28、企业级安全：现状、挑战与未来方向

企业级安全：现状、挑战与未来方向

1. 迈向未来的产品与基线

随着时间推移，预计会有更多产品满足旧的要求。实施基线文档将不断更新，以反映产品相对于原始目标基线的当前状态，同时也会根据不断演变的目标基线进行评估。例如，某个产品的实施基线文档可能包含相关目标基线要求的历史记录以及首次满足这些要求的时间，这有助于了解供应商在升级并符合目标基线要求方面的执行情况。

当依据实施基线来采购新产品时，这些产品会随着其配置、使用和最佳实践的确定，逐渐向运营基线发展。随着时间的推移，实施基线和运营基线将更加成熟，相关文档也会更加完善。跟踪技术目标、产品及其使用方式的过程，减少了从头进行全面评估的需求。

2. 管理信息技术变革

维护一个安全的信息系统是一项艰巨的任务。为此，我们制定了一套系统的方法，用于识别和记录未来目标，将这些目标转化为当前行动，并在系统中产品的整个生命周期内跟踪这些行动，直到它们不再满足运营需求。

这需要一个专门的团队来规划未来愿景，另一个团队将这个愿景与当前可用的产品进行匹配，还有一个团队为当前产品记录操作程序。通过维持这些团队并促进它们之间的沟通，能够保留专家的集体知识。定期审查和文档记录提供了类似官僚体系的稳定性，而与实施基线和运营基线中的当前产品进行匹配，确保了这些想法与供应商的当前最佳实践保持一致。这种方法已经得到实施，并且随着企业需求的增加、更多技术的分析、更多产品的审查以及这些产品成熟的操作程序的记录，正在不断发展和完善。

3. 不确定世界中的安全保障

安全需要持续的关注和维护。一个如今安全的系统，必须适应新的威胁、不断增长的计算能力、技术变革以及可能危及核心安全功能的理论成果。安全总是需要“不断前进才能保持原地不动”。当前的生产方法往往采用冲刺式的方式，如今的产品随意设置代理和开放通信端口，在很多情况下，还要求用户共享私钥并采用单点登录（SSO）的业务方式，这需要大量的附加安全工具来保障安全，同时也需要持续的维护、警惕和费用。

而 ELS 专注于坚实的设计，减少系统中的噪音，使异常情况更加突出。前期在设计阶段完成大量工作，使操作和维护更加高效。虽然有时可能需要冲刺，但从慢跑状态快速提升到短时间的冲刺，比一直冲刺要轻松得多。

4. 模型的重要性

坚持安全模型至关重要。当前的方法是针对安全承诺中出现的所有漏洞寻找零信任解决方案，并为每个漏洞提供一个解决方案。整个 IT 生态系统的连接方式使得每一个漏洞都可能成为企业的入口。零信任架构旨在解决网络中的横向威胁移动问题，它遵循“从不信任，始终验证”的原则。

企业中不存在低安全级别的元素，“坏人”很有创造力，就在我们身边。防御需要应对所有情况，而攻击只需要一个漏洞，我们甚至无法列举所有的漏洞，更不用说进行测试了。网络安全方面每天都有坏消息，IT 系统不断被入侵，简单地模仿入侵者的策略并不能确保安全。当前的方法并不奏效，许多 IT 专业人员却在不断加大对过去无效方法的投入。

由于问题的复杂性，无法通过正式方法和正式证明进行设计，但可以进行系统的分析和一系列实验来验证结论。相关的流程是基于一套被称为“原则”的准则开发的，并且这些准则在不断发展。

5. 零信任架构

由于假设系统中存在隐蔽控制的代码，因此在每笔交易中都要强调对所有实体进行积极识别。交易必须以保密和完整的方式执行。此外，仅靠身份不足以提供访问权限和特权，还需要额外的凭证。这些因素由 STS 提供，其强大的后台与身份识别是分开确定的。

当前系统中会干扰该模型的元素都是需要克服或绕过的障碍，包括代理、门户和“友好”的中间人实例，以及恶意的伪装和假冒行为。虽然认识到有些事情需要管理员来提供功能，但仍然优先选择自动化系统，而不是手动管理员功能。一个目标是将每次干预都作为一次学习经验，以减少未来干预的需求。管理员经常弥补自动化系统的不足，在某些情况下，如委托，也会提供相应的解决方案。

