企业现状安全

       从2016年底开始随着网络安全事件的爆发和国家层面对网络安全的重视程度，让网络安全已经上升到国家战略层面。网络空间是人类继陆地、海洋、空间、外层空间之后的第五“生存空间”，也是国家**的新疆域和现代战争的新战场，因此保证网络空间的安全，是网络空间中“重中之重”的任务。

      在企业层面，一方面企业正在积极提高自身网络安全防护能力和行业协作，例如2015年6月19日，国内32家单位在北京共同签署了《中国互联网协会漏洞信息披露和处置自律公约》，这是首次以行业自律的方式共同规范漏洞信息的接收、处置和发布的行为。就当前发展阶段来看，近几年来企业对自身网络安全防护能力越来越重视，特别是对数据资产保护的重要性有了很强的意识，但是不同行业企业的网络安全防护能力差异很大，特别是一些依靠新兴数字技术快速发展起来的小微企业、初创企业，由于资本和能力的限制，自身网络安全能力建设水平较低，存在很大的网络安全风险。另一方面，企业也积极加强对客户隐私数据的保护和合规使用，特别是在欧盟的《通用数据保护条例》(The General Data Protection Regulation, GDPR）和《中华人民共和国网络安全法》落地实施后，对个人数据和隐私的保护有了更加严格的要求，企业尤其是跨国企业针对****的收集、存储、使用等方面建立了严格的规范和准则，但就实施初期来看数据滥用、数据泄露的问题依然突出。

企业现阶段面临的问题

       数据显示，仅2017年上半年，全球有将近20亿个数据记录丢失或被窃走；仅2017年5月爆发的勒索软件病毒WannaCry就影响了150个国家，导致超过50万设备被感染，在全球造成约100亿美元的经济损失。Gartner在报告中指出，数字化业务的发展速度比传统业务要快得多。因此，传统安全方法将不再适用于数字化转型新时代需求，同时数字化转型使用了大量的第三方平台技术、服务流程，也使得企业在数字化转型过程中引入了新的风险。

       近年来，黑产大数据已经接近全民画像，在这个画像的基础上，黑客对目标展开精确分析进而指定精确的攻击手法。其次，网络空间商业军火库进一步降低了攻击者的门槛。如DDOS攻击，攻击者借助外围网站对任一目标开展野蛮攻击，而作为攻击者本身却不需要具备专业的攻击技术。再者，人工智能攻击手法已逐步浮现在公众视野，攻击者使用机器学习模型自动构建恶意软件的详细结构和参数。此外美国安全局大量网络武器库泄漏都使得攻击者可以以较小的攻击成本获得极具破坏力的攻击工具和手段。企业外部的安全威胁不断升级，而企业或组织在数字化转型过程中，数字化业务越集中，遭受攻击所产生的损失就越惨重。

       于此同时，由于网络安全越来越受到国家重视，合规监管的力度不断增强。如《网络安全法》、《等级保护条例》、《关键信息基础设施保护条例》、《企业内部控制基本规范》这些要求进一步明确了信息安全责任主体，总体按照“分级管理、逐级管理”和“谁主管谁负责、谁使用、谁负责”的原则，不再像以往一样责任定位不清晰。企业现阶段面临的问题主要有以下几点：

1.安全人员的缺乏

       相对于系统工程师、网络工程师、程序员、运维人员、品质保证(QA)人员等，网络安全人员的要求相对较高，需要跨多专业有比较大的知识广度。比如美国安全领域中比较知名的CISSP认证人员就需要了解法律法规、信息资产生命周期、密码学、物理安全、通讯安全、 身份安全、安全评估与测试、安全运营、软件开发安全等近十个领域的知识。了解并能把这些知识和经验应用到实际的工作当中需要多年的安全领域工作经验才能达到。这偏偏与国内很多互联网公司的超过35岁从业人员不招收的规则相驳。

       此外，有经验的安全从业人员的薪资普遍较低，因为在国内的大多数企业中安全人员的职位往往是挂在IT部门下面，甚至是放在运维管理人员中，岗位的设定导致收入、责任不对等的情况出现。

       目前中国的《中华人民共和国网络安全法》已经明确企业的安全落实到人，从法律层面上已经对安全人员的责任和处罚进行了明确，但还需要对承担责任的安全人员进行一定范围的赋权，才能破除责任和权利不对等的情况。

2.安全产品投入效益不明显

       于此同时，现阶段信息安全建设的效益实际上存在着较大的压力。

       信息化项目中，安全建设的投入资金占总体信息化建设的10%左右。也就是说，绝大部分企业用10%的预算保障90%的业务环境，有些单位这个比例甚至更小。有相当一部分企业决策者认为安全产品的投入收益不大。他们认为安全是一种奢侈品，投入和不投入对企业的经营并没有实际帮助。因此，如何把这不到10%的预算发挥出该有的效益，是一个十分关键性的问题。

