企业信息安全建设之根本-从中西医理论之差异看未来趋势

在众多学科里面，有一门学科和信息安全比较相似，就是医学。两者都是治病，区别仅仅是治人、治物（企业网络信息）。本文就以西医和中医的对比分析为借鉴，从医学文化影响的角度看企业信息安全建设的思路，以求为中国企业信息安全的未来发展，寻找建立一套系统理论的参考思路。

西方科学技术的发展有一个与中国（东方）思维相悖的地方，他们强调“果”而不甚追究“因”，这方面在医学理论体系的建立表现得非常突出，我们可以通过对东西方在医学方面的思维差异化对比，来研究中国企业信息安全建设的未来之路。

西医的理论基础是统计学，非常重视数据分析，治疗方法和药物的采用都是根据大量临床实验数据的结果而确定。治病追求的是消除或缓解“症状”，过程中表现是头痛医头脚痛医脚。经过长期的实践发展，西医在各个垂直领域都有完善的治疗体系和成熟的药物，绝大多数情况下都能够迅速地消除病人症状。而且因为整个体系是一套统计+工具的理论，因此在医务人员的培养上也非常成熟有效，对医生的能力有清晰的量化衡量指标。这是西医的优势，但也正是因为这种治标不治本、知其所然不求其所以然的先天基因，使得西医发展至今仍有其非常大的弱点：

对病人先天的体质要求很高。

美国每年因为流感死亡的人数很高，为什么？最重要的原因就是因为流感发烧，医生首先做的是降温，而对于发烧的病根并不会去深究，更多是靠自愈。

1、判断病症对静态数据指标依赖性大。

如果不能做到及时检测数据，往往会出现耽误病情的情况。

2、对病人自身知识体系和自觉性等能力要求高。

能够根据自己的感受去决定及时就医和检测，并能清晰地表达出量化数据供医生参考。

3、不做预测，依赖于指标阈值做01判断。

对于国内经常提到的“亚健康”没有好的方法（甚至无法判断什么是亚健康）。

而中国几千年传下来的中医遵循以下原理：

1、中医强调找病根。

同样的症状因为人、时间、气候等不同，病根都可能不一样，如果只治症状，可能误事。

2、中医眼里凡人皆有病。

任何人都有身体变得更好的可能，哪怕在西医眼里他是一个非常健康的人。中医推崇保养，而西医认为看医生就是有病，无病就不要去医院。

3、中医的诊断手段是望闻问切。

从各个维度去观察分析，做到信息的充分关联。

4、中医推崇预测的能力。

大家都听说过扁鹊三兄弟的故事，这个故事充分说明了中医的最高境界是治病于萌芽状态。

借鉴中西医对比来思考企业信息安全建设的时候，有很大的启发。如果我们把企业看作一个人，企业的各个业务系统相当于人的各个器官各司其职，企业网络就相当于人的血液循环系统和神经系统，在各个器官间传输营养（业务数据），并将各器官的状态信号送到关联器官呈现出来。而美国的企业信息安全的发展和西医的发展在理论上惊人的相似，优点是对症（安全细分垂直领域）下药（相关产品方案），效率很高。但其弊端与西医也出奇地一致：

1、需要解决的安全问题必须精准地落到一个垂直细分领域以对症下药，对于那些复杂的、无法确定属于哪个领域的问题，需要能力很强的专家或团队进行成本很高的分析（会诊），解决盲人摸象的问题，而这个需求是很多企业是无法做到的。

2、现代信息安全体系包括监控诊断系统，与西医的传统诊断系统一样，预先定义规则，定期检查，这样只能在某一个时间点上判断已知问题是否发生，既不能做到问题发生即发现，更不能做到对一个未知问题的及时发现。

3、现代信息安全基础与西医如出一辙，是建立在企业（人）的信息静态指标阀值来判断安全事故的发生，对于企业还未发生典型安全事故但是在发生趋势（亚健康）的场景没有很好的建议（保养）。

4、现代信息安全理论缺乏预测能力（防患于未然），关联分析也基本限于事后审计追责，因此信息安全和西医一样，逃脱不了被动等待的命运，无法为即将发生的安全事故（疾病）做充分的准备。

在中国，经过几千年不断发展完善的中医理论，其内在精髓确实能够给我们的企业信息安全建设带来非常好的借鉴思路，完全可以创建一套真正的自己的企业信息安全理论体系：

1、全息可视性。

为企业网络中每一个实体创建一张建立完整的画像（目前的安全领域内画像都是围绕一个具体问题，有盲人摸象之嫌），并在此基础上绘出一张全方位无死角的企业网络的关联全息图，其目的是在解决安全事故的过程中，高效地发现事件的根源。

2、及时预警性。

当前的企业网络行为复杂多变，一个被动静态等待的安全体系（有病治病）已经无法满足一个现代企业的需要，具有趋势分析和实时报警能力的监控系统成为企业信息安全系统的大脑。由具有这样能力的安全管理中心对企业网络进行全面监控管理，避免将安全事件定位于某一细分垂直市场的处理方法，这才是未来企业信息安全体系的正确方向。

3、长期不间断。

现代企业信息安全体系中包括的诊断系统基本都是基于定时主动扫描的原理，对于安全领域中经常发生的突发安全事件做不到及时发现，只能头痛医头脚痛医脚，因此一个24x7不间断诊断、对网络中每一个实体的画像根据其行为做到实时更新的监控能力成为必须。

4、重视平时。

企业网络发展越来越复杂，发生安全事件的可能性越来越大。安全理论要学习中医理论中的保养之理，不仅强调高效及时发现处理问题的能力（症状发生时），更要重视平时的观察维护，具有扁鹊大哥消安全隐患于无形的能力。

企业信息安全目前在中国进入了一个黄金发展阶段，希望我们不仅仅学习国外的具体技术，更能够抓住这个契机，基于中国文化中任何事情追求其所以然的精髓，创造出一套真正在世界范围内都是最先进的企业信息安全理论。

关于全息网御：全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术，结合机器学习（人工智能），发现并实时重构网络中不可见的”用户-设备-数据”互动关系，推出以用户行为为核心的信息安全风险感知平台，为企业的信息安全管理提供无感知、无死角的智能追溯系统，高效精准的审计过去、监控现在、防患未来，极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。