飛(fēi)速發展的(de)雲計(jì)算(su✔®♣∑àn)和(hé)移動應用(yòng)程序使‍±企業(yè)網絡的(de)邊界得(de)到(dào)↕ ₹了(le)擴展，單純的(de)網絡安全已經  不(bù)足以很(hěn)好(hǎo)的(de)保護組織的(de↓ε)網絡，暴露在互聯網上(shàng)供無數(shù)人(rén)随時(shí)α♣←‌随地(dì)進行(xíng)訪問(wèn)φφ♥的(de)應用(yòng)程序，同樣需要(yào)得(de)到(dàoσδ‌ε)很(hěn)好(hǎo)的(de)保護。

看(kàn)過電(diàn)影(yǐng)《大(dà)魔域》的(d₹₹↕e)人(rén)都(dōu)知(zhī)道(dào)，主人(rén)公∞ε≥≥Atreyu的(de)目的(de)就(j‌∞™✘iù)是(shì)要(yào)尋找幻想國(guó)的(d←≈e)邊界。然而令他(tā)失望的(de)是(shì)，幻想國(guó)☆÷根本就(jiù)沒有(yǒu)邊界，因為(wèi)幻想國(guó)是(÷÷ ∑shì)人(rén)類幻想的(de)産物(wù)。

在某種意義上(shàng)講，幻想國(guó)和(hé)網≈‍₹←絡安全有(yǒu)著(zhe)異曲同工(gōng)之處。曾經的(de)網絡安全&>≥∑就(jiù)像早期還(hái)是(shì)一(yī)座城(chéng)堡的(d♥↔ πe)幻想國(guó)一(yī)樣，隻須守住城(chéng)池即可(kě)，但>¶(dàn)随著(zhe)邊界的(de)不(bù) ×★♠斷擴張，關于如(rú)何更好(hǎo)地(©≥♥dì)保護好(hǎo)企業(yè)的(de)網絡安全使企業(yè♥π‍)免受入侵，成為(wèi)了(le)一(yī)個(gè)難以具體(t×€ǐ)限定和(hé)進退其難的(de)問(wèn)題。

另外(wài)，關于到(dào)底是(shì)在網絡安全中→♥投入更多(duō)的(de)時(shí)間(jiān)和(hé)> ↔‍資源，還(hái)是(shì)在應用(yòng)程$↑∏'序安全中投入更多(duō)的(de)時(shí)間(jiān)和(hé)資源>✘≤♠問(wèn)題，也(yě)和(hé)保護企業(yè)的(de)安全同等地(dì$‌&)重要(yào)。

邊界造成的(de)困惑

據弗雷斯特研究公司(Forrester RΩβ∑esearch)最近(jìn)的(de)一(yī)份關于網絡安全的(d∏≠‍•e)研究報(bào)告顯示，2015年(₽ nián)安全技(jì)術(shù)中支出預算(suàn)的(de) €  最大(dà)部分(fēn)是(shì)在網絡安全，并且有(yǒu)望在₽×'未來(lái)幾年(nián)內(nèi)持續增加。

“展望未來(lái)，41%的(de)決策者預計↓€(jì)2016年(nián)的(de)網絡安全支出要(yào)比20​←15年(nián)至少(shǎo)增加5%，9%的(de)安全決™γΩ策者則預計(jì)2016年(nián)的(de)網絡安全支出要(yào)÷₽✔比2015年(nián)增加10%以上(shàng)。”由此可(kě)見(≤γjiàn)，雖然應用(yòng)程序的(de)安全性已經存在了(le)一('↕↓yī)段時(shí)間(jiān)，IT專業(yè)人(rén)員(y'×uán)卻仍然根深蒂固地(dì)固守在傳統的(de​×∞)網絡安全。這(zhè)種情況所造成的(de)結果就(jiù)是(shì₽φ<σ)，在安全工(gōng)具投資的(de)預算(suàn)上(sh↔≠àng)，往往隻能(néng)二選一(yī)。但(dàn)β€現(xiàn)實情況中，我們組織的(de)網絡∑φ♦早已經成了(le)幻想國(guó)，是(shì)沒有(yǒ® u)邊界的(de)。

模糊的(de)邊界

我們很(hěn)多(duō)人(rén)可(kě)能(nén∞♣g)會(huì)認為(wèi)，《大(dà)魔域》不(bù)過是(shì←×)一(yī)部童話(huà)電(diàn)影(yǐng)而已。然而，無論是(××<shì)成人(rén)世界還(hái)是(shì®∑Ω←)網絡安全領域，都(dōu)可(kě)以從(có>♠ng)孩子(zǐ)身(shēn)上(shàng)學習(xí)到(dào)很β↑‍♣(hěn)多(duō)的(de)東(dōng)西(xī)α€€≤。在最近(jìn)一(yī)期電(diàn)台節目中，一(£σyī)個(gè)四年(nián)級學生(shēn✘εαβg)就(jiù)提出，“網絡安全應當從(c→‍₹óng)娃娃抓起”。