       Gartner报告指出，三分之一的安全事件与安全配置不恰当有关。该报告说明了大部分企业很多时候只是一味的在增加安全措施和防御手段，但是却往往忽略了怎么发挥好安全产品的全部能力。根据自身业务的脆弱性，企业需要动态的去调整内部的防护措施和策略。同理，根据最新的安全威胁，需要实时整合安全能力，动态调整安全措施。企业安全人员需要根据安全日志的蛛丝马迹发现一些攻击征兆，提前判断风险点，并进行规避。Gartner指出，更多的安全事件可以在攻击者尝试攻击的阶段就能够被遏制住，而不是在事后发觉。

3.安全产品的盲目选型

       由于国内行业采购的特殊性以及国内企业的价值观体系，大多数安全硬件、软件厂商以及集成商通过自上而下的方式进行推广。由于大部分企业的决策层缺少实际的安全框架以及对产品实际了解相对片面，导致很多安全投资最后不了了之。比如很多企业领导盲目听信DLP的功能，花费了大量资金和人力去做DLP。但因为没有细致的进行文件定义和等级划分，导致在项目实施阶段却发现DLP策略不够灵活、过度检测影响主机性能、策略限制太多影响工作效率等情况，最终导致项目普遍反响较差的结果。

4.缺乏专业的安全管理体系

       在安全架构体系建设中，比较常见的是技术体系，通过安全措施或者安全产品去构建物理安全、网络安全、主机安全、应用安全、数据安全。但在做了众多的技术体系的措施后，安全效果并不如预期理想。如2.2所述，这并不一定代表了企业使用的安全产品不够强力，而是因为当前安全的形式变化太过迅速，企业需要不断跟上安全的脚步才能够完全将技术体系的安全效果真正发挥出来。

       因此企业需要一个完善且专业的安全管理体系，通过对人员、流程的定义，建立起安全管理制度、安全管理机构、人员安全管理、系统建设管理、安全运维管理。正如安全行业内通常说的那样：“安全三分靠技术，七分靠管理。”但实际面临的问题是很多企业的管理体系并没有实际运转起来，而一个专业的运营体系可以帮助管理体系更好的落地。

5.小结

       对于大多数企业来说，选择有资质的专业的安全咨询公司和资深的安全人员对企业的安全框架及安全规划做完全的梳理是十分必要的选择。只有完善了安全管理体系，人机共智型企业安全架构体系方案才得以实现。

       以上海御盾的MSS安全管理体系方案为例：MSS服务可以让企业在短时间内构建起一个扩展的安全团队。为了解决安全人员的缺口瓶颈，MSS方案在云端为用户分配了高级安全专家，并且7*24随需可得。为了保障安全领域的专业性，云端的高级安全专家全都是有5年工作经验的安全人员，为用户虚拟成高级安全专家池。而当用户安全问题并发量较高时，MSS能够持续投入更多的安全专家，甚至是更高层级的首席专家和研发团队。这种人机共智的企业安全架构体系，能够确保企业对安全服务需求的持续性。并且由于MSS是云端平台，企业无需搭建自动化运营平台，避免企业在自运营阶段时员工工作量大，精力不足的问题，同样解决了企业外购纯人工安全服务的人员能力参差不齐，服务效果达不到预期的问题。

管理体系与技术体系的结合

       企业信息安全架构体系分为管理体系与技术体系。上文中已经提到，通过诸如御盾MSS专家系统能够完善企业的安全管理体系。然而在技术体系这块，目前并没有绝对统一的标准。不同企业的实际环境都大不相同，因此本文中推荐一种泛用性较广、体系较为成熟的技术体系。

       “应用型企业信息安全架构体系”适用于已经完成安全基线的建立和已经拥有实际安全负责和处理人员的情况下，针对企业安全建设的循序渐进框架。

       “应用型企业信息安全架构体系”能够帮助企业完善信息安全架构的技术体系。该框架已经被很多大型互联网公司和一些跨国企业所使用，也能对企业及安全从业人员在安全建设上起到帮助和借鉴。

       通过“御盾MSS专家管理系统”与“应用型企业信息安全架构体系”这种管理体系与技术体系相结合的方式，最终实现“人机共智型企业安全架构体系方案”的总体架构。

应用型企业信息安全架构体系

       应用型企业信息安全架构体系主要针对企业的网络、终端的信息和数据进行保护，不涉及这 些设备的物理安全。

       架构体系在设计上采用所有数据可以物理连通，可以进行数据深度分析，可以恶意行为阻断的框架体系。架构从对企业的业务影响最小，但效果最精准的方式而开始进行。

1.总架构示意图

2.设计思想

       在2016年RSA大会上，主席阿米特•约伦(Amit Yoran)就在其《沉睡者醒来》的主题演讲中指出：“安全防御是个失败的战略，未来业界应该增加在安全检测技术上的投资。”

