变通应对，会造成信息安全事件被动应对，四处救火，修修补补。强韧性指信息系统在遇到外界变动时具备冗余性，在单点被攻破的情况下仍能保持正常运转。而反脆弱则说明信息系统安全水平在外界刺激下增强，具备免疫力并自我进化，例如人类婴儿水痘防疫或佛学的涅槃重生。

基于此，信息系统应不定期开展低微剂量毒性测试（自测评及渗透测试），根据系统反馈开展定点修补；定期开展众测及业务连续性（BCP）测试，通过中等剂量外界刺激，促进安全架构重构及进化，具备反脆弱性。

其次，防守异构是基于完全信息静态博弈中攻守平衡原理

基于攻防双方力量的博弈，就算防御方力量大于攻击方并且相同条件下占优，攻防双方无论怎么排兵布阵，按最优方式排列，获胜的概率也是相等，均为50%，从整体战略看，是典型的弱者战胜强者。如下图：在有两条攻击路径(A、B)的情况下，守方三个师，攻击方两个师，两条路。兵力相等情况下，守方赢。

上图的结论是：攻击方最佳策略是集中优势兵力，而防守方最佳策略是兵力分散化。基于此，应构建多样化防御体系。同时，分散后对管理效能提出了更高的要求，采取分散策略的前提是：有效分散，即保证分散后单独防守能力不低于分散前，否则会适得其反。

3、信息交换，构建安全生态圈

习近平总书记在今年4月的网信工作会议中指出“在信息时代，网络安全是整体的而不是割裂的，是动态的而不是静态的，是开放的而不是封闭的，是相对的而不是绝对的，是共同的而不是孤立的”。互联网先驱凯文.凯利(KK)也多次强调生态圈与自适应进化概念，对信息安全来说，亦提倡构建安全生态圈。生态圈宜从基础物理层、计算存储环境、网络边界、架构安全、外部供应链、威胁情报、舆情等多个层面进行综合考量，建立信息安全领域生态圈，生态圈的发展跟随业务不断进化，具备自适应能力。

信息安全生态圈构建理论依据之一：比较优势理论。古典经济学家李嘉图提出了比较优势理论，意指对比于斯密的绝对优势，即使某一国各种产品生产效率均占劣势，通过交换的强弱各方也可以获得超额收益。其落地体现为，各企业信息安全机构以及行业主管部门联合起来，开展威胁情报及信息专项交换，获得效率的增量提升。

信息安全生态圈构建理论依据之二：供应链安全。供应链安全反复被提但依旧形势严峻。随着专业分工的不断发展，软件模块化，插件化形势进一步成为主流，在近年来的信息安全事件中，多次暴露出开源软件严重漏洞及CMS后台权限被社工，或者第三方提供产品漏洞。对应方案一是对供应链加强管理，定期评审或采信第三方对供应链的安全评级。二是考虑采用风险转移措施，采用第三方对供应链进行专题管理，并签立对赌协议。

信息安全生态圈构建理论依据之三：基于威胁情报及态势开展升维防御。

从防御角度来说，开展升维防御。习近平总书记在419讲话中指出“建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势。要建立政府和企业网络安全信息共享机制，把企业掌握的大量网络安全信息用起来”。

就像二维世界里的贪吃蛇永远不可能知道三维世界一样。防守方可以利用外部威胁情报造成信息不对称，对攻击方开展升维防御。举例来说，传统邮箱防御是基于暴破行为，一般需要同一IP触发5次或以上，才能触发防御规则，如采用威胁情报，可以将单次暴破行为即定义为违规。同时，不光使用自身防御过程中产生的威胁情报，还要通过外部威胁情报的引入，对传统防护设备如邮箱防护、防火墙、IPS、WAF进行赋能。

三、有必要关注的几点

1、知己知彼，百战不殆，梳理清楚自己的资产

习近平总书记在4.19会议中提到“感知网络安全情况，最基础的工作是摸清家底，做到知己知彼，才能百战不殆。明确保护对象、保护层级、保护措施”。

随着业务的发展，特别是云计算平台及移动互联网时代的到来，线上发布流程不断变化，业务在未经过充分测试的情况下灰度发布。如不掌握详尽的资产信息，一是发生问题无法快速应对定位，盲人摸象；二是外部风险情报到来后无法精准处置，胡子眉毛一把抓，造成精力分散和过度应对。

实际情况中，至少应掌握两类资产，一是系统资产，包括但不限于网络拓扑结构、业务逻辑架构、物理部署位置、系统数据流等，同时对资产的不光有内部报送，也应辅助扫描机外部探测。二是管理资产，包括但不限于组织架构图，研发、运维、供应链信息，保障及监管单位流程。

有了这两类信息，出了事情，知道找谁，系统在哪儿，做什么，做到快速应对。最好的验证方法是开展业务连续性测试（BCP），按期（最少一年一次）通过该过程一是验证了系统资源，同时将业务人员和管理层进行意识统一。

2、随着手段的增多，系统会出现创造性失灵，类似明斯基时刻，安全不再有效

信息安全要预防黑天鹅，更要关注灰犀牛。黑天鹅（塔勒布《黑天鹅》）指的是突发事件，意即突现一类新技术，传统安全完全无效。而灰犀牛是对黑天鹅理论的补充和延展，对当下混乱无序与不确定性下的大概率危机的描述。凯文凯利（KK）在《失控》中将各种质量控制手段和反馈手段综合起来，可证明随着各种防控手段的综合应用，综合防御能力会出现1+1>2的情况。但根据热力学第二定律，宇宙的熵会随着时间的流逝而增加，由有序向无序，最终进入热寂（创造性失灵并且无法定位故障点），这是大概率的系统性风险或明斯基时刻。

