2018ISC大会如期而至,第一直观感受是会议规模较往年仍在继续快速扩大,各行业对网络安全的重视程度正在快速加强,也印证了齐向东董事长对安全产业发展的趋势判断。
安全技术正在快速迭代,新型安全理念正在逐步实现产品转化、工程化落地实践。但是各行业对安全形势的判断并未变得更乐观,形势甚至可能在恶化,针对敏感行业或高价值目标对象的安全威胁的检测判定变得越来越困难,随着IT架构的演进和管理要求的细化,安全建设可能需要回到安全的本源和原点思考,安全从0开始,重新审视网络安全的思想、方法、技术和体系。
军工行业作为国防安全的主要支撑力量之一,在信息安全、保密管理方面的重视程度和人员整体安全意识方面相对较好,当前安全行业热议、且在本次ISC大会也有研讨的“零信任安全”的防护思想,与军工体系内部一直以来的安全管理思路——“任何人都可能成为潜在的泄密者、内部人员不可信”有着殊途同归的契合感。差异在于“零信任安全”模型得到了完整的技术实现和工程实践,而军工行业的大量安全思想仍然以管理制度形式通过线下执行实现,执行效率、管理成本及落实程度均存在问题。
鉴于军工行业防护目标的特殊性,其防护要求在无法全部通过技术手段实现的情况下,只能采用被动安全防护产品 + 管理制度线下执行实现,造成业务运行效率降低和管理成本的增加,更重要的是管理制度的落实存在大量人为因素、无法保证完整一致的执行,正如 360企业安全集团董事长齐向东在之前所提到的两大失效定律:“一切违背人性的技术与管理措施都一定会失效;一切没有技术手段保障的管理措施一定会失效”。造成这一局面的问题包括军工行业合规标准的滞后。
军工行业的合规标准(以分级保护保准体系为主)当前已部分制约了安全新技术、新产品在内部IT环境的应用实践。
毋庸置疑,分保体系标准在军工信息化建设初期的安全防护方面起到了不可或缺的指导作用。具体在安全建设的“滑动标尺”模型中(架构安全、被动防御、积极防御、威胁情报、进攻反制),分保指导体系在架构安全、被动防御建设阶段发挥了重要作用。但在网络安全形势及安全防护技术的快速演进的过程中,面对新的积极防御需求、威胁情报需求存在明显缺失。
更为严重的问题在于,分保体系建设在安全产品选用许可方面,严格限制或阻碍了新型技术安全产品的应用。潜在攻击者可能采用任何最新技术手段,造成了在攻击技术不断升级的情况下,新型防御技术手段因政策性限制而无法采用。人为扩大了攻防手段的不对等程度。
军工IT环境针对诸如APT攻击的高级威胁的防护,当前主要通过物理隔离和传统合规类安全产品防御,军工行业防护目标作为APT攻击的重点关注行业对象之一。物理隔离虽然能够避免直接的外部网络攻击、减少数据窃取途径,但是隔离网必须留有的合规输入输出通道完全可能成为APT攻击的入口,对内网环境及业务数据的破坏性攻击风险极大。
针对以上问题,通过ISC大会对行业客户的安全理念影响,部分较为积极主动的军工客户也已意识到当前所面临的真正安全隐患,并初步了解了新型安全技术产品的防护能力,同时正在联合新型安全技术厂商积极推动监管机构、加快改进阻碍行业安全新技术应用的标准规范,携手促进安全防护技术能力的提升。
(本文作者:360企业安全技术专家 赵磊)
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
