领先一步，领先的是思维方式.docVIP

领先一步，领先的是思维方式 在日益复杂的网络威胁环境中，企业要保证安全，需要的是领先一步，提前防范，不是亡羊补牢。领先一步不仅仅是技术领先，更要有超越传统防御手段的安全思维方式。 目前，很多防范手段都是基于病毒或者威胁特征码进行分析、过滤、拦阻，而这种方式都是对已知的威胁进行防御的传统手段。而很多危害在发生前没有明显的预兆，尤其是入侵行为。据一些安全厂商统计，入侵行为被发现通常是在该入侵行为发生后的200天左右。这样的后知后觉造成的结果是损失惨重。如何才能在危险发生前做到提前预警，提前防范，这才是用户所关注的。 安全分析放首位 如何对来自各方面的可能的威胁进行分析是安全解决方案提供商所面临的第一个问题。它们有什么先进的技术呢？对于预先防范，它们通常要做的是对异常数据流进行分析。何谓异常数据流，简单来说就是有别于常规业务数据流的一些突然激增现象，这就有可能是异常行为。做到主动防御是关键的一步。通常情况下，当安全软硬件侦测到这种行为异常时，会做出一些反应：首先会进行记录，然后向管理员进行汇报，由管理员进行手动拦截。 如今的安全软硬件已经具备了很多自我分析和自我处置功能。它们一旦发现异常数据流激增变化，产生异常数据交换行为，就会对发出该命令的程序进行拦阻，或者对其进行封箱，与正常应用隔离开来，避免可能产生的严重后果。这就是所谓的沙箱技术。它可以将可能的威胁提前进行分析过滤，将可能带来的危害降低。这种方式事实上需要很强的分析能力。哪些是正常的数据流激增，而哪些又是异常的激增数据流，都需要安全软硬件来判断，这取决于安全软硬件的识别能力和感知能力。 写到这里，笔者联想到某些具有自我学习功能的软件，比如最近炒得很火的谷歌AlphaGo。如果安全软硬件都具备那么强的自我学习能力，确保信息安全应该就不用那么复杂了吧？错，信息安全并不仅仅是由一些软件和硬件堆砌起来的，物是死的，人是活的。人为的因素可能更容易带来危险。人为因素指的就是由于员工自我防范意识缺乏造成的危险，这其中就有很多查看钓鱼邮件所引发的危害事件。在这些钓鱼邮件所引发的事件中，近期出现比较多的就是CTB-Locky、CryptoLocker等加密勒索软件。 管理平台模块化 融合，当下人们谈论得多的就是融合架构。基础设施中的安全设施也需要融合架构。面对复杂的融合架构，安全解决方案提供商需要搭建一个行之有效，而且一目了然、容易理解的管理平台。近期，笔者看到了很多这样的平台，在这里笔者先介绍一下来自于Check Point的Check Point 15000、23000和Check Point R80等新一代安全设备和管理平台。前两个设备整合了防火墙、入侵防御系统（IPS）、反僵尸（anti-bot）、防病毒、应用控制、URL过滤和Check Point SandBlast沙箱技术；通过确保在不影响性能的基础上，对完全混合的加密流量（安全套接层 SSL ）的检测来应对未来源自加密流量的针对企业的攻击；遵循集合冗余等创新的设计原则，拥有带外数据管理能力；采用40G扩展卡来管理持续增长的数据流量。 Check Point R80管理平台为企业提供了一个统一的安全方法来整合安全的各个方面，使管理者可以更加有效娴熟地为整个组织部署强大的安全保护。R80平台采用一个单一的控制台管理边界、数据中心分支和云部署，确保整个架构拥有持续的强大保护。这意味着将实现对安全管理的简化和更好的可视性，甚至允许多个管理员在同一策略下工作，而没有冲突，使整体安全策略可以更好地支持业务流程和网络架构。R80平台将安全策略分割成多个部分进行管理，使安全团队可以跟上不断改变的策略。同时，R80平台还将安全与IT流程相结合，帮助业务管理者授权安全平台实现自助服务，从而减少在安全运维和业务之间进行沟通的人员消耗，使主要的安全专家能够把精力集中于策略性的安全任务。通过R80，安全团队将对安全状态实现全面了解并且快速做出反应。监控、记录、报告和事件相关信息都会在同一、可视、定制的控制面板上显示。这不仅可以使管理员简单明了地了解问题所在并快速地应对事件，还允许他们为从关键业务人员到技术合作伙伴的每个人制作定制化的报告。 另外，以上这些设备和管理平台都是模块化的，就比如“软刀片”，可以较为随意地更换和增添。Check Point 北亚区总裁罗杉表示：“我们销售‘软刀片’其实是一个服务。我们第一年给用户免费提供所有‘软刀片’，第一年会全部激活给用户。我们的‘软刀片’是模块形式，用户可以随时添加。第二年用户可以根据自己的应用环境进行调整，付费激活相关模块。” 为了满足跨平台应用，除PC端管理平台外，Check Point还为这几种管理平台开发了相应的多操作系统简易版监管平台，方便不同系统用户使用。 增设服务中心 预测新一轮威胁 对于大而全的