他(tā)說(shuō)，雖然自(zì)己還(háΩ•÷i)是(shì)個(gè)孩子(zǐ)，但(dàn)在>™↑電(diàn)腦(nǎo)方面已經比自(zì)己的(≥★δde)父母懂(dǒng)得(de)多(duōα < )得(de)多(duō)了(le)。他(¥×​tā)指出，要(yào)實現(xiàn)良好(hσ•ǎo)的(de)安全，不(bù)僅需要(∑σ÷>yào)開(kāi)發者清除自(zì)己代碼中的(de)B>©UG，而且還(hái)需要(yào)使用(yòng)者使α∏用(yòng)強密碼，否則，很(hěn)容易就(jiù)會(h π♥uì)遭遇入侵。

你(nǐ)看(kàn)，連孩子(zǐ)都(dōu)已經意識到(dào)網絡"¥₩ 安全不(bù)僅僅是(shì)網絡的(de)事(sγ ¶hì)了(le)。在過去(qù)二十年(nián)中，人(♣→rén)們一(yī)直都(dōu)在采取一(yī)種β×α↑由外(wài)向內(nèi)的(de)方法，專注于邊界安全和™←✔€(hé)防火(huǒ)牆。但(dàn)是(shì)，網絡發展到(dào>&± )今天早已今非昔比，沒有(yǒu)了(le)所謂的(de)邊界，我們的(©☆de)世界需要(yào)互聯，我們的(de)企業 δ♣(yè)需要(yào)打開(kāi)互聯網的(de)大(☆♣©δdà)門(mén)來(lái)做(zuò)生(shēng)意。

我們的(de)很(hěn)多(duō)組織認為(≥¥​wèi)自(zì)己還(hái)處在傳統的(de)網 ♠絡環境中，卻沒有(yǒu)意識到(dào)自(zì)己的(de)網絡環✘≠β境根本沒有(yǒu)界限，邊界早已不(bù)複存在。我們在家(jiγ​ā)中購(gòu)買的(de)設備是(shì)為(wè≥₩αi)了(le)和(hé)外(wài)界相(xiàn♠↔g)互溝通(tōng)，在企業(yè)裡(l ↑λ∏ǐ)的(de)情況也(yě)并沒有(yǒu)什(shén)麽不(bù)同∑≠'。

網絡非常具有(yǒu)穿透性，并且随著(zhe)物(wù)聯φ♦網時(shí)代到(dào)來(lái)，這(zhè)一(¥‍ βyī)趨勢将愈演愈烈。我們的(de)一(yī)個(gè)基本的(ααde)方針就(jiù)是(shì)不(bù)σε 要(yào)再為(wèi)我們的(de)基礎↔•設施設置樊籬了(le)，我們應該認識到(dào)，設備的™γ$↔(de)作(zuò)用(yòng)就(jiù)α↔是(shì)用(yòng)來(lái)溝通(tōng↑↕₽ )的(de)。

很(hěn)多(duō)公司了(le)解到(dào)自(zì)己公司的(d±₩ <e)網絡受到(dào)比預期多(duō)得(de)多(duō)的(de)攻擊≠₩時(shí)，往往驚訝不(bù)已，但(dàn)作(zuò)為(wèi ♠↑φ)安全專業(yè)人(rén)士我們早已見(jiàn)多(duō)不(b​¥•ù)怪了(le)。如(rú)果一(yī)©←☆個(gè)傳統的(de)系統包含有(yǒu)數(shù)據庫φ≠γ、服務器(qì)和(hé)客戶端，那(nà)麽我們就(jφ​↑iù)認為(wèi)其處理(lǐ)的(de)浏覽 α ↓器(qì)連接是(shì)不(bù)受信任的(de)。對(duì)于這(₩$zhè)樣的(de)企業(yè)，風(fēng)險主要(y↔<π​ào)在于備份、災難恢複、事(shì)件(ji φ"€àn)響應和(hé)任何其他(tā)外(wài)包的(de)未經編輯、加≤≤密、審計(jì)的(de)連接。

從(cóng)曆史上(shàng)看(kàn)，網絡安全都(dōu)集中在端口¥​₩和(hé)協議(yì)，依賴于掃描網絡流量的(de)能(néng)←>力，屬于典型的(de)企業(yè)網絡邊界的(d§≤ e)範疇。在傳統的(de)網絡安全中，保護網絡的(d‍÷εγe)措施包括防火(huǒ)牆、入侵防禦系統(IPS)、安全WEB網關(S÷ ↓→WG)、分(fēn)布式拒絕服務(DDoS)保護、虛拟專✘♥♠用(yòng)網(VPN)等等。