需要注意的是，这里的技术对于已经参与 IT 架构和安全问题的人来说可能并不熟悉。当前的系统使用基于身份的访问控制，这意味着服务必须由管理员维护账户。而这里所描述的企业没有密码和账户，高度重视完整性和问责制，依赖于可以验证和确认的凭证。首要原则是，如果可能的话，不要信任任何实体或过程，尤其是那些没有受益于这种安全模型的遗留系统。

6. 计算效率

6.1 速度需求

速度在计算系统中不仅仅是一个理想的属性，它是计算机历史发展的主要驱动力。更快地完成相同的任务，使我们能够在相同的时间内完成更多的工作，随着时间的推移，计算机从有趣的爱好发展成为主要的通信、存储和计算手段。

安全依赖于速度的提升，同时也推动了速度的发展。例如，公钥密码学需要一定的计算能力才能实用。安全使用计算周期、存储和通信带宽，这意味着它与业务相关活动在这些资源上存在竞争。

通常认为安全会损害性能，但也有观点认为适当类型的安全可以提高性能。这种明显矛盾的解决在于基线假设。那些认为安全会损害性能的人，关注的是孤立的简单个体任务的低级别性能，他们的隐含基线是一个完全免受攻击的系统，重点在于该框架内的计算，他们将额外的安全措施视为对其外部安全系统的计算负担。而那些认为安全可以提高性能的人，考虑的是现实世界中的系统。一个没有安全保障的系统无法提供任何功能，因为它很快会被攻击者破坏和颠覆。这里的隐含基线是一个没有安全保障的系统，因此无法对其做出任何保证。没有这些保证，就无法提供任何功能，因为这些功能依赖于合适的人对正确的数据进行正确的执行。安全将这个完全无功能的系统转变为一个可以在一定程度上执行某些操作的系统。

正确的答案介于两者之间。所有系统都内置了一定的安全措施，但没有一个系统是完全安全的。添加安全措施确实会损害最低级别的性能，但如果实施得当，它可以使以前不可靠或需要持续维护、扫描和修复的操作，在很大程度上自行运行。在企业层面，应该更加注重安全而不是效率，因为损失太大，攻击者太多，不能仅仅依赖部分安全措施。

例如，中国剩余定理（CRT）是一种用于减少使用 RSA 密钥进行 TLS 设置时计算成本的捷径，这种数学优化可以将原始计算时间大致缩短一半。然而，它可能会打开一个漏洞，泄露服务器的私钥。CRT 实际上将大指数的计算分解为较小的部分，在该计算中触发一个错误会产生一个揭示私钥的结果。一个可靠的服务器在这个计算中很少会出错，但在云计算时代，人员审查不严格，内部人员可能会篡改环境，如温度、辐射或电源电压，从而导致错误。这种意外后果源于在会话设置中节省了几毫秒。

通常，这些漏洞并不广为人知，或者被认为不太可能发生。逐个应对这些漏洞不是一个可行的解决方案。像 ELS 这样的基本安全设计提供了一种结构化的方式来实施安全，因此任何此类漏洞都可以在这个框架内进行评估。目标是设计一个默认情况下能够抵御整个类别的漏洞的系统。ELS 不会在最高级别处理个别漏洞，因此它必须依赖于实施规则和采购决策，例如拒绝购买使用 CRT 的硬件安全模块（HSM）或在使用 CRT 的 HSM 上禁用它。

6.2 安全协议和算法

协议和算法是为了实现安全属性而精心设计的，任何更改都应该非常谨慎地进行测试。在将 TLS 1.2 升级到 TLS 1.3 的过程中，为了节省时间，握手交换中的几个步骤被合并，这导致了一些发现的漏洞，为了修复这些漏洞所做的尝试可能会消耗比原始更改节省的更多的计算周期。随着 5G 和雾计算的出现，即使是 1 毫秒的节省也会被大力追求，人们担心在没有进行充分尽职调查的情况下追求算法和程序上的捷径。

6.3 安全产品评估

美国国防部已规定国防产品需要进行通用标准评估。目前通用标准下的评估过程仅包括安全功能，这些产品应该进行漏洞分析并具备强大的漏洞修复流程。如果通用标准不增加这些保证要求，应该在安全评估要求之外另行规定。

7. 当前完整的 ELS 系统

当前完整的 ELS 系统实例包括了大部分讨论过的高级领域，但不包括那些尚未实施的领域（如移动自组织网络和部分同态加密）。这个完整实例的复杂性和成熟度正在不断提高。不过，在最小实例中，只应添加所需的部分。

