引言

隨著(zhù)APT 攻擊事件的日益增多，其組織化、潛伏性、持續性、利用0day 漏洞的攻擊特點(diǎn)，導致大多數企業(yè)采用的傳統的基于防火墻、IPS 等邊界防護以及病毒惡意特征代碼檢測等靜態(tài)安全防護體系已經(jīng)越來(lái)越不能適應外部攻擊者和攻擊手段的變化，也越來(lái)越不能適應更加開(kāi)放、邊界更加模糊、日益復雜而又漏洞百出的各類(lèi)系統和應用程序的發(fā)展趨勢。

基于攻擊能力隨著(zhù)時(shí)代的變化而顯著(zhù)提升，改進(jìn)、重構已經(jīng)相對滯后的攻擊防御體系已勢在必行。

本文依據對典型APT 攻擊事件過(guò)程的分析，提煉出的被攻擊者安全防護體系的薄弱環(huán)節，并依據業(yè)界最新提出的PPDR 安全防護體系建設理論，結合作者多年工作實(shí)際經(jīng)驗，闡述了傳統信息安全防護體系的未來(lái)建設發(fā)展的目標與方法，實(shí)現從靜態(tài)特征檢測到動(dòng)態(tài)異常檢測的轉變、從邊界防護向全網(wǎng)防護的轉變、從被動(dòng)防御到充分利用威脅情報進(jìn)行主動(dòng)防護的轉變。

根據近幾年比較著(zhù)名的APT 攻擊事件的分析，黑客攻擊的過(guò)程主要分為以下幾個(gè)階段：

1）偵察跟蹤階段

主要是發(fā)現確認目標，收集目標網(wǎng)絡(luò )、服務(wù)狀態(tài)、相關(guān)人員電子郵件、社交信任關(guān)系，確定入侵可能的渠道。例如臺灣第一銀行ATM 吐鈔事件中，惡意代碼是來(lái)自第一銀行英國倫敦分行電腦主機和2 個(gè)存儲電話(huà)錄音的硬盤(pán)，而并非臺灣總行直接被入侵。這表明，黑客通過(guò)前期偵察準確的定位倫敦分行作為入侵的初始目標，并了解其內部網(wǎng)絡(luò )互聯(lián)互通的情況。

2) 武器構建階段

主要是創(chuàng )建用于攻擊的武器，比如郵件中的惡意代碼附件、假冒網(wǎng)站或網(wǎng)站掛馬、遠程控制通信服務(wù)器等。臺灣第一銀行ATM 事件中，黑客創(chuàng )建的惡意代碼主要包括控制ATM 吐鈔的程序、讀取ATM 系統和卡夾信息的程序、清除痕跡的程序以及與黑客后臺遠程通信的程序。

3) 突防利用與安裝植入階段

主要是利用系統或網(wǎng)絡(luò )漏洞、管理機制漏洞、人性弱點(diǎn)等將惡意代碼投遞到內部目標，獲得對系統的控制權。臺灣第一銀行事件中，就是利用倫敦分行作為突破口，將惡意代碼植入。

4) 通信控制與達成目標階段

主要是與外部黑客遠程控制服務(wù)器進(jìn)行連接，周期性的確認其存活狀態(tài)，接受指令完成數據竊取、信息收集、破壞等最終任務(wù)。臺灣第一銀行事件中，黑客通過(guò)遠程命令操控，將惡意代碼植入了ATM 版本升級的主機服務(wù)器，并利用ATM 升級的契機，將惡意代碼下發(fā)至第一銀行各ATM，最后在指定時(shí)間下達了吐鈔指令。

根據以上作案過(guò)程的分析，有以下幾個(gè)主要的薄弱點(diǎn)環(huán)節：

1) 傳統的邊界隔離措施無(wú)法對抗精準的APT 攻擊

傳統的邊界隔離主要是依靠防火墻、路由器ACL 等對不同安全等級的網(wǎng)絡(luò )區域進(jìn)行劃分，比如生產(chǎn)、辦公、測試、開(kāi)發(fā)、互聯(lián)網(wǎng)、第三方等。

一方面，由于客觀(guān)上總是存在外部接入內部的網(wǎng)絡(luò )渠道，而且隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，內外部互聯(lián)互通信息的需求越來(lái)越多，攻擊者總能找到入侵內部的一條可以用的通道，可能是郵件、貌似正常的web 網(wǎng)頁(yè)數據上傳、第三方數據傳輸通道、企業(yè)各分支機構管理不善開(kāi)了例外的終端等等；

另一方面，到目前為止，已經(jīng)開(kāi)通的防火墻和ACL 策略由于管理不善、信息更新滯后等原因，也可能存在少量未及時(shí)調整和刪除的冗余策略、范圍過(guò)大策略等邊界收緊不到位的情況。因此，基于防火墻和路由器的邊界隔離措施面對信息收集能力和針對性很強的APT 攻擊者，是無(wú)能為力的。

2) 傳統的基于特征碼的惡意代碼監測存在滯后性和局限性

一是類(lèi)似IPS、WAF 和防病毒這樣的防護工具，屬于對已知固定惡意代碼進(jìn)行特征識別的一種靜態(tài)分析方法，無(wú)法有效應對惡意代碼變形、加殼等隱蔽手段；

