文章正文
以数据为中心的网络安全

发布时间:2017-05-05

以数据为中心的网络安全

  再谈边界安全的消失

  技术创新改变了网络自身的本质。员工干活不再局限于自己的工作站,或者连接到公司网络的笔记本电脑。平板电脑、智能手机等移动设备成为了更为常见的东西,让员工得以远程办公,这还意味着不用改变办公地点就能聘用到顶级的人才。

以数据为中心的网络安全

 今天的网络边界难以定义

  这些新技术为通信和数据共享提供了新应用和方法,通过各种不同的联网路径,比如无线或蜂窝/移动通信、蓝牙等。但是,这也加剧了安全问题,因为不仅引入了新技术(及其固有新漏洞),更重要的是,这些新技术削减了内部网络的概念,几乎让内部网络这种东西就此消失了——至少不再是其经典形式上的内部网络了。

  当几乎不存在网络边界的时候,何谈网络安全?当越来越多的用户可随时通过各种方法接入公司网络的时候,你怎么跟踪授权和非授权用户?换句话说,你把边界安全防护措施放哪儿去?

  于是,当今企业安全面对的主要问题,就是:网络安全工具、服务和解决方案的重心一直都在该网络安全“堡垒”概念上,而这又转换成对保护网络(及硬件)中所有组件的安全产品的重视,以及对业务(及软件)执行相关应用和程序的相对放松。

  以数据为中心

  现代网络接入方式复杂度的增加,需要传统(已有)网络安全所达不到的更战略性、更全面的视角。真正需求的,是一种完全不同的,更以数据为中心的哲学方法。那就是,重点应首先放在你有哪些有价值数据和信息,及其对公司的价值所在,而其他强调技术的策略应围绕保护该有价值数据来发展。

  这种以数据为中心的网络环境安全方法,从对自身拥有数据的战略性理解,和认清这些数据对自身运营的巨大价值开始。这一步,通常被称为数据分类。一旦数据被识别并分类,你就必须评估数据在网络中的发现点,都有谁访问或“消费”这些数据、分别是出于何种目的,数据从产生到消亡过程中在网络里巡游的全部踪迹,以及数据到达生命周期末尾时是怎么处理的。该过程一般被叫做数据流或业务流分析。

  只要理解了自己试图保护什么,就可以进行数据流分析,以理解数据存储或处理位置,以及谁能或谁应该访问这些数据。然后,就可以基于对风险标的的有效理解,应用正确的安全控制措施了。这个过程被恰如其分地称为风险管理模型,可用下面的简单公式表示。

以数据为中心的网络安全

  基于风险的安全模型

  该简单公式中的元素有:

  风险:不愿意看到其发生的坏东西,比如数据遗失或被盗,或落入坏人之手遭到篡改;

  漏洞:薄弱环节,往往是编程缺陷、编码错误、不当配置、某些特性——你系统或应用中存在的任何可被攻击者利用来做坏事的东西;

  威胁:想对你造成伤害的坏人和攻击者。攻击者可访问或利用你网络的方式,也常被认为是一种威胁或威胁载体。威胁基本上就是攻击者做事的方法——远程侵入、物理破坏、网络钓鱼、病毒,或者恶意软件;

  对策:以安全之名所做的所有事。包括VPN或防火墙之类访问控制措施的部署、入侵检测系统、警报和监视解决方案、文件完整性监测、白名单解决方案,以及终端防护;

  估值:想保护的东西的价值,还有安全工作的成本。

  风险管理模型的目标是要减小风险。风险基本上就是钱——你想保护的数据值多少钱,或者说,数据丢失或替换会花费多少钱?减小风险的方法,就是减少环境中漏洞,识别并封锁或威慑威胁,以及实现安全对策以降低漏洞或威胁所留影响的组合。

  你可以在今天的安全行业中看到基于风险的安全模型的各元素,但总体目标或者说战略目标,却往往不见被讨论。新的(其实真的很老了)战略,是从知道你想保护什么开始,也就是,要有个目标。一旦目标设立,你就能组合风险模型中所有元素发展出一套策略来,但要记得用对你的公司有意义,能最终实现安全目标的方式来做。

  这是个持续的过程,你必须不断考虑技术、人员、公司使命和威胁态势的改变。持续运作的过程,需要被写下来,被遵循,并定期修订以反映运营的最新变化。这种安全方法可被称为安全生命周期,拥有以下特性:

  从知道要保护什么东西开始

  安全需要系统性方法(评估当前位置、记录想去往何方、实现安全架构)

  策略即战略

  架构就是策略得以实施的连贯集成战术集

  没有策略的安全只不过是技术

  完全拥抱该安全方法,是实现企业安全最划算的方式。有可能你已经做到其中某些事项了,并对适合自己公司的风险安全模型有了一定了解。大多数公司在采纳该安全战略上都忽略掉的一点,是对要保护的数据、数据在现有网络中巡游的路径和处理及存储数据所涉及系统缺乏可靠的了解。必要的第一步(或者补救措施),就是发现自己网络上到底在发生什么。

