岑 岚，王 军

（中国移动集团安徽分公司，合肥 230000）

大多数信息安全审计方面会优先集中在聚焦关键系统、关键业务操作、高价值信息，以及基于策略、规则的控制，将危险拦截在外。

然而，完美的防御是不可能的。高级定向攻击总能轻而易举地绕过传统预防机制。

结果，面对不可避免的风险行为时，大多数企业只有有限的能力检测和反应，随之而来是“停摆”时间变长，损失变大。

1 自适应响应式信息安全识别模型的四个阶段（识别-＞预测-＞监控-＞回溯）

实际情况中，提升后的识别、检测、响应和预测服务都需要继续应对各种风险。因此，更重要的是不要将其视作封闭固定的功能，而应以智能、分享的方式工作，对于高级风险，自适应响应式系统需持续完善保护功能。

2 自适应响应式信息安全识别模型关键能力

（1）“识别能力”是指一系列指标集、产品和服务可以用于识别风险。这个方面的关键目标是通过识别风险、减少被威胁面来提升风险门槛，并在受影响前进行拦截。

（2）“管控能力”该方面的关键目标是降低风险造成的“停摆时间”以及其他潜在的损失。管控能力非常关键，风险管控要懂规则，更要懂业务，要负责把规则转化成业务行动，并监督落实。

（3）“回溯能力”用于高效调查和补救被检测分析功能查出的事务，以提供数据证据和风险来源分析，并产生新的预测、识别手段来避免未来事故。

（4）“预测能力”使模型体系可从外部监控下的威胁行动中学习，以主动锁定对现有系统和信息具有威胁的新型风险，并优化识别能力。该情报将反馈到识别和检测功能，从而构成完整的闭环立体结构。

3 自适应响应式信息安全识别模型是一项持续处理过程

在持续信息安全风险中，我们需要完成对安全思维的根本性切换，从“应急响应”到“持续响应”，前者认为风险是偶发的，一次性的事故，而后者则认为风险是不间断的，渗透系统和信息的努力是不可能完全拦截的，系统应承认自己时刻处于被攻击中。在这样的认知下，我们才能认清持续监控的必要性。

4 持续监控和分析是自适应响应式信息安全识别模型的核心

为面向复杂、变化的信息安全风险而实现真正的自适应及基于风险的响应，信息安全识别模型防护程序的核心一定是持续的主动监控和可视化分析风险行为痕迹。这将生成大量数据，我们可以用多种分析手段来处理这些数据，包括启发性方法、统计方法、推理建模、机器学习、聚类分析、贝叶斯建模。通过一段时间的存储和数据分析，并融入业务场景、内外风险和社群智慧，“正常”模式才能建立，而且数据分析也可以结合业务理解，用于分辨出从正常模式偏离的行为。

5 自适应响应式信息安全识别模型5种关键输入

指标：用于定义和描述各项组织需求，包括数据类型、数据权限、业务活动、哪些应用允许执行，哪些应被禁止，扫描的频率、敏感数据保护、应急响应等，这些指标通常源于内部指导和外部影响。

场景：基于当前条件的信息（如对象、时间、地点、风险状态等），场景感知使用额外信息提升信息安全决策正确性。对于分辨哪些风险逃过传统安全防护机制，以及帮助确定有意义的偏离正常行为，而不需要增加大量误报率时，对场景的利用非常关键。

社区智慧：为更好地应对高级风险，信息应该是聚合的，可通过基于社区进行分析和分享的，理想的情况下，还应该拥有在相似行业和地区进行信息聚合及分析的能力。这种风险知识能力建设与分享可以提升所有参与者的整体防护能力。

风险情报：风险情报既可以为客户提供单独的风险监测，锁定危害性的恶意IP、域名、黑产号码等，也可集成到主流安全管控防护系统和产品，如风险控制系统、业务生产系统、客户管理系统等，同时可以为安全分析人员提供溯源线索，从而打造健康高效的风险情报生态系统，构筑宽共享、全联通的信息共享环境，可使威风险报价值最大化，提高参与共享各方的智能风险检测与应急响应能力。

漏洞分析：该信息提供给我们对其所用到的设备、系统、应用和接口中的漏洞进行分析。除了包括一致的漏洞，分析还包括存在于企业客户和第三方应用中的一些未知的漏洞，可通过主动测试其应用、库和接口来完成。

6 自适应响应式信息安全识别模型价值

与自适应响应式信息安全识别模型的核心思想——敏捷处理不同，传统信息安全的核心思想是防御和控制，就像是建设一座城墙，希望把风险阻挡在城墙外面，但风险穿透城墙有很多种方式。而且企业的业务要发展、要壮大，与安全讲究的控制是有些矛盾的。“我们不能沿着安全的老路走，我们要走一条新的道路，信息安全审计的目标也是多产粮食，而不是影响或阻碍粮食的生产，绝不允许为了风险控制，把业务逼上梁山。”