       因此本框架的主体思想以企业实际业务应用角度出发，突出企业检测能力的加强。

       首先，该框架不在第一时间段内对需要复杂数据进行处理。一般情况下对复杂数据处理和检测设备费用相对昂贵，大多数企业属于非金融和非交易类的企业，没有必要去投资相对昂贵的安全设备。

       其次，在企业框架内建立一套完整数据安全处理区域(简称：Detection pool检测池)，这样的架构可以随意进行伸缩而对业务不造成影响，并对后期的选型产品POC、POV都可以有很好的实际效果显现。

       最后，这样的框架可以让企业分阶段的情况下实施，让公司分阶段，有序的完成企业的安全基线建立，不对公司的正常业务带来影响或只造成最小的影响。

3.数据操作流程图概览

4.非加密数据流程

       非加密类数据通过网络镜像、分流设备进行处理。将流量复制至分析区域后进行分析：

       首先，经过身份验证模块，判定网络流量为授信流量还是非授信流量，这里大多能配合一些带有特征码、企业内部规范YARA规范等进行审核。

       其次，经过了特征码环节的审核过以后，就需要对流量进行非特征码环节的审核。目前基本都是通过Sandbox(沙箱)或者UEBA（用户和实体行为分析）等方式进行分析。

       最后，通过了这些环节检测以后确定网络流未包含恶意软件及代码的情况下，再考虑企业敏感数据是否泄露的问题，通过DLP或者SIEM这些进行分析后进行上报或转至拦截设备。

5.加密数据流程

加密类数据的分析比较复杂，在架构中也已体现出。正常情况下加密的数据流分析需要经过以下步骤：

       如果不能观测实际的包内容，就需要监视流量找出网络异常。想要了解异常网络行为有哪些特征，就必须得明确企业网络正常行为的构成。比如说，无业务往来的主机之间出现的连接，无论是内部主机互联，还是内部主机与未知外部系统相连，都是值得进行检查的。

       此外，TCP/UDP端口的非正常使用也是值得监视的一种行为。在端口监视过程中，不仅仅是非正常端口的使用，还要监控正常端口是否被非正常应用使用，比如为传输层安全(TLS)保留的443端口有没有用于传输明文流量。端口监视的任务相对比较繁琐，因此不适合人工处理，有很多安全产品都尝试检测网络行为异常，包括IBM的QRadar，Juniper Sky Advanced Threat Protection，甚至还有开源的Snort IPS。最高级的产品，比如思科的 Encrypted Traffic Analytics，能够将监视与情报服务集成，跟踪全球系统中的异常行为。

       最后，在需要挖掘流量审查细节的时候，可以借助网络分析工具。Wireshark是最基本的流量审查工具，也能够使用Fiddler更适用于HTTP/HTTPS流量分析。

6.敏感数据过滤

       敏感数据过滤（敏感内容识别技术）可以自动识别存储在企业内部各位置的含有机密信息的文档并对其进行更有针对性的保护。DLP产品是目前最常见的基于敏感内容识别技术而诞生的产物。

       敏感数据过滤首先需要能够自动搜索敏感信息，加密未加密敏感文档。企业的每台计算机上都存储着大量文档，通过人力一一识别文档类型显然是不实际的。通过敏感信息扫描工具可以知道这些文档中哪些是需要保护管理的重要文档。如果被扫描出来的含有机密信息文档未加密，敏感内容识别技术可以同时对未加密文档进行加密保护。新增加（新建、复制）的文档如果含有敏感机密信息，也必须要被自动强制加密。此外从服务器系统、共享平台等下载含有敏感内容的文档也能及时对其进行加密管控，只要文档中发现含有敏感信息，都必须被管控保护。

       其次，为防止信息被泄露，任何含有敏感信息的文档被外传时，敏感内容识别技术都应该及时发现，并对其进行相应管控。控制范围包含但不限于通过移动盘、网络盘、IM、邮件、上传等外传行为，当出现这些文件被非法外传的行为时，系统能自动发出警报信息。此外，非敏感文档必须能够正常传输，不影响企业业务的正常运作。

       最后，敏感内容识别技术需要记录敏感内容操作动态，追溯违规操作行为。识别技术需要可以对全盘扫描行为、敏感文档外传以及敏感文档落地加密的全过程进行记录和审计，也可以对触发了敏感信息外传控制策略、落地控制策略后的报警信息进行记录和审计。管理员在敏感信息日志中即可了解敏感信息的各类操作动态。如果发生信息泄露，可以根据操作记录追溯违规操作全过程。

总结

       人机共智型企业安全架构体系方案通过技术体系与管理体系两方面架构了一套完整的企业信息安全架构方案。在企业进行信息化安全架构建设的同时，不仅仅需要考虑到硬件方面的完整性，更需要完善人员方面的管理制度。只有实现硬件实力和人员管理两手抓，才能够真正实现人机共智，满足企业信息化安全的真正需求。