“不谋全局者，不足谋一隅”，在做好安全技术和管理日常运行和储备的同时，需要具备前瞻性，以战略眼光，全局角度审视安全。

3、信息安全从BCP出发，符合实际，不是一味的绝对安全，具备四个意识

习近平总书记在网信工作会议中提出，要不断增强“四个意识”。信息安全具体工作中，也应。如此安全一定要和企业的整体战略、规模、成本结合起来，实事求是做安全。具有核心意识，向单位业务核心业务靠拢，保障核心权益；具有大局意识，从整体的信息系统发展角度出发而非只从狭隘的安全角度出发，为了安全不顾业务；具备看齐意识，向行业、国内、国际的顶端安全理念看齐，不是夜郎自大，也不是闭门造车。具有政治意识，保证安全工作和信息化工作的合规和合法，规避法律风险。

4、运用动态安全迭代上升安全思路

信息安全是一个螺旋迭代的PDCA过程，不要想着一步到位，随着认识的不断积累，能力的提升，视野的扩展，对安全的认识是逐步上升的。还有一点，就是随着业务的发展，安全防护的理念是动态变化的，而不是一成不变的。不要试图用不变的架构来应对所有问题。同时，知识也是需要不断升级的。就像计算机系统安全历经通讯、操作系统、应用系统、纵深防御四个发展阶段一样。虽然无法承诺永远都不出一起安全事件，但应确保在把时间纬度拉长的情况下安全风险是趋于收敛的。

值得注意的是，网络安全是相对的而不是绝对的。考虑到网络发展的需要，网络安全应当是一种适度安全。适度安全是指与因非法访问、信息失窃、网络破坏而造成的危险和损害相适应的安全，即安全措施要与损害后果相适应。习近平总书记在419讲话中指出：“采取安全措施是需要成本的，对于危险较小或损害较少的信息系统采取过于严格或过高标准的安全措施，有可能牺牲发展，得不偿失”。此处的成本不光是安全措施控制成本(沉没成本)，也包含安全限制了义务发展带来的机会成本。

5、信息安主动迎接云、大数据和区块链等新技术

就像互联网的出现，电商颠覆了传统业态一样。新技术不断出现，分布式、大数据、云架构下业务形态发生了改变，传统的基于边界和主机的架构不再适用。在建设云安全过程中，有两个主流方向。对于大型金融机构，采用自建私有云方法，这样一是划算，二是自主可控。对于中小金融机构，则可从成本角度出发，轻资产，重应用，多采购外包方式采购第三方主流私有云平台，实现经济效应。安全体系应主动变革，从基础设施（IAAS）、操作系统（PAAS）、软件服务（SAAS）三个层面主动设计应对，从基础层、虚拟化层和应用层做好分层设计，系统隔离和应用隔离，同时，将安全作为服务向应用系统提供。

云安全时代的到来会带来一种变革，业务的入口更集中，安全相对来说也变的更集中，一旦云安全单点突破，造成的损失几何级上升。但云安全时代的好处在于将力量分散的安全能力进行聚合，能力越大，责任就越多，对安全人员提出了更高的技术要求，知识升级和安全理念的更新。构建统一的认证接口平台实现整体的访问控制与协议栈收敛，以业务逻辑为基础开展软件定义边界的隔离，最后基于数据的流动，在边界和各租户间开展大数据安全及隐私保护。

6、安全管理设计与运营并重

信息安全工作由于其不直接产生经济效应，在信息系统中处于相对弱势，行业自嘲CSO在没出事情的时候没什么用，出了事情就证明真没什么用，业界戏称，重保期间准备三样宝，预案、检讨和辞呈。

为此，为证明信息安全已经合理规划并的确做过，必须遵循适度谨慎（DUE CARE）和适度勤勉（DUE DELIGEOUS）准则。在安全管理设计上逻辑严密，体系架构合理并可实现，在安全运行上要注意留存记录及证据，以便回查。这样，在应急处置和安全事件调查中，以证明从制度和运营的合理性，避免造成人为重大疏忽甚至渎职。

还有非常重要的一点，向内做好用户风险警示，向管理层和监管层就安全风险预期达成一致，加强沟通，设立合理安全目标。安全的目标不是消灭所有的风险，是指经过安全的架构设计和管理落地，将信息安全风险控制在“可接受”范围内。

7、积极开展银行业威胁情报共享

信息安全的本质在于攻防双方的信息不对称，谁能掌握更多的信息，就可以实现非对称打击或者防御。在第6届银行业数据中心联系会上，银行业形成共识，通过银行业威胁情报及安全事件信息共享，构建联防联治态势体系，用开放、共享、共赢的方法来主动应对外部攻击，提升信息安全防御维度。

最后，响应2018年网信工作会以上习近平总书记发言，坚持网络安全整体、动态、开放、相对、全面概念的，基于攻击链模型构建弹性自适应安全生态架构，不断强化网络安全意识，打牢国家网络安全的地基。

参考资料：

1.2018及2016年习近平总书记在年网信工作会议上的讲话

2.攻击链模型（洛克马丁公司）

3.赵彦 《互联网企业安全管理实践》

4.凯文.凯利《失控》

5.Robert M. Lee SANS 安全滑动象限

6. Gartner 自适应安全架构模型

*本文作者：吕毅，转载请注明来自FreeBuf.COM