构建关口前移的主动防御体系

在今年召开的全国网络安全和信息化工作会议上，习近平总书记明确提出，要“做到关口前移，防患于未然”。这是对我国应采取积极防御的网络空间战略提出的总体要求，也是在对当前国际政治和国家发展战略全面权衡后的深刻军事战略学思考，为网络空间防御和安全行动指明了方向。观照各国网络空间防御战略以及我国传统网络安全防御体系，构建关口前移的主动防御体系，将是我国今后一段时间网络空间战略的重要组成部分，更是实践网络强国战略的重要内涵。

大数据时代，网络攻击造成的后果恶劣并且影响深远，同时会导致民众和国际社会对该国网络安全能力的质疑和不信任。因此，相对于事后补救和追责制度，有效的网络安全体系的建立可以降低网络安全危机发生的可能性，提升国家网络安全防护能力。

一、传统安全防护体系面临的问题

网络安全威胁日益严重的背后，是网络环境和攻击手段的深刻变化。在数字化转型过程中，物联网、大数据、人工智能和云计算等新技术应用，导致企业的攻击面不断扩大，传统的网络边界持续瓦解，带来物联网安全、云安全、移动安全、数据安全、安全智能运维等全新的挑战。传统的信息安全体系无法有效抵御快速进化的网络攻击，这将使企业级用户在防御网络攻击的过程中陷入被动。传统安全防护体系面临的主要问题表现在：

1.缺乏体系统筹设计规划

传统信息安全防御体系缺乏科学的设计，企业级用户更为关注的是安全产品所带来的防御效果，但是，由于安全体系建设的不足，安全并未融入其业务快速发展的整体规划过程中，这就使其应用系统中潜藏大量的安全漏洞，难以从体系架构上解决网络安全问题。

2.缺乏协同响应造成安全洼地

传统信息安全防御体系中存在大量信息孤岛，通常的部署方式是在网络边界部署防火墙，网络内部部署防病毒软件、数据泄露防护（DLP）或内网安全控管产品等，所部署的信息安全产品在各自“阵地”上孤立坚守岗位，整个防御体系中各安全组件之间缺乏彼此间的协同响应。

3.安全防御策略静态化

传统防御完全依靠网络安全人员对设备的人工配置来实现，难以应对当前技术手段越来越高的网络入侵事件，只能被动面对攻击者的恶意攻击。由于缺乏智能学习和对未知威胁的检测能力，不能识别新的网络攻击，难以对下一次攻击行为实施任何影响。

4.缺乏及时有效安全服务

在信息安全防御体系落后的情况下，安全服务是弥补缺漏的关键因素，缺乏及时有效的安全服务将使企业信息系统成为黑客疯狂肆虐的地方。目前，多数企业级用户的信息安全防御体系建设还停留在购买安全产品阶段，安全服务并没有得到广泛的应用。

二、企业级安全防护体系演进方向

传统的被动安全防御体系已经根本无法抵御日益频繁的网络攻击，企业需要重新审视传统网络安全的思想、方法、技术和体系，构筑全面防护的安全体系。

对于企业级用户来说，安全防护体系主要按照初期防护阶段、被动防护阶段、合规防护阶段和主动安全阶段来演进，分别对应经验欠缺组织、被动响应组织、合规性组织和前瞻性组织。

面对数倍于防护速度的安全威胁，唯有向更高的安全防护阶段演进，打造更为先进的防护体系，实现从被动防护、合规防护向主动安全的跨越，建立主动、智能和全面的安全防护体系，才能有效应对日益严峻的安全形势。

三、构建主动安全体系的必要性

1.主动安全是贯彻国家信息安全战略的直接体现

随着数字中国建设和《网络安全法》的颁布，信息安全产业成为中央及各级地方政府扶持的重要产业，中国信息安全产业面临爆发式的增长机遇。

从《网络安全法》第五条可以看出，国家对网络安全风险和威胁坚持积极主动防御原则，在日常工作中实时监控网络安全态势，对网络信息进行分析处理，评估潜在的安全威胁并加以预防，以期将网络安全危机清除在初始阶段。为此，需要建设“战略清晰”的网络安全保障体系，执行积极主动防御的技术路线。

因此，主动安全要从以下四方面入手：一是从事后转向事前，实现关口前移和提前预警；二是由静态特征分析转向智能数据分析，实现动态安全防护；三是从手工转向自动化，实现安全运维自动化；四是从单点转向全面，实现协同联动和全面防护。只有实现以上四个转变，才能符合“整体、动态、开放、共同”国家网络安全观的指导方针，才能实现国家提出的“积极防御、综合防范”的信息安全战略目标。 

2.数字化转型需要主动智能的安全模式

快速发展的数字经济正成为驱动中国经济增长的新动能。在加速数字化转型的同时，网络攻击由过去黑客炫技的个人行为，发展成有组织的犯罪行为，呈现手段专业化、目的商业化、源头国际化及载体移动化的趋势。

数字化转型需要与之相适应的安全理念和防护模式。新的安全理念与防护模式应该同样有助于加速业务创新和提升用户体验。

安全厂商需要革新安全理念、技术和模式，实现从事后补救到安全前置、从局部分割到全面防护、从被动安全到主动安全的转变，为政企用户的数字化转型提供有力的安全保障。

四、主动安全的核心理念

随着数字化转型的推进，关键信息基础设施的互联网化、移动化、大数据化和云化带来全新的安全挑战。从被动安全向主动安全的转变，构建主动安全体系成为数字经济时代的必然选择。

主动安全的核心理念包括全栈、意图和使能三个方面，实现从安全数据采集、安全数据分析到安全协同响应的全闭环。

 

全栈是指对安全数据的多维采集和对系统的全面监控。业务从终端到云、网络协议从物理层到应用层、数据从独立组件到业务系统，产品从芯片到解决方案的全面覆盖。

意图则是指分析与决策。通过情报共享、环境感知、机器学习、软件定义等技术，利用大数据平台对海量数据进行关联分析和深度挖掘，从全局视角提升对安全威胁的发现识别和理解分析。

使能是指协同与响应，包括本地响应、云端赋能和安全开放生态等。根据实时场景自适应决策响应，主动将安全策略推送给全网关键设备，通过云端检测与边界防御，实现安全事件的预警、响应和处置。

五、主动安全体系的发展趋势

在大数据、云计算、物联网为主流的信息网络中，网络攻击造成的后果严重并且影响深远，主动安全体系需要涵盖从网络安全、云安全、移动IT安全，到大数据安全、工控安全，乃至可信计算和物联安全在内的多个领域，必须具备多平台兼容性、智能分析、协同响应、先知预判等能力，通过“云-网-端”立体防护，将云端分析和边界防御相结合，才能洞察各种攻击威胁，从而有效阻断或大幅消减网络中的各类威胁。主动安全体系此时不再只是起到桥梁“护栏”的角色，而真正成为承载企业业务这艘“巨轮”稳定运行的“船身”。

来源：中国信息安全