好看的皮囊千篇一律，

有趣的靈魂萬里挑一。

拋開現(xiàn)象看本質(zhì)，

網(wǎng)絡(luò)安全的靈魂是什么？

如果把防火墻等硬件看作皮囊的話，

它們的靈魂就是安全策略，

沒有靈魂的防火墻是脆弱的、無用的，

也是孤獨(dú)的。

基于對(duì)當(dāng)前防火墻策略管理現(xiàn)狀的分析，

我們總結(jié)了九大“孤獨(dú)問題”。

第四期【安全說】邀你探討這“獨(dú)孤九式”，

以下歡迎欣賞。

講師簡(jiǎn)介：李源，20年網(wǎng)絡(luò)安全領(lǐng)域從業(yè)經(jīng)驗(yàn)，長(zhǎng)期擔(dān)任中國(guó)人民大學(xué)MBA學(xué)位評(píng)審委員，現(xiàn)任北京安博通科技股份有限公司資深顧問。

凡是不以策略管理為目的的防火墻，都是“耍流氓”。

這些打引號(hào)的“流氓行為”包括：策略只增不減，有人開通，無人回收，日積月累產(chǎn)生大量無用策略。政策落地難，由于缺少自動(dòng)化工具，實(shí)踐中較難達(dá)成策略最小化與合規(guī)性要求。需要大量試錯(cuò)成本，策略變更過程中，經(jīng)常出現(xiàn)策略不生效、影響其他策略等問題。無力精細(xì)化管理，在不了解網(wǎng)絡(luò)全貌的情況下，很難精細(xì)到端口和協(xié)議。

IDC早在2018年，就建議安全廠商重視策略管理。Gartner在2019年預(yù)測(cè)“到2023年，99%的防火墻缺口/被突破是由防火墻配置錯(cuò)誤引起的，而不是防火墻自身缺陷”，并定義了網(wǎng)絡(luò)安全策略管理技術(shù)（NSPM）。在等保2.0中，也對(duì)策略管理有著明確要求。

從某種角度講，防守者需要的不是防火墻，而是一套訪問控制管理機(jī)制，防火墻只是這套機(jī)制的載體。我們將訪問控制的決策心智，稱為“策略中臺(tái)”，或安全策略智能運(yùn)維平臺(tái)。

平臺(tái)的目標(biāo)是：實(shí)現(xiàn)全網(wǎng)異構(gòu)設(shè)備訪問控制策略的一體化全生命周期管理；實(shí)現(xiàn)面向業(yè)務(wù)視角的全局網(wǎng)絡(luò)安全域拓?fù)浼軜?gòu)可視；實(shí)現(xiàn)全流程訪問控制策略自動(dòng)化運(yùn)維；加速數(shù)字轉(zhuǎn)型的自動(dòng)化、集約化、智能化進(jìn)程，全面提升安全運(yùn)維及防護(hù)保障能力。

平臺(tái)采用大數(shù)據(jù)典型的三層架構(gòu)模型：數(shù)據(jù)采集層、數(shù)據(jù)建模層和數(shù)據(jù)展示層，打通以資產(chǎn)、策略、路徑、風(fēng)險(xiǎn)為核心的四大流程，且可以無縫對(duì)接第三方安全管理平臺(tái)。

平臺(tái)具備一個(gè)安全策略全局建模核心算法，以及多源異構(gòu)設(shè)備的適配與管理、安全域拓?fù)浣?、攻擊面量化評(píng)估和無風(fēng)險(xiǎn)策略運(yùn)維四大創(chuàng)新能力。

當(dāng)我們從“以設(shè)備為中心”走向“以策略為中心”的管理模式，一切開始改變。有效解決了策略只增不減、訪問控制關(guān)系不清、合規(guī)檢查無從下手、策略最小化淪為空談等長(zhǎng)期痛點(diǎn)問題，通過安全策略的智能化運(yùn)維，可以持續(xù)高效地控制風(fēng)險(xiǎn)并加以緩解。

作為可視化網(wǎng)絡(luò)安全技術(shù)創(chuàng)新者，安博通多年來持續(xù)深入用戶一線場(chǎng)景，特別是網(wǎng)絡(luò)攻防實(shí)戰(zhàn)場(chǎng)景，結(jié)合業(yè)務(wù)流程與管理規(guī)范，不斷豐富著實(shí)踐，已連續(xù)四年獲得工信部網(wǎng)絡(luò)安全試點(diǎn)示范項(xiàng)目，并在政府、軍隊(duì)、企業(yè)等多個(gè)行業(yè)獲得成功應(yīng)用。

安全策略智能運(yùn)維平臺(tái)已幫助用戶管理超過25種品牌、10000臺(tái)網(wǎng)絡(luò)安全設(shè)備。據(jù)不完全統(tǒng)計(jì)，將應(yīng)急響應(yīng)效率提升了31%，策略合規(guī)性提升了49%，安全運(yùn)維復(fù)雜度降低了35% 。

通過對(duì)安全本質(zhì)的深刻分析，我們看到：安全是一種持續(xù)的過程，只是反映某個(gè)時(shí)間點(diǎn)和空間點(diǎn)的暫時(shí)狀態(tài)，終極安全結(jié)果很難達(dá)到，這一點(diǎn)引發(fā)著我們的持續(xù)思考。

從軍事思想出發(fā)，OODA是全球公認(rèn)的軍事作戰(zhàn)方法論，雖然它完全起源于軍事領(lǐng)域，但同樣適用于網(wǎng)絡(luò)攻防領(lǐng)域，美軍的網(wǎng)絡(luò)安全建設(shè)思路就很大程度上依據(jù)了OODA模型。從中可以得到幾點(diǎn)啟示：1、縮減攻擊面是安全防護(hù)永恒的主題。在漏洞必然存在的情況下，降低安全風(fēng)險(xiǎn)的有效方法是縮小攻擊面，安全防護(hù)體系不斷完善的過程，就是攻擊面不斷縮小的過程。2、縱深防御永不過時(shí)。3、安全配置管理（SCM）是十年磨一劍的重要基礎(chǔ)工作。SCM是安全能力的基礎(chǔ)，缺少它一切只是空中樓閣。4、打仗靠地圖。

在掛圖作戰(zhàn)中，我們需要將網(wǎng)絡(luò)空間中的防護(hù)對(duì)象和防護(hù)措施可視化，從而打造全局視角，完善整體防護(hù)、縱深防御和主動(dòng)防御體系。我們還需要融合空間地圖、安全數(shù)據(jù)和安全能力，形成基于戰(zhàn)術(shù)級(jí)地形分析的動(dòng)態(tài)防御、聯(lián)防聯(lián)控和精準(zhǔn)防護(hù)作戰(zhàn)體系。

看過《三體》的朋友都知道，在空間帶來的降維打擊面前，一切都顯得微不足道。回想過去多年的網(wǎng)絡(luò)攻防對(duì)抗經(jīng)歷，或許只是在二維世界中竭盡全力，我們應(yīng)該有人去仰望星空，去探索更高維度的攻防之道……

凱文·凱利曾在《失控》一書中寫到：最穩(wěn)定的狀態(tài)，不是一成不變，而是總處于搖搖欲墜中。控制與失控，恰恰就是不斷推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)前進(jìn)的動(dòng)力。未來，我們將繼續(xù)把失控領(lǐng)域的新發(fā)現(xiàn)和控制領(lǐng)域的新探索分享給各位，歡迎繼續(xù)關(guān)注【安全說】，下次見。