■ 山东 刘胜军 赵长林

编者按： 企业业务越来越细分，如果网络安全防护不能快速随需而变，就无法应对日益复杂的网络威胁，这需要企业对安全策略和基础架构进行一些根本性变化。

虽然企业网络继续扩展和演变，但安全团队的目标并未改变。基础设施需要满足业务目标，同时还要满足法规和合规标准，以及保护关键数据和资源。不幸的是，对当今的很多企业而言，这些目标并没有得到满足，因为更多的时间被用于管理安全的基础架构而不是使业务能够正常运转上。

其中困难之一是网络正在经历快速变革，却没有一套连贯的安全战略。由此将导致安全团队负担过重，安全设施不断扩张，并且出现可见性和控制方面的问题。如果企业没有一个总体计划，安全团队将被迫被动地快速认识和部署安全解决方案。

如今企业可能拥有来自几十个安全厂商的解决方案，并需配置管理和升级这些方案。这种不和谐的安全架构给安全团队带来巨大挑战，其中最严重的困难是为检测和响应威胁而从不同的高度分散的解决方案中收集并关联这些安全数据。

另外还有三个方面会增加问题的复杂性：首先，物理和虚拟新设备及其相关数据正在以无法预料的速率增加到网络中；其次，应用程序和工作流程正在以惊人的速度被添加、更新和替换；第三，这些应用程序和工作流程需要能够在不同的网络环境（包括远程设备、分支机构、多云生态系统）中自由迁移。

收回控制权

解决这些困难远远超过了很多安全团队的能力。所以，虽然安全花费巨大，但网络攻击带来的损失仍超过企业在安全上投入的数倍。

安全团队在2019年可以做的保护企业的最重要事情是：收回安全环境的控制权。要开始这个过程，需要做到三个方面。

1．在第一时间参与业务运营计划。及早加入可以在保护新资产、确保合规性方面节省时间和金钱，并可以高效地建立作为更大安全战略完整组成部分的安全性。

2.用可集成的能够查看、共享、关联威胁情报的工具替换孤立的安全设备。这些工具还需要能够持续地、无缝地跟踪工作流、应用程序以及在不同网络环境之间移动的数据，并保障其安全。

3.开发一套使用开放性API和标准、集中化SIEM的管理策略。如果有可能，还要采用一种通用的操作系统，用以在多种安全解决方案之间建立和维护集中化的策略发布和执行。

安全需要追踪数据

在具备基础条件后，企业即可通过自动化来优化安全性，其中包括两个关键功能。

1.条件访问。对于为雇员和客户提供高性能应用、处理信用卡交易、管理个人身份信息和管理敏感数据的企业来说，要求一种更具有创新性的方法，从而在基础架构的安全性上执行强健的访问控制。

此外，添加到网络中的任何设备都需要评估是否遵循安全策略，然后结合这个设备的具体环境和使用情况，根据特定策略来决定是否允许连接到网络。具体依据包括它属于哪类设备、要求哪些资源来进行访问和支持，如果该设备有用户，用户拥有哪些特权。然后需要用策略来为此设备加上标签，从而使整个安全生态系统都可以跟踪和强化这条策略。

2.动态细分。企业还需要能够动态地将某些数据和应用程序与其余资产进行分组和隔离，以保持符合各种监管标准。同样的要求也适用于应用程序、工作流和交易。细分是解决问题之道。

内部的安全细分可以将资源限制到一个物理位置，如一幢特定的大楼或一个实验室；还可以将这些资源分配给一个特定组或功能，如销售组、工程组或临时客户的访问。这种细分还可以根据设备的类型来实施，如数字摄像机、物联网设备或库存的标签等。

除了设备之外，细分还需要包括应用程序、工作流和其他业务。其中包括能够将这些数据与未获得授权访问的数据隔离开，或者包括能够自动确保与特定用户、服务器或数据中心资源有关联的数据的安全。

最后，这种细分还需要能够持续地保障数据安全并能够隔离数据，而不管数据需要流动到哪里。即使数据流的路径是在物理地域的混合网络环境和公有云、私有云的网络及服务之间，敏感的工作流也需要在数据流动的整个路径上加以保护。

基于目的的细分

但是要使细分在当今企业环境中有效运行，还需要能够将业务目标自动转化为安全需求，然后将这些需求映射为特定的策略。这就要求将机器学习增加到细分工具中，使得安全管理员可以预定义策略，而且高级细分软件还可以基于其能力来实施这些策略，从而实现解析工作流、应用程序和已部署设备的业务目标。

为此，基于目的的细分需要能执行四大功能：首先，这种细分能够将高级的业务语言转换为细分策略；其次，需要在网络中自动实施和强化策略；第三，需要持续地监视数据的状态或被细分设备的状态；第四，还需要利用机器学习来选择最佳方法来实施，并持续地监视，而且还要能够在发生任何变化后，自动采取纠正措施。

利用高级安全功能实现数字化的业务目标

保护当今高度动态和灵活的网络不仅仅需要用高速度去实施变更。基于目的的工具（如细分）的新进展使企业能够创建业务目标，这些目标可以自动转换为安全策略，而这些策略不仅可以无缝地跨越网络，还可以自动适应变化。

如果企业不对安全策略和基础架构进行一些根本性变化，上述目标就无法实现。如果企业安全框架不能适应网络变化，共享和关联威胁情报，并以一种统一的系统来应对，企业就无法充分利用新的数字经济创造机会。