其實，環境感知(zhī)型網絡安全就(jiù)已經模糊了(le)網φ←>絡安全和(hé)應用(yòng)程序安全之"↓間(jiān)的(de)界限，網絡安全應用(yòng)程"←γα序和(hé)軟件(jiàn)與端點保護設備的(de)集成同樣也(↓≤σδyě)在模糊著(zhe)兩者之間(jiān)的(de)界限。然而，網絡€ ®安全仍然依賴于對(duì)企業(yè)網絡流量的(de)掃描能​±α'(néng)力。

應用(yòng)程序安全帶來(lái)的(de)挑戰

雲計(jì)算(suàn)和(hé)移動應用(yòng)程£γ序的(de)大(dà)範圍普及也(yě)在摧毀著(zhe)傳統網₩β絡安全的(de)邊界圍牆。企業(yè)員(★₽↑yuán)工(gōng)已經在公司日(rì)常業(yè)務中大(dà)量使用εΩ ÷(yòng)基于雲計(jì)算(suàn)的★♥≤(de)企業(yè)應用(yòng)程序和(hé)移動應÷‍λ 用(yòng)程序，這(zhè)些(xiē)基于雲計(jì)算(suλ ‍←àn)的(de)應用(yòng)程序仍然必須得(d&‌₽<e)到(dào)安全保護。從(cóng)另一(yī)方面講，應用(₽λyòng)程序安全性更加側重于應用(yòng)程序如(rú✔≠∏÷)何操作(zuò)以及如(rú)何在這(zhè)些(xiē)操作♠∑(zuò)中查找異常操作(zuò)。

應用(yòng)程序安全包含WEB應用(yòng)程序防火(huǒ)牆、αδ數(shù)據庫安全、郵件(jiàn)服務器Ω↓ →(qì)安全、浏覽器(qì)安全和(hé)移動應用(yò‌≠Ωng)安全。當然，我們也(yě)可(kě)以将應β₽用(yòng)程序代碼的(de)動态測試和(hé©→≠ε)靜(jìng)态測試也(yě)包含進去(qù)，雖然這↑​(zhè)些(xiē)通(tōng)常是(‍α≠shì)在企業(yè)應用(yòng)程序發布到(dào‌≥‌)生(shēng)産環境之前就(jiù)已經₩ •>完成的(de)。

在我們想要(yào)保護的(de)東(dōng)西(xī)中建β 立安全機(jī)制(zhì)不(bù)僅對(duì)于将≥£ 來(lái)至關重要(yào)，對(duì)于當前也(yě)是(shì ♥α→)如(rú)此。連接即是(shì)價值，而非什(™♣§shén)麽趕時(shí)髦。在設備之間(jiān)進行(xíng)連接和(> ♠↑hé)建立信任的(de)能(néng)力才是(shì)設£≈備所具備的(de)真正價值。

那(nà)些(xiē)繼續把資源集中到(dào)網絡安全的γΩ‌(de)組織當然也(yě)不(bù)能(néng)說(shuō)其南(nán↓ )轅北(běi)轍或是(shì)背道(dào)而馳，畢竟網絡安全的(​↕♣de)問(wèn)題并沒有(yǒu)消失，←≠→并且還(hái)會(huì)一(yī)直 ★存在下(xià)去(qù)。隻是(shì)其♣≤​λ他(tā)方面的(de)安全挑戰已經躍然♦β其上(shàng)，不(bù)得(de)不(bù)引起足夠的(de)重視(π shì)了(le)。

設置風(fēng)險優先級

關鍵資産外(wài)部的(de)邊界是(shì)相(≠γ₩xiàng)當脆弱的(de)，因為(wèi)我們現(xiàn)在¥ ✔的(de)網絡構架早已不(bù)是(shìσδ≈σ)當年(nián)的(de)組織內(nèi)網加↑®¥有(yǒu)限的(de)外(wài)部接入了(le)，在Ω ≤¥互聯網時(shí)代，互聯網的(de)接入早已成為(wèi)α‍$δ主流，而在互聯網接入過程中，大(dà)量的(d↓∏e)應用(yòng)程序和(hé)資源都(dōu)會(hu≈•←ì)暴露在互聯網上(shàng)。

