【IT168评论】随着企业主动或被动的接受了越来越多的云计算、虚拟化、移动化、社交化的元素进入企业，所面临的安全威胁也越来越多元化，传统的安全防护手段已经疲于应付，企业安全架构的革命正在悄然兴起。如何找准下一代安全架构选型的方向，切实解决云计算、移动化时代企业的安全防护问题，成为CSO们关注的话题。为此，我们专门采访了赛门铁克华北/华西区安全解决方案技术支持部经理马蔚彦，就下一代安全架构选型提出了两个关键，一是企业的下一代安全架构要跟上技术的发展，二是还必须从威胁和风险的变化趋势角度来考虑。

▲赛门铁克华北/华西区安全解决方案技术支持部经理马蔚彦

　　企业网络安全防护的变化

　　企业核心机密信息、关键业务信息的泄露是企业面临的越来越严峻的问题，给企业带来严重的经济、品牌、声誉各方面的影响。根据赛门铁克第十九期《互联网安全威胁报告》显示，2013年数据泄露的次数经历了爆发式的增长，迎来了“大规模数据泄露”的时代。报告揭示，2013年数据泄露事件的数量较上一年增加62%，大规模数据泄露事件已经导致超过5.52亿个身份信息被泄露。网络罪犯们改变了以往为谋取小额获利而进行的快速攻击方式，转而发动需要数月谋划，但能获取大额经济利益的大型网络犯罪行动。

　　从全球范围来看，APT攻击呈现明显上升趋势。2013年针对性攻击的数量较去年增长了91%，攻击持续的时间是过去的三倍。企业高管助理及公关从业者是最易受攻击的两类目标人群，网络罪犯会把他们当做跳板来锁定并攻击诸如名人或企业高管这样更大的目标，而从这些人群最终获取的目标还是核心机密数据。

　　而比这些安全风险更为严峻的问题是，企业是否真的意识到核心数据面临的安全风险，是否真正地采用正确的、恰当的安全技术进行保护。

　　马蔚彦谈到，IT新技术的变革，促使企业提出一些新的安全需求，主要体现在：

　　1、企业数据中心在资源层、平台层、应用层的技术都发生了变化，X86化，虚拟化在资源层的变化，使得企业提出X86及虚拟化的安全需求，同时安全策略如何适应这种动态弹性变化，安全的运维和管理如何更加快速和自动化。企业需要完整的数据中心安全解决方案作为向现代数据中心演进的重要支撑和保障。

　　2、移动设备的快速增长已经快速渗透到企业，企业员工移动设备的使用，企业移动应用的使用已迅速普及。 企业在谈及终端安全需求时，已经将移动终端纳入到需求考虑的范畴。移动设备及应用的安全管理几乎成为每个企业领导都开始关注的问题。

　　下一代安全架构选型的两个关键

　　马蔚彦谈到，当前企业采纳并施行的安全架构通常是综合了三个维度的安全架构：第一个维度就是方法维度，从管理和技术两个角度考虑安全;第二个维度就是时间维度，从事前、事中、事后考虑相应的管理和技术手段;第三个维度就是系统IT结构维度，当前企业通常是按照IT系统的层次结构来分层考虑安全的技术和管理，即网络和边界安全、主机系统安全、数据及数据库安全、应用安全、用户身份安全等。下一代安全架构的变化和定义，更多地是指第三个维度的变化。

　　而针对下一代安全架构的需求选型，马蔚彦认为企业应从两个角度去考虑，一是技术的发展，云计算、大数据库、虚拟化、移动互联网等技术的发展和变革，SDDC/SDN、Hadoop和Openstack等热点技术的尝试，促使企业的IT系统和IT架构都在变革，这其中最主要和最突出的变化就是承载业务的静态IT资源，变为灵活的可弹性扩展的资源，业务及业务数据访问界面的开放性越拉越大，边界越来越模糊和动态变化，企业的业务数据价值越来越高，以系统或者平台为视角的IT层次化安全架构已经不适应，而下一代的安全架构的视角会更以信息和应用为核心，覆盖信息和应用的端到端(终端到服务端)，安全的策略需要适应“软件定义”特性的网络环境及现代数据中心，支持Openstack 及Hadoop的新型IT基础设施。另一方面，安全策略不是滞后于资源的分配，而是应随资源弹性扩展与回收，适应快速灵活的变化，从而实现以服务形式提供的安全交付。

　　此外，下一代安全架构还必须从另一个角度——威胁和风险的变化趋势进行考虑。当企业的数据成为其发展业务的核心，不仅于企业是高价值的，于攻击者及不法分子则是更具诱惑力。高级的持续性的威胁用于针对性的攻击，对企业带来的损害和影响远远超过以往，同时企业安全人员已经难以在如此复杂的IT环境中，通过多重解决方案的堆叠及整合来应对快速变化的安全威胁。攻击者只需一次成功，便可给企业造成损失;而企业需每一次成功才能对企业实施安全保护。因此，在下一代的安全架构中，企业需要的是高集成度的整合型技术，准确定位威胁的技术，快速确定威胁优先级并提供企业应对和弥补手段的技术。

　　而对于大多数企业在选择安全架构需要考虑哪些因素，马蔚彦总结到：首先要确定信息和应用是否成为核心和重点，因为这是现在及未来企业的价值所在，也是威胁和攻击的目标。其次，技术趋势带来的安全需求，以及企业业务采用或即将采用的新技术的安全需求，是否涵盖和满足。另外，安全架构是否能够适应和满足企业简单、高效的运维要求。