返回
太极股份郭峰-构建下一代信息安全落地保障体系

太极股份郭峰-构建下一代信息安全落地保障体系

ID:23331010

大小:59.62 KB

页数:6页

时间:2018-11-06

太极股份郭峰-构建下一代信息安全落地保障体系_第1页
太极股份郭峰-构建下一代信息安全落地保障体系_第2页
太极股份郭峰-构建下一代信息安全落地保障体系_第3页
太极股份郭峰-构建下一代信息安全落地保障体系_第4页
太极股份郭峰-构建下一代信息安全落地保障体系_第5页
资源描述:

《太极股份郭峰-构建下一代信息安全落地保障体系》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、太极股份郭峰:构建下一代信息安全落地保障体系《黄帝内经》中说:圣人“不治已病治未病,不治已乱治未乱”,意思是说好医生的高明之处不只在于能治症状明显的疾病,更在于能在未发病的情况下就能发现疾病,并治疗好。这个道理,在太极计算机股份有限公司(简称太极股份)信息安全与自主可控战略业务本部副总经理郭峰看来,对信息安全也一样适用。近日,郭峰接受《中国信息化周报》记者的采访,将他多年来对信息安全工作的认识和最新的思考向记者媒嬋道来。信息安全的新形势“从2004年开始,我们开始做信息安全相关项目和工作。十几年来,整个产业技术和市场不断发展,我们也不断从用

2、户那儿听到不同声音。信息安全在发生着深刻的变革,越来越复杂,我们也在不断总结、思考。”在郭峰看来,从单机时代、网络时代、互联网时代到云时代,信息安全在各个方面都在发生变化。首先,威胁特性在变:从恶作剧到商业化到今天的国家安全威胁;其次,计算环境在变,从单一计算到网络计算到云计算;再次,安全防御重点在变,从基础安全到网络安全到现在的合规安“随着计算环境的更迭,威胁技术、攻击方式也在变化,安全防御的重点也随之变化,安全与业务的结合紧密度越来越高,管理者的安全意识不断提升,我们可以从复杂变化中探索出未来信息安全防御体系趋势。”郭峰借用马斯洛需求层

3、次图来类比表述企业对信息安全的不同需求层次(如1)结合在2016年RSA大会所见所闻的信息安全国际趋势,经过多年的摸索和思考,郭峰提出了有效构建下一代信息安全落地保障体系的思考,核心思想是“持续建设IT免疫系统+信息安全能力叠加”。安全评估是信息安全的第一步,构建业务系统信息安全防护体系的前提是深入了解组织业务系统风险,评估组织安全状态。安全防御成熟度是评价组织安全现状的一种方式,不同程度的安全成熟度映射出自身免疫系统的稳固程度,定义了组织的信息安全需求度,对应其成熟度为组织构建相应保障体系是信息安全建设的有效途径。何以堪称下一代传统信息安

4、全的核心是合规性建设,但信息安全合规建设有不足之处有待完善,如政策标准滞后、保障体系建设过程不完整、管理技术运行体制不一致、对业务视角的重视度不够等,因此需要持续改进传统基础防御体系,并以业务为核心进行安全策略一体化运转,运用可视化技术提升管控能力,强化业务系统的自身免疫能力,且需要整合各种对抗新型威胁的技术能力以提高防御自适应能力。就像治病防身的有效途径是提高人体免疫力一样,郭峰介绍,下一代信息安全落地保障体系核心主导思想是持续建设IT免疫系统及信息安全能力叠加,延续Gartner自适应体系的思想,主要功能分为预测、防御、恢复、检测四个模

5、块,在合规建设的基础上进行安全能力的叠加及持续可视化策略自适应调整,以安全策略可视化为核心将所有功能聚合成一个体系。下一代信息安全落地保障体系强调从业务视角实现安全,保障业务连续性和安全性。在传统合规建设体系的基础上转换视角进行防御技术的叠加,实现持续可视化监控业务系统状态并自适应调整以提升业务系统自身的免疫能力。从技术层面而言,与业务结合的安全策略可视化是构建下一代信息安全落地保障体系的核心,业务系统的IT免疫能力和自适应能力决定自身的安全防御能力。可视化的安全策略可以叠加各种能力进行联动调整,通过监控用户异常行为进行策略调整防护用户受到

6、APT攻击;通过监控应用层数据防护用户受到Web攻击,通过监控业务层数据进行策略调整优化业务性能,整合业务层、Web层、网络层、数据层关键数据以及用户行为及外部威胁情报进行快速分析、可视化现并做出准确预警,在解决合规建设不完善之处同时防御新型攻击威胁,实现业务与安全的融合统一,最终实现核心业务安全态势感知(如图2)。对于通过监控用户异常行为进行策略调整防护用户受到AFT攻击,郭峰具体解释说:“其实,从某种程度上讲,你阻止不了网络入侵者进来,因为他们都是通过各种手段伪装成正常用户,但是我们可以通过监测用户进入系统之后的具体行为,如果其行为路径

7、出现异常就可以辨识出伪用户,继而通过调整策略进行防护。”寻求新能力者联盟落地信息安全郭峰向记者介绍,太极股份现有100多人的信息安全服务队伍,积淀50多个安全解决方案与10多个行业安全经验,着眼于重要基础设施、重要信息系统、重要公共服务三大领域,覆盖咨询、规划、建设、运行、审计等服务,最近6年内累计了20亿信息安全工程合同,3⑻多项等级保护、保护合规建设项目,积累了大量行业安全经验,沉淀出核心的信息安全落地解决方案,并且随着国家政策、国内外形势、威胁技术的发展不断更新。“过去,我们给客户做了大量的等保合规,帮助客户梳理安全体系策略。但等我们

8、第二年再去客户那里发现,梳理完就梳理完了,都因为这样那样的原因,并没有继续落地执行。”为什么会这样?除了客户自身意识或者管理的原因,郭峰认为过去信息安全策略的可落地执行性差也是造

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。