在互聯網時(shí)代，尤其是(shì)當前正在高(g ₩  āo)速進入的(de)移動互聯網時(sh‍→í)代，外(wài)部用(yòng)戶對(duì)組織網絡的(de)★∏→≥接入，也(yě)已經不(bù)再局限于使用(yòng)單位辦公網絡進行(x>≤íng)接入了(le)，繁忙的(de)商務人(rén)士随身λ"↓(shēn)攜帶筆(bǐ)記本，随時(shí)随地(dì) ε♦™通(tōng)過其他(tā)的(de)網絡訪問(wèn)著(zhe)各個(g™₹¶&è)組織的(de)應用(yòng)程序，甚至‌π每個(gè)人(rén)也(yě)在到(dào)處尋找WIFI，走到↕< ₩(dào)哪裡(lǐ)都(dōu)是(sh☆↓ §ì)低(dī)頭一(yī)族，而這(zhèλ☆§γ)些(xiē)其他(tā)的(de)網絡大(dà)部分(fēn)都(dλ ‌ōu)是(shì)未知(zhī)的(de)網絡，其安全狀況 ε ÷完全是(shì)未知(zhī)的(de)，很(hěn)容易給¶γβφ網絡攻擊制(zhì)造切入點。

為(wèi)了(le)更好(hǎo)的(d÷>e)保護自(zì)己，安全團隊應當首先搞清楚已經得(de)到(dào)φ¥保護有(yǒu)哪些(xiē)，還(hái)未得(de)到(dào)保護而↓₩← 又(yòu)亟待需要(yào)保護的(de)又(yòu)有(yǒu)哪些($★<xiē)。我們應該對(duì)這(zhè)些(xiē)設定  ♣↑風(fēng)險優先級并分(fēn)步實施，特别是(shì)當我們資源有(₩✘'yǒu)限的(de)情況下(xià)。合理(lǐ)分(✘•σfēn)配資源

對(duì)于任何安全團隊最大(dà)挑戰就(ji←≤₹♠ù)是(shì)把時(shí)間(jiān)、精力和(hé)資源∏₹∏ 全部都(dōu)用(yòng)到(dào)刀(dāo)刃上(shàφσ↕ng)。為(wèi)了(le)更好(hǎo)地(dì)✘π≤₽利用(yòng)好(hǎo)有(yǒu)限的(de)資源，我們還(hái)××π₩需要(yào)了(le)解最新的(de)漏洞，并能₽₽δ(néng)夠快(kuài)速分(fēn)析‌≈©和(hé)理(lǐ)解這(zhè)些(xiē)漏洞可(kě)能(nén £ g)所帶來(lái)的(de)影(yǐng)響。

信息網絡安全曆來(lái)側重于保護周邊邊界，但(≤ ∑↕dàn)随著(zhe)互聯網的(de)普及和(hé)移動應用☆‌(yòng)時(shí)代的(de)到(dào)來(lái)，越來(lβδái)越多(duō)的(de)信息通(tōng)過網絡和(hé)應用(yònπ←$g)程序暴露在互聯網上(shàng)，這(zhè)才是(shì)各個(gèπ☆)公司當下(xià)所面臨的(de)挑戰。

如(rú)今的(de)信息網絡安全已經不(bù)單•‍¶單是(shì)網絡安全問(wèn)題或應用(yòng¶¶←)程序安全的(de)問(wèn)題了(le)，它已經上(s♠∞σ∏hàng)升到(dào)了(le)組織風(fēng)險管理(lǐ)的(de)層≈÷面了(le)。我們當前最實際的(de)解決方案應當基∏δ于數(shù)據或應用(yòng)程序的(deε↑)敏感性，并結合對(duì)風(fēng™≈π)險高(gāo)低(dī)的(de)評估來(lá>≈ ©i)設定優先級。

無論是(shì)應用(yòng)程序和(hé)還(hái)是(sh짮‍)網絡都(dōu)存在風(fēng)險，并且有( εγyǒu)遭遇惡意黑(hēi)客通(tōng)過接入互聯網的(de)網絡或應‌×用(yòng)程序內(nèi)部來(lái)獲取敏感信息的(de)可(kě)♠±能(néng)。我們要(yào)對(duì)≥♠®λ我們的(de)基礎設施了(le)如(rú)指掌，對(duì★α∏λ)我們的(de)應用(yòng)程序的(d"✔δγe)對(duì)外(wài)暴露情況心知(z÷☆βhī)肚明(míng)。

這(zhè)不(bù)是(shì)二選一(yī)的(de)問(wèn)題。≈™我們不(bù)能(néng)隻固守網絡安全，而‌♠©忽視(shì)應用(yòng)程序安全，同 ©時(shí)，也(yě)不(bù)能(néng)隻重視(shì)應用(£↑$yòng)程序安全，而忽略了(le)網絡安全。我們需↔♥↑¶要(yào)在網絡安全和(hé)應用(yòng)程序安全中更合理(lǐ)的(α ☆de)分(fēn)配資源。而所謂的(de)合理(lǐ)分( •&'fēn)配，應當是(shì)基于我們從(cóng)風(fēng)險的(d¥εe)角度對(duì)兩者進行(xíng)分(fēn)析和(h↑↕<é)權衡的(de)結果。