开启网络安全智能时代.pdf

封面文章 网络安全 开启网络安全 智能时代 李晓东 | 文 合气道创始人植芝盛平曾说过，“当对手攻上前，要 顺势引之；当对手想退后，要送其上路。”合气道高手对敌 时，不会直接硬碰硬，而是顺势借力引对方到其他方向。当 今，企业和组织在面临日益复杂的网络安全威胁时，应对之 道是什么？企业不妨借鉴合气道大师的智慧，采取一种积极 主动的防御模式。 50 51 封面文章 网络安全 着网络应用的广泛普及，信息 术在企业内部的部署方式）及其业务的相 随安全问题日益严峻，信息泄密 关性（防御方案如何支持业务战略目标）。 事件更是令许多企业和组织损 企业CIO 们应该搞清楚所提供的安全防护 失惨重。索尼（Sony ）、塔吉特（Target ）、 对客户满意度、忠诚度及业务收入的影响。 摩根大通银行、Anthem 等公司在这方面 只有把安全战略跟业务绩效指标挂钩，企 都有过惨痛的教训。在传统网络安全防 业才能真正在业务和安全之间建立起紧密 御模式下，许多企业即使投入了大量精 的联系。 ： 。 力和资源，面对网络攻击时还是防不胜 障碍二 受困于旧有合规思维模式 防。如今，一种全新的安全策略可帮助 当公司数字化防线曝出新漏洞时，许多管 企业应对诸多挑战：满足全球性员工队 理者都百思不得其解：企业明明已经严格 伍的多变需求、实现主动防护、发现潜 遵守了业内网络安全规定，为何还会屡屡 在威胁和攻击路径。 出现漏洞？实际上，合规并不能确保安 这种新策略能够与企业的云服务集 全。企业应该将合规要求视为网络安全的 群、供应商、身份识别标准和接入管理 最低标准。只关注管控或审计要求的安全 技术迅速整合在一起，并有效契合当前 方案必将失败，因为它们忽视了两大关键 已实施的信息安全基本原则。这种主动 因素——企业业务本身以及当前的安全威 性网络安全模式从自身业务目标出发， 胁究竟属于何种性质。 在本质上有别于以控制为核心的传统防 合规离安全仍然有很大的距离，过于 御模式。 依赖控制型方案 （mandated program）的 防御能力让许多企业蒙受重大损失 （见图 主动安全模式需先 一）。合规方案常常依据审计要求，采取 扫清五大障碍 “一刀切”的方法，重点强调如何去落实 监管要求，审计人员往往按季或逐年评估 要成功部署这一防御策略，企业首 企业的合规情况，但新的威胁每天甚至每 先需要扫清五大障碍。 小时都在出现。 ： 。 障碍一 业务和安全工作脱节 当 而在新的信息安全方案下，企业不再 今世界，以移动互