网络安全供给侧改革的“三点一线模式”

【网络安全供给侧改革是符合整个时代的趋势和潮流，以“云”和“刚需”为代表的需求形式，传统的信息安全合规体系已经无法适应当前形势，必须积极建构以“刚需”为主导的网络安全新防御体系2.0。】

随着计算机网络规模不断扩大、信息高速公路不断提速以及网络应用的不断增加，网络安全面临着越来越严峻的考验。

特别是进入“云”和“大数据”时代以来，攻击规模越来越大，常常可以发动成千上万的设备同时攻击一台主机；攻击类型越来越 多，新的攻击模式和病毒木马的变种叫人防不胜防；而攻击变化也越来越快。

因此，如何全方位感知网络安全态势、实时监控运行状况、保障信息资产安全，已经成为核心战略。

而从信息安全1.0时代跨入网络安全2.0时代，传统的信息安全合规体系已经无法适应当前形势，以“刚需”为主导的网络安全新防御体系2.0时代也已经来临，并且务必做到“三个必须”、“一个落脚”，方能做到“真安全”。

第一个“必须”：

升级防御思路

在网络安全2.0时代，网络安全防御思路方法首先必须能够予以重大升级。

传统的安全建设主要基于边界、规则、策略为主的静态防御，而将安全检测与事件响应作为辅助手段。但依据目前的安全形势来看，被动的安全防守是终究防不住的。

因为，网络安全的内涵与外延已经发生了变化。

在传统的信息安全体系中，需要保护的对象通常以信息资产为主，信息安全建设从物理层、网络层、系统层、应用层、数据层依次部署防护措施，安全防护措施分为身份认证、访问控制、内容安全、监控审计、备份恢复五大类，这也是通常所讲的“五横五纵”安全技术体系。

而以信息资产保护、IT风险管控为主的体系建设，其理念在相当长的一段时间里是非常先进的，并且对于各类组织是行之有效的。然而，在新技术、新应用层出不穷的今天，信息安全已经扩展了物联网安全（IoT Security）、数字安全（Digital Security）等内容；同时，业务欺诈、供应链等风险也信息安全有着千丝万缕的关系。

所以，当前的网络安全思维同时必须具有大安全战略的格局和高度，并且能够在这一战略格局和高度之下建构新防御体系。

第二个“必须”：

合规与刚需并举

在网络安全2.0时代，传统的以合规为基础的信息安全体系，势必升级到网络安全2.0时代新防御体系，所有组织机构的安全建设的重点也将从传统的“合规”建设，必须尽快过渡到满足自身网络安全“刚需”的新防御体系。

2017年6月1日，《中华人民共和国网络安全法》正式实施，明确了等级保护制度的法律地位，并明确提出了网络安全的主体责任，明确了关键信息基础设施的范围。

信息安全首先要合规，但合规并非代表了“安全”，因为合规只是网络安全建设初级阶段的一种手段，安全水平一定要和业务目标相关。更进一步说，安全的出发点要能紧贴用户“刚需”，并随之能有更针对性的解决方案。

一种经常会发生的情况是：用户往往是做完“合规”以后，还是解决不了核心业务系统的“安全”，特别是对外的信息发布系统，还是容易出现安全事故，而且出现安全事故以后还很难找到原因和路径。

据踏实实验室专家阐述，从2015年开始，太极计算机股份有限公司信息安全专家们就率先提出做2.0时代的新防御体系，站在用户角度，“合规与刚需”并举，缺一不可。

第三个“必须”：

“业务+数据”定义安全

网络安全2.0时代的新防御体系的核心目的必须紧扣业务数据和问题，并能提前做到安全感知。

也就是说，最新的自适应安全框架强调在传统的安全防御的基础上，强调持续的进行基于异常的安全动态检测与响应，并在此基础上能够做到安全风险事件的预测。

通俗易懂的表述是：新防御体系更多的是偏向于事前做好防御，让所有的不管是网络中的流量，网络中的事件，网络中的所有动作，以及让所有人，包括安全专业的人、非专业的业务人员，领导层面的、业务层面的，都可以从各自的视角很清晰直观地看到网络是什么状态，以及网络里边有什么漏洞。

如何建构新防御体系，从而运筹帷幄？

踏实实验室信息安全专家表示，安全的初心就是风险可控，即“业务在哪里，保护就在哪里；数据在哪里，保护就在哪里，网络安全2.0时代的新防御体系的最终效果在于对业务和数据的风险可控。”

一个可圈可点的案例是，作为网络信息安全服务的“国家队”，太极计算机股份有限公司在网络信息安全领域，提出了保护关键信息基础设施安全，围绕等级保护2.0，提出了下一代安全防御体系，并通过在数十个行业的实践进行检验，其核心点就是业务+数据定义安全。

一个“落脚”：

从基础到深度的安全能力

新防御体系同时必须要能够“落脚”在安全能力上。安全能力则分为基础能力和深度能力。这两种能力缺一不可。

踏实实验室信息安全专家表示，所谓基础能力就是合规，可以具备基本的纵深防御、检测等能力。

深度能力则是指在安全大数据、情报分析基础上的安全态势感知能力、安全策略的可视化、异常行为深度检测能力、全网流量监控审计与分析能力、主机自适应安全能力、核心资产深度数据防护能力等构成的能力群。

网络安全2.0防御重点则是数据驱动安全、安全异常深度检测、安全风险事件精准预测与态势感知，并能够将所有这些落脚在安全能力中心，最终达到安全的可管、可控、可视、可调度、可持续。

总之，网络安全2.0时代，安全防护要在IT基础设施、信息安全的基础上，扩展到全方位的网络空间的安全防护。

这无疑对政府机构负责人、企事业单位管理者以及各层面的安全管理人员，都提出了新的时代挑战。