以下是当前 ELS 系统的关键部分及相关说明：
| 部分 | 说明 |
| ---- | ---- |
| 实施基线 | 反映产品相对于原始目标基线的状态，减少从头评估需求 |
| 运营基线 | 随着产品配置和使用成熟而完善 |
| ELS 设计 | 减少系统噪音，提高操作维护效率 |
| 零信任架构 | 强调身份识别和验证，应对网络威胁 |
| 计算效率 | 平衡安全与性能，避免个别漏洞 |

下面是一个简化的 ELS 系统发展流程 mermaid 图：

graph LR
    A[识别未来目标] --> B[转化为当前行动]
    B --> C[匹配可用产品]
    C --> D[记录操作程序]
    D --> E[定期审查和更新]
    E --> F[ELS 系统成熟]

8. 未来方向

ELS 的相关工作仍在进行中，即使在完成写作时，也能看到许多新的挑战和机遇。

量子计算对密码学构成威胁，而密码学是我们如今使用的许多安全协议的基础。如果乐观的估计成真，这一情况将在我们做好准备之前就发生。即使我们可以使用“量子安全”的加密方法，我们目前所有加密的数据仍然容易受到量子方法的解密。现在的问题不再是使用经典方法解密数据需要多长时间，而是量子方法何时可用。

同态加密和计算正在迅速发展。虽然全同态加密（FHE）速度非常慢，但许多集成了不同形式部分同态加密（PHE）的方法正在进入市场。当前的产品通常解决非常狭窄的问题，但该领域的改进和创新可能会改变密码学的性质，就像多年前公钥/私钥密码学所做的那样。问题是这种情况何时或是否会变得普遍。

5G 和物联网（IoT）将改变互联网的定义。未来不再是人们与服务器或其他人进行通信，而是机器之间大量的相互通信。就像现在在电话中很少与人类交谈一样，未来在互联网上也很难找到人。这对安全意味着我们必须改变对身份及其周围安全的概念，设备必须更像人一样，独特且可唯一识别，不受其软件的影响。

人工智能已经存在了半个多世纪，它的缓慢稳步发展可能类似于摩尔定律在晶体管数量可计数时的情况。然而，我们现在看到了现实世界中的能力，如语音转文本、语言翻译、自动驾驶汽车以及玩“围棋”并获胜的能力，而且这些能力正在迅速涌现。主要的科技公司正在将自己定位为人工智能公司。不再是竞争聘用最优秀的人才，这些人才被封装在人工智能中，它不会因为更高的薪水或更好的福利而离开，不会退休、变得衰老或疲惫，并且可以在硬件资源允许的情况下立即无限复制。如何将新的人工智能用于安全，这是一个在攻防两方面都在发展的研究领域。

如果妥善处理，预计这些技术都可以集成到 ELS 设计中，在保持坚实安全基础的同时扩展功能。

以下是未来技术对 ELS 影响的表格：
| 未来技术 | 对 ELS 的影响 |
| ---- | ---- |
| 量子计算 | 威胁现有密码学基础，需寻找量子安全方法 |
| 同态加密 | 可能改变密码学性质，提高数据处理安全性 |
| 5G 和 IoT | 改变互联网通信模式，需更新身份安全概念 |
| 人工智能 | 为安全攻防提供新的研究方向和能力 |

再来看一个未来技术与 ELS 集成的 mermaid 流程图：

graph LR
    A[量子计算] --> B[评估对 ELS 密码学的影响]
    C[同态加密] --> B
    D[5G 和 IoT] --> B
    E[人工智能] --> B
    B --> F[制定集成策略]
    F --> G[更新 ELS 系统]

企业级安全：现状、挑战与未来方向

9. 安全产品与技术标准

在企业级安全领域，有众多的标准和规范来确保产品和技术的安全性。以下是一些常见的标准和相关说明：
| 标准组织 | 标准名称 | 说明 |
| ---- | ---- | ---- |
| OASIS | 安全断言标记语言（SAML）V2.0 相关标准 | 包括技术概述、执行概述、一致性要求等多个方面，用于身份验证和授权 |
| NIST | 特殊出版物 800 系列 | 如 800 - 38 关于块密码操作模式的建议，800 - 53 推荐的联邦信息系统和组织的安全控制等 |
| 通用标准 | 信息安全评估标准 | 包括版本 3.1 修订 3 的介绍、功能安全组件和保证安全组件等部分 |
| IETF | 互联网工程任务组标准 | 涵盖互联网协议、文件传输协议、TLS 协议等众多网络协议标准 |
| W3C | 万维网联盟标准 | 涉及 XML 加密、签名、模式定义，以及 Web 服务描述语言（WSDL）等标准 |