  发现是关键

  了解自己网络的延伸,还有哪些系统连入或试图连入你的网络,是最紧要的事。该发现过程必须时时刻刻都在进行。技术发展需要技术性解决方案,但若以整体数据安全战略实现,而不是提供“堡垒式”企业网络防护,会有效得多。

  该发现至少需要包含以下几项:

  谁:

  用户

  管理员

  开发者

  承包商

  来宾

  客户

  什么:

  工作站

  笔记本电脑

  应用程序

  流氓设备

  物联网(IoT)

  BYOD(手机、平板)

 哪里:

  有线网络(WAN/LAN)

  虚拟网络(vLAN)

  无线网络

  蜂窝网络

  蓝牙

  近场通讯(NFC)、无线射频识别(RFID)等等

  可以检测已经接入网络,或尝试接入公司网络的用户和设备的检测能力,是一直都需要的。

  如何做到发现这一步

  发现自己网络上有什么,是保护公司网络、数据和关键业务系统最基本的步骤。然而,大多数安全团队,都对处理好应该出现在网络上的授权设备,和不应该出现在网络上的非授权设备,感到头痛无比。有限的安全人员、分布式网络,还有多种多样的网络基础设施,还仅仅是安全团队面对的一小部分挑战。

  市面上有大量工具和“解决方案”极力想要帮你达成安全目标。他们通常都贴着“持续监视”、“网络发现”的标签。但在往解决方案投入大笔金钱之前,请确保自己已经理解并记录下了该工具应帮你完成的目标和过程。这才是关键所在。

  只要对自己网络上有什么成竹在胸,便可持续监测这些设备,查找安全漏洞、不安全配置、与非受信任网络或设备的连接,以及基于设备的攻击。

  结语

  堡垒式或基于边界的网络安全概念,到了今天已经基本过时了。有效安全需要你时刻谨记自己的目标或战略,也就是,要保护作为自己公司生命线的信息和数据。数据保护,需要对数据存放位置、访问对象和传输及消费地点有所了解。一旦数据安全战略确立,必须在系统级或资产级层次上弄清自己公司环境的本质。想要支持安全周期的持续性本质,就必须在延续的基础上做到上述内容。

  • 观众报名
  • 申请展位
展会资讯 更多 >>

观众心声、展商风采、论坛回顾 —— IOTE上海物联网展 2024年展后报告出炉!

IOTE 2024 第二十一届国际物联网展顺利闭幕,一座城市与一场展会的双向加速

科技养老更享安心—IOTE智慧健康养老生态大会顺利在沪召开

新潮涌动,智感未来| IOTE 2024智能传感器技术与应用生态研讨会成功举办!

AI驱动产业升级 | IOTE 2024中国智联网生态大会暨“2023物联之星”年度榜单颁奖典礼在沪召开!

展商资讯 更多 >>

【IOTE】电力新能源及物联网解决方案专业供应商—— 杭州绿掌科技将亮相

【IOTE】春笙物联、传麒智能、维聚智控、迈洛克与您相约

【IOTE】物联网安全芯片及解决方案提供商——宏思电子将亮相IOTE国际物联网展

【IOTE】工业级品质,大规模应用于能源物联网——朗亦通科技将亮相

【IOTE】物联网通信数字化解决方案商——千寻信息将亮相IOTE国际物联网展

【IOTE】58年香港工程界领航·物联网智能化领先者——盈电环保科技将亮相IOTE国际物联网展

【IOTE】专业RFID电子标签&解决方案生产服务商新歌山将亮相

【IOTE】芯诚智能、万全智能、泰芯科技、鹏瑞新材料与您相约

【IOTE】构建“万物智联”数据基座,浪潮KaiwuDB 即将亮相 IOTE 国际物联网展

【IOTE】电力新能源与边缘计算设备解决方案提供商-瑞迅科技将亮相IOTE国际物联网展

行业资讯 更多 >>

为啥高精度定位方案喜欢用LoRa回传

事关小区电动汽车充电!全国首部充电设施地方性法规发布

突发!实控人被实施留置,这家百亿市值的红外龙头企业股价跌停

带你装X带你飞!问界M9发布UWB数字车钥匙“迎宾”系统

突发!实控人被实施留置,这家百亿市值的红外龙头企业股价跌停

eSIM最大的市场在国内,不是手机,并已起量

传感/通信/平台/终端在消费物联网行业的“下一步”

UWB都还没普及,星闪数字车钥匙要来了?

这类人形机器人必需的高价值量传感器,国产化率正在跃升!

传感器巨头霍尼韦尔新收购一家传感器企业,斥资2亿欧元!

粤ICP备05006090号-11版权所有©IOTE 物联网展]深圳市物联传媒有限公司
首页 观众报名
关于展会
联系我们

微信扫码
注册展会VIP观众

服务热线

18676385933

在线咨询

回到顶部

Baidu
map