在今年的ISC2018会上,我们看到,越来越多的与会人员将安全管理的重点,从技术向业务转移。

9月4日召开的中国首席安全官高峰论坛中,诸位首席安全官从业务安全的角度,展开对话和讨论。众多的与会演讲嘉宾直接在演讲题目中就引出了业务或业务安全问题。为何如此多的目光聚焦在业务上呢?主要因素有两点,一个是安全技术落地实现的发展需求,一个是安全理念和战略推广的发展需求。

首先,我们从安全技术落地实现的发展需求来看。

本次大会的主题是“安全从0开始”,众多的嘉宾包括《零信任网络》作者、资深网络工程师Even Gilman从不同的身份和角度对0信任机制的理念和实践进行了阐述。

旧有思维专注防御边界,假定已经在边界内的任何事物都不会造成威胁,因而边界内部事物基本畅通无阻,全部拥有防卫权限。但是最严重的数据泄露事件都是因为黑客进入公司防火墙之后基本没遇到什么阻碍就能在内部系统中来去自如。

互联网+时代传统边界已经不存在了。纯内部系统组成的企业数据中心不再存在,企业应用一部分在办公楼里,一部分在云端——分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应用。

在传统防火墙难以阻挡黑客入侵以及传统边界模糊化的如今,要保护自身安全,就需要基于零信任机制,进行身份认证与管理,构建以业务和数据为核心资产的纵深防御体系,这个纵深防御体系一般包括以下几个部分

1. 无边界设计

2. 持续身份认证与授权

3. 上下文感知

4. 动态访问控制

我们需要根据用户的行为开展持续认证与授权,基于0信任,在用户进行任何操作之前,校验用户身份,授予正确的业务权限;同时我们需要对用户行为进行动态访问控制,基于大数据和机器学习,建立业务行为模型、业务行为安全基线以及用户个人画像,随时对用户当前行为进行分析判断,识别身份仿冒以及异常业务操作,进行违规阻断。

零信任机制下,我们需要将保护的核心资产,由传统的边界和设备,转移到业务和数据;同时我们需要基于业务进行身份验证与授权,也需要基于业务对用户行为进行监控和分析,构建业务安全态势感知能力,因此,要实现零信任机制下的纵深防御体系构建,必须要以业务为核心,进行分析、解构和构建。

其次,从安全理念和战略的推广需求上,也是需要从业务角度出发来进行开展工作。

《中华人民共和国安全生产法》中规定了生产经营单位的主要负责人对本单位的安全生产工作全面负责;保证安全技术措施同步规划、同步建设、同步使用。应急及业务连续有关标准规范也规定企业最高领导人是应急与业务连续的第一负责人。

因此,企业安全战略的确定,安全体系的建设落地,都需要高层领导的支持和直接参与。在和相关高层领导沟通过程中,如果不能从企业的业务和管理角度出发阐述安全需求,而是从技术角度出发,很难得到领导的理解,只有从企业管理者、运营者的企业管理与业务安全运营角度出发,才能正确的让企业管理者与运营者理解安全需求,开展安全体系规划和建设。

Gartner研究总监张洁在题为《网络安全和风险管理发展趋势》中也指出,网络安全和风险管理,要从高层管理人员开始,面向企业业务与运营,识别业务风险和业务安全需求,开展企业安全体系建设。安全体系建设,已经开始,并且必须推进从面向技术到面向业务的转变和提升。

(本文作者:360企业安全技术专家 蒋爱平)

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。