终端安全应从被动防御向自安全运营转变

在2019国际反病毒大会上，奇安信集团副总裁张聪提出，实现企业级终端内生安全，应从自运营体系建设开始。

政企终端安全为什么需要运营

终端安全，个人和政企有何区别？张聪表示，要从技术和运营两个视角来看待这个问题。

从技术视角上看，终端安全的个人层面主要用新技术对应对不断出现的病毒木马、勒索软件、挖坑软件等，大家比较熟悉。

但还有一个政企用户独有的视角，就是运营。政企用户的安全管理员面对的不是一个端点的安全，而是几百个，甚至成千上万个终端，如何管理好数量庞大的终端安全，就是终端安全管理所要面对的难题。

而且对于终端安全而言，过去只需要考虑PC端和各类虚拟主机的安全；在移动互联网时代，还需要考虑手机、平板电脑等各类移动终端的安全；而在未来的万物互联时代，就更多的要考虑物联网终端、车联网终端甚至是工业设备终端的安全问题。

不仅是数量，政企终端安全所面对的外延也不断扩大。

张聪提出，在这样的背景下，立足边界防护的传统安全手段，已经不能适应网络安全发展的需要。要立足奇安信内生安全的理念，安全能力必须在内部的业务系统上构建，才能真正解决客户的业务安全问题。必须用运营的视角去思考，搭建一个有效的终端安全自运营体系。

用自运营的终端安全推动内生安全体系

张聪认为，内生安全的本质是把安全融入进信息化，让安全变成信息化的一部分。

终端承载着企业的大量业务和数据，是整个信息化体系里非常重要的一个节点。要实现内生安全，终端安全必须从过去的被动威胁防御向持续的安全运营转变。

建设终端安全自运营体系，要依靠三种安全能力：信息化系统和安全系统的聚合产生自适应的安全能力；业务数据和安全数据的聚合产生自主的安全能力；安全人才和IT人才的聚合产生自成长的安全能力。

张聪进一步解释道，自适应是指具备针对一般性网络攻击自我发现、自我修复、自我平衡能力；具备针对大型网络攻击自动预测、自动告警和应急响应能力；具备应对极端网络灾难、保证关键业务不中断能力。

自主是指根据自身的业务、支撑业务的系统、自身的薄弱环节，建立最适合自己的、能够自主改进的、具备自主感知能力的终端安全体系，为威胁防御、终端管理、持续运营提供能力保障。

自生长是指针对网络攻击不断进化、信息系统和安全系统升级换代、业务系统流程再造的动态过程，安全能力也可以做到动态提升，确保终端始终安全。

张聪表示，终端安全自运营工作需要从整体机构的终端组成的整体视角出发，完成终端安全产品和服务的选择与安全策略的配置，实现策略执行与行为分析、事件发现、组织优化与策略修订、产品互动与工具开发、日常运营与标准化流程的积累等环节的闭环运营，并且找到业务需求与用户体验之间的平衡点。

相对于传统的终端安全重点关注在单点的安全防护能力，内生终端安全自运营体系的优势在于立足于将安全能力落地到复杂的机构终端整体之上，通过明确的度量，事前、事中和事后闭环的运营思考能力以及深度的聚合能力，实现整个机构内终端的整体安全水平提升。其中，自运营效果可以从终端安全产品安全率、终端安全保护状态的正常率、终端安全的合规率和新防御手段的部署时间、未知攻击手段的有效检测时间、单次攻击的修复时间等多个角度进行度量。

张聪介绍，奇安信终端安全产品在国内的政企终端装机量已经超过了4000万，在权威分析机构IDC、赛迪顾问的报告中都位列2018中国终端安全市场第一，还囊括了美国知名网络安全杂志CDM的前沿技术(Cutting Edge)等众多知名奖项。

“当前企业安全管理上面临的主要问题，是企业面对明显过剩的安全技术的供给，和真的能够有效落地到自己网络当中的核心矛盾。”张聪总结，内生安全是一个新概念，接下来重点是让政企机构终端安全管理者能够去理解这套思路和框架，层层细分，落地成实际的技术、工具和操作流程，来解决当前这个主要问题。