自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
浅谈信息安全的“变”与“不变”
文 | 于闽东
于闽东
蓝光地产IT总监、安全负责人
曾任华住酒店集团资深架构师、世茂集团高级经理、土豆网IT规划负责人等职务。具有近二十年IT安全从业经验,具备大型地产公司及大型互联网公司的工作经历;一直从事架构类、信息安全管理等领域。
信息安全的发展是跟信息技术发展和用户需求密不可分的。目前信息安全领域的流行观点是:信息安全的发展大致分为通信保密、信息安全和信息安全保障三个发展阶段。
信息安全概念的出现早于计算机的诞生,当计算机网络及信息高速公路出现以后,信息安全变得越发复杂,更加“隐蔽”。现代信息安全区别于传统意义上的信息介质安全,是专指电子信息的安全。
随着信息技术的不断发展,各种信息电子化、数字化,更加方便地获取、携带与传输,相对于传统的信息安全保障,需要更加有力的安全保障,而不仅是对信息接触者和信息本身进行管理,介质的形态已经从“有形”到“无形”。在计算机支撑的信息系统中,正常业务处理的人员都有可能接触、获取相关信息,信息的流动是隐性的,保障涉密信息的重要环节变成了对业务流程的控制。
从信息安全的发展历程来看,安全保障的理念分为下面几个阶段:
1、 面向信息的安全保障
这一阶段人们强调的是信息的保密性, 主要目的是保障信息的传递安全,防止信源、信宿以外的其他对象查看信息。
面向信息安全保障的理念是以风险分析为前提,体现在对信息的生产、传输、存储、使用过程中的保障,主要技术是信息加密,保障信息不暴露在“光天化日”之下。
所以面向信息的安全,是被动跟着攻击者的步伐,建立自己的防御体系,属于被动防护。更残酷的是:随着攻击技术的发展,你与敌人的“安全距离”越来越大,需要敏锐的发现力——因为只有监控到敌人的动向,才能谈安全。
所以,这个面向信息的安全,一般采用防护技术加人员的安全管理等,但大多边界上的防护技术都属于识别攻击特征的“后升级”防护方式,意思是,在攻击者来之前升级补丁就可以防止入侵,若没有来得及升级,或者没有可升级的“补丁”,系统就有危险。并且面对加密技术的暴力破解也随着计算机的速度发展,让加密系统的密钥长度越来越长。
2、 面向业务的安全保障
面向业务的安全,完全是从信息化角度考虑信息安全。当互联网深入到社会的各个角落,成为工作与生活的“信息神经”,这时计算机的故障、网络的中断,往往是整个企业的故障,某些金融、物流、交通等企业的网络故障完全足以导致业务中断、停业。
因此,要保障的不再只是信息,而是整个业务系统,以及业务的IT支撑环境,业务本身的安全;是用户的访问控制、系统的服务提供方式,这个时候的业务稳定的需求超过了信息的安全需求,从业务流程的控制角度考虑安全就呼之欲出,这个阶段就是面向业务的安全保障。
因此针对业务连续性的安全保障,公安部发布了信息系统等级保护、分级保护,并对一些涉及国家经济基础性产业的基础信息系统,如交通、金融等,要求强制性保护。
3、 面向服务的安全保障
随着网络的业务系统越来越多,各业务系统的边界逐渐模糊,数据互通,系统运营的管理平台整合,安全保障从对单个业务演变为对多个业务交叉系统的综合安全保障,IT基础设施与业务之间的耦合度逐渐降低,安全也分解为若干单元,安全不再面对业务本身,而是面对使用业务且涉及该业务安全保障的客户,因此,安全保障也从面向业务发展到面向服务。
随着互联网化技术的发展,我国已经进入大数据时代,进入云时代。当环境悄悄发生变化的同时,关注安全的人也发生了变化,我们的信息交流从局域网升级到互联网,如何在新形势下维护安全有序的信息环境,更加需要我们转换安全建设思路。将需求转变从关注脆弱性转为关注结构性安全,从关注面向威胁转为面向能力,从关注点转为关注大环境的安全。因此,安全之变不是在局域网里打造铜墙铁壁,而是如何在大环境下建立运营安全和可信秩序。
赫拉克利特曾经说过:“唯一不变的就是改变。”此箴言2500年后依然正确无误。我们周围的世界一直在改变,以一种疯狂的速度在改变,信息安全领域也是如此。各种虚拟世界中的网络安全现在逐步对现实造成了影响,会影响到物理世界的安全,会影响到人身安全、生命安全,甚至会影响公共安全。以至于我们很多传统行业在向数字化转型的过程中,对于风控、车联网、物联网等产业互联网信息安全的如何保障,需更加关注。
归根结底:信息安全最终保障的还是数据,伴随着行业变化、数字化转型,大量数据集中化汇集的威力日益显现,会对很多不同的行业和领域产生很大的影响,安全不再是简单的保障,而是另一种服务。
从近几年来的安全趋势来看,有几个方面:
1、 国家对安全的重视越来越高;
2、 对供应链的攻击越来越多;
3、 对硬件和固件的攻击趋势在逐步提升;
4、 勒索病毒和挖矿层出不穷;
所以过去十年信息安全所处的环境发生的大的变化在以下几点:
1、 整体的IT架构在升级,安全保障和功能的定义由网络定义向设备定义或应用定义转变;
2、 政策上的变化,2017年《网络安全法》发布以后,2021年针对个保、数保、关基等针对国家的关键信息基础设施、个人隐私数据等方方面面,通过政策性的法律法规进行保障。国际上,不管是欧盟的GDPR、英国的BPA、美国的个人隐私信息保护的要求和规范,还有强制性的规定,也说明网络安全变得越来越重要,数据的保护也会变得越来越重要。
3、 安全对抗加剧,从海陆空演变成为“海陆空天网”五维环境,都涵盖在国家安全范畴,所以网络安全提升到了很高的高度。
4、 云安全。我们的核心业务和核心基础设施逐步云化,对云服务商的要求会越来越高。
5、 由合规驱动走向发展驱动。从满足合规要求转变为对好的安全保障和安全能力的要求。
综上所述,因为各行各业都在逐步深入到数字化转型的互联网里,不同行业会有不同行业的场景和商业模式,所以信息安全之变在于对原生的安全研究,安全的普惠,安全的保障方式,而数字资产的安全则是不变的永恒。
诸子笔会2022 | 王忠惠:企业安全治理时绕不开的事
诸子笔会2022 | 张永宏:安全之变
诸子笔会2022 | 朱文义:多变的企业应用安全工作
2021首届诸子笔会
齐心抗疫 与你同在 
原文始发于微信公众号(安在):诸子笔会2022 | 于闽东:浅谈信息安全的“变”与“不变”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论