这些标准为企业选择安全产品和技术提供了重要的参考依据，确保产品在不同层面的安全性和互操作性。

10. 身份验证与访问控制

身份验证和访问控制是企业级安全的重要组成部分。常见的身份验证方法包括：
- 单因素认证 ：通常基于用户知道的信息，如密码。但这种方式安全性较低，容易受到攻击。
- 多因素认证 ：结合多种因素，如用户知道的信息（密码）、用户拥有的物品（智能卡）和用户本身的特征（指纹）。例如，Gemalto 提出的“三因素认证”概念，即“你知道的东西、你拥有的东西、你本身的特征”，大大提高了身份验证的安全性。

在访问控制方面，角色基于访问控制（RBAC）是一种广泛使用的模型。RBAC 模型根据用户的角色来分配访问权限，具有以下优点：
- 灵活性 ：可以根据组织的需求轻松定义和修改角色和权限。
- 可管理性 ：简化了权限管理，减少了错误和滥用的可能性。

以下是一个简单的 RBAC 模型的 mermaid 流程图：

graph LR
    A[用户] --> B[角色分配]
    B --> C[角色]
    C --> D[权限分配]
    D --> E[资源访问]

11. 安全漏洞与应对措施

企业面临着各种安全漏洞，如网络攻击、内部威胁等。以下是一些常见的安全漏洞及应对措施：
| 安全漏洞类型 | 描述 | 应对措施 |
| ---- | ---- | ---- |
| 网络攻击 | 包括 DDoS 攻击、中间人攻击、SQL 注入等 | 使用防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）等进行防护 |
| 内部威胁 | 员工的误操作、恶意行为等 | 实施访问控制、监控员工行为、进行安全教育培训 |
| 密码泄露 | 用户密码被窃取 | 推广多因素认证、定期更新密码、使用密码管理工具 |

对于安全漏洞，企业需要建立一套完善的应急响应机制，包括以下步骤：
1. 检测 ：通过监控系统、日志分析等手段及时发现安全事件。
2. 分析 ：确定事件的性质、影响范围和可能的原因。
3. 响应 ：采取相应的措施，如隔离受影响的系统、修复漏洞等。
4. 恢复 ：将系统恢复到正常运行状态，并进行后续的监控和评估。

12. 云计算与安全

随着云计算的发展，企业越来越多地采用云计算服务。但云计算也带来了新的安全挑战，如数据隐私、数据丢失、供应商安全等问题。为了确保云计算环境的安全，企业可以采取以下措施：
- 选择可靠的云服务提供商 ：评估提供商的安全措施、合规性和信誉。
- 数据加密 ：在将数据上传到云端之前进行加密，确保数据在传输和存储过程中的安全性。
- 访问控制 ：严格控制对云资源的访问权限，只允许授权人员访问。
- 监控和审计 ：对云环境进行实时监控和定期审计，及时发现和处理安全问题。

以下是一个云计算安全管理的 mermaid 流程图：

graph LR
    A[选择云服务提供商] --> B[数据加密]
    B --> C[访问控制]
    C --> D[监控和审计]
    D --> E[安全评估和改进]

13. 物联网安全

物联网（IoT）设备的广泛应用也带来了安全隐患。物联网设备通常资源有限，容易受到攻击。为了保障物联网安全，可以采取以下策略：
- 设备认证 ：确保连接到网络的物联网设备是合法的。
- 数据加密 ：对物联网设备传输的数据进行加密，防止数据泄露。
- 安全更新 ：及时为物联网设备提供安全更新，修复已知的漏洞。
- 网络隔离 ：将物联网设备与企业的核心网络隔离开来，减少攻击面。

14. 总结

企业级安全是一个复杂的领域，涉及到多个方面的技术和策略。在面对不断变化的安全威胁时，企业需要采用综合性的安全方法，包括坚实的设计（如 ELS）、严格的身份验证和访问控制、及时的漏洞修复和应急响应等。

同时，随着新技术的发展，如量子计算、同态加密、5G 和物联网、人工智能等，企业需要不断适应和调整安全策略，将这些新技术集成到现有的安全体系中，以确保企业信息系统的安全性和可靠性。

在未来的发展中，企业级安全将继续面临新的挑战和机遇。只有不断学习和创新，才能在这个充满挑战的领域中保持领先地位，保护企业的核心资产和利益。

通过以上的分析和建议，希望能够为企业在安全领域的决策和实践提供一些有价值的参考。企业应该根据自身的需求和情况，制定适合自己的安全策略，并不断优化和完善，以应对日益复杂的安全环境。