好看的皮囊千篇一律，

有趣的靈魂萬里挑一。

拋開現(xiàn)象看本質(zhì)，

網(wǎng)絡(luò)安全的靈魂是什么?

如果把防火墻等硬件看作皮囊的話，

它們的靈魂就是安全策略，

沒有靈魂的防火墻是脆弱的、無用的，

也是孤獨的。

基于對當(dāng)前防火墻策略管理現(xiàn)狀的分析，

我們總結(jié)了九大“孤獨問題”。

第四期【安全說】邀你探討這“獨孤九式”，

以下歡迎欣賞。

講師簡介：李源，20年網(wǎng)絡(luò)安全領(lǐng)域從業(yè)經(jīng)驗，長期擔(dān)任中國人民大學(xué)MBA學(xué)位評審委員，現(xiàn)任北京安博通科技股份有限公司資深顧問。

凡是不以策略管理為目的的防火墻，都是“耍流氓”。

這些打引號的“流氓行為”包括：策略只增不減，有人開通，無人回收，日積月累產(chǎn)生大量無用策略。政策落地難，由于缺少自動化工具，實踐中較難達成策略最小化與合規(guī)性要求。需要大量試錯成本，策略變更過程中，經(jīng)常出現(xiàn)策略不生效、影響其他策略等問題。無力精細化管理，在不了解網(wǎng)絡(luò)全貌的情況下，很難精細到端口和協(xié)議。

IDC早在2018年，就建議安全廠商重視策略管理。Gartner在2019年預(yù)測“到2023年，99%的防火墻缺口/被突破是由防火墻配置錯誤引起的，而不是防火墻自身缺陷”，并定義了網(wǎng)絡(luò)安全策略管理技術(shù)(NSPM)。在等保2.0中，也對策略管理有著明確要求。

從某種角度講，防守者需要的不是防火墻，而是一套訪問控制管理機制，防火墻只是這套機制的載體。我們將訪問控制的決策心智，稱為“策略中臺”，或安全策略智能運維平臺。

平臺的目標是：實現(xiàn)全網(wǎng)異構(gòu)設(shè)備訪問控制策略的一體化全生命周期管理;實現(xiàn)面向業(yè)務(wù)視角的全局網(wǎng)絡(luò)安全域拓撲架構(gòu)可視;實現(xiàn)全流程訪問控制策略自動化運維;加速數(shù)字轉(zhuǎn)型的自動化、集約化、智能化進程，全面提升安全運維及防護保障能力。

平臺采用大數(shù)據(jù)典型的三層架構(gòu)模型：數(shù)據(jù)采集層、數(shù)據(jù)建模層和數(shù)據(jù)展示層，打通以資產(chǎn)、策略、路徑、風(fēng)險為核心的四大流程，且可以無縫對接第三方安全管理平臺。

平臺具備一個安全策略全局建模核心算法，以及多源異構(gòu)設(shè)備的適配與管理、安全域拓撲建模、攻擊面量化評估和無風(fēng)險策略運維四大創(chuàng)新能力。

當(dāng)我們從“以設(shè)備為中心”走向“以策略為中心”的管理模式，一切開始改變。有效解決了策略只增不減、訪問控制關(guān)系不清、合規(guī)檢查無從下手、策略最小化淪為空談等長期痛點問題，通過安全策略的智能化運維，可以持續(xù)高效地控制風(fēng)險并加以緩解。

作為可視化網(wǎng)絡(luò)安全技術(shù)創(chuàng)新者，安博通多年來持續(xù)深入用戶一線場景，特別是網(wǎng)絡(luò)攻防實戰(zhàn)場景，結(jié)合業(yè)務(wù)流程與管理規(guī)范，不斷豐富著實踐，已連續(xù)四年獲得工信部網(wǎng)絡(luò)安全試點示范項目，并在政府、軍隊、企業(yè)等多個行業(yè)獲得成功應(yīng)用。

安全策略智能運維平臺已幫助用戶管理超過25種品牌、10000臺網(wǎng)絡(luò)安全設(shè)備。據(jù)不完全統(tǒng)計，將應(yīng)急響應(yīng)效率提升了31%，策略合規(guī)性提升了49%，安全運維復(fù)雜度降低了35% 。

通過對安全本質(zhì)的深刻分析，我們看到：安全是一種持續(xù)的過程，只是反映某個時間點和空間點的暫時狀態(tài)，終極安全結(jié)果很難達到，這一點引發(fā)著我們的持續(xù)思考。

從軍事思想出發(fā)，OODA是全球公認的軍事作戰(zhàn)方法論，雖然它完全起源于軍事領(lǐng)域，但同樣適用于網(wǎng)絡(luò)攻防領(lǐng)域，美軍的網(wǎng)絡(luò)安全建設(shè)思路就很大程度上依據(jù)了OODA模型。從中可以得到幾點啟示：1、縮減攻擊面是安全防護永恒的主題。在漏洞必然存在的情況下，降低安全風(fēng)險的有效方法是縮小攻擊面，安全防護體系不斷完善的過程，就是攻擊面不斷縮小的過程。2、縱深防御永不過時。3、安全配置管理(SCM)是十年磨一劍的重要基礎(chǔ)工作。SCM是安全能力的基礎(chǔ)，缺少它一切只是空中樓閣。4、打仗靠地圖。

在掛圖作戰(zhàn)中，我們需要將網(wǎng)絡(luò)空間中的防護對象和防護措施可視化，從而打造全局視角，完善整體防護、縱深防御和主動防御體系。我們還需要融合空間地圖、安全數(shù)據(jù)和安全能力，形成基于戰(zhàn)術(shù)級地形分析的動態(tài)防御、聯(lián)防聯(lián)控和精準防護作戰(zhàn)體系。

看過《三體》的朋友都知道，在空間帶來的降維打擊面前，一切都顯得微不足道?；叵脒^去多年的網(wǎng)絡(luò)攻防對抗經(jīng)歷，或許只是在二維世界中竭盡全力，我們應(yīng)該有人去仰望星空，去探索更高維度的攻防之道……

凱文·凱利曾在《失控》一書中寫到：最穩(wěn)定的狀態(tài)，不是一成不變，而是總處于搖搖欲墜中?？刂婆c失控，恰恰就是不斷推動網(wǎng)絡(luò)安全產(chǎn)業(yè)前進的動力。未來，我們將繼續(xù)把失控領(lǐng)域的新發(fā)現(xiàn)和控制領(lǐng)域的新探索分享給各位，歡迎繼續(xù)關(guān)注【安全說】，下次見。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）