二是APT攻擊通常利用看似合法的輸入和非明顯惡意特征但非常針對性的程序代碼。因此，在事發(fā)之前，我們不可能提前識別出全部的惡意代碼特征，這種傳統的基于惡意代碼靜態(tài)監測的方式存在較大不足。

3) 突破邊界后的內部網(wǎng)絡(luò )防護能力不足

由于傳統的防御體系側重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò )安全防護，對于突破邊界后在內網(wǎng)埋伏、感染、操控內部服務(wù)器及數據的惡意行為識別和監測缺乏有效手段。

例如臺灣第一銀行事件中，惡意代碼從倫敦分行傳播至ATM 軟件分發(fā)服務(wù)器，并進(jìn)一步感染ATM 目標服務(wù)器，在整個(gè)內部轉播路徑以及目標ATM 服務(wù)器安裝了異常代碼文件都沒(méi)有被發(fā)現。

4) 單打獨斗式的防御，無(wú)法面對有組織有計劃的針對性攻擊

面對近幾年陸續發(fā)現的多起swift 事件，其幕后黑手直指臭名昭著(zhù)的Lazarus 黑客組織。如此專(zhuān)業(yè)化組織嚴密的黑客組織，僅靠企業(yè)自身進(jìn)行防護顯得力不從心。

如何快速提前獲取0day 攻擊惡意代碼特征與文件路徑、黑客遠程控制服務(wù)器IP 地址、釣魚(yú)郵件地址、假冒網(wǎng)站異常威脅情報，并及時(shí)與內部防護系統聯(lián)動(dòng)，成為企業(yè)安全防護的重要保障關(guān)鍵能力之一。

5) 缺乏海量數據的關(guān)聯(lián)分析和可視化分析能力

從一系列安全事件來(lái)看，從植入沒(méi)有明顯惡意特征的代碼到分行服務(wù)器、到利用軟件升級契機下發(fā)ATM 升級軟件、再到黑客復用現有的網(wǎng)絡(luò )端口進(jìn)行外部遠程控制通信，單獨看每一個(gè)步驟可能無(wú)法準確判斷單個(gè)行為是否是惡意攻擊，但是如果將整個(gè)路徑上的行為串起來(lái)看是很有可能發(fā)現異常行為的。

例如建立一種基于外部連接的異常分析模型，當發(fā)現ATM管理服務(wù)器與外部通訊時(shí)，分析通訊的進(jìn)程、相關(guān)程序文件的安裝時(shí)間、來(lái)源以及傳播路徑，并檢查下游ATM 設備通訊流量情況，并通過(guò)可視化手段可以直觀(guān)的還原出，ATM 設備通過(guò)內部管理服務(wù)器作為跳板與外部進(jìn)行異常連接的情況。

當然，這一方面需要大量的信息安全日志數據作為支撐，包括內外網(wǎng)邊界及關(guān)鍵路徑上的網(wǎng)絡(luò )流量情況、服務(wù)器設備的異常行為檢測情況、惡意遠程通訊IP 地址等外部威脅情報等，另一方面需要有實(shí)時(shí)快速處理海量數據和建模關(guān)聯(lián)分析的能力，以及可視化展現能力，畢竟可疑事件最終還是需要人工準確判斷。

以上關(guān)鍵環(huán)節的薄弱點(diǎn)正是我們目前靜態(tài)的、被動(dòng)式防御體系的薄弱點(diǎn)，傳統的安全防護體系已經(jīng)逐漸不能適應外部攻擊防護的需要。以下結合業(yè)界研究分析及實(shí)踐情況，就如何構建新一代安全防護體系談幾點(diǎn)思路。

正如剛才描述的靜態(tài)被動(dòng)式安全防護體系弱點(diǎn)，新一代信息安全防護體系應該朝著(zhù)如下的四個(gè)方向進(jìn)行轉變：

1) 由被動(dòng)監控向主動(dòng)預防轉變。

2) 由邊界安全向全網(wǎng)安全轉變。

3) 由靜態(tài)特征識別向動(dòng)態(tài)異常分析轉變。

4) 由系統安全向業(yè)務(wù)驅動(dòng)安全為轉變。

最終，信息安全的所有問(wèn)題本質(zhì)上將轉變?yōu)榇髷祿治鰡?wèn)題。

傳統的應急式安全響應中心將轉變?yōu)槌掷m安全響應中心。為了實(shí)現這個(gè)目標，我們將從以前以Policy 策略、Protect 防護、Detect 檢測、Response 響應四個(gè)階段組成的PPDR 安全防護體系，轉變?yōu)橐訥artner 最新提出的并獲得業(yè)界主流安全企業(yè)和研究機構認可的PPDR 安全防護體系。

即以Predict 預測、Protect 防護、Detect 檢測、Response 響應四個(gè)階段組成的新PPDR 閉環(huán)安全防護模型，并且在不同階段引入威脅情報、大數據分析、機器學(xué)習、云防護等新技術(shù)和服務(wù)，從而真正構建一個(gè)能進(jìn)行持續性威脅響應、智能化、協(xié)同化的自適應安全防護體系。

預測階段

該階段的目標是獲得一種攻擊“預測能力”，可從外部威脅情報中學(xué)習，以主動(dòng)鎖定對現有系統和信息具有威脅的新型攻擊，并對漏洞劃定優(yōu)先級和定位。

該情報將反饋到防護階段和檢測功能，從而構成整個(gè)威脅處理流程的閉環(huán)。這里面有兩個(gè)關(guān)鍵要素：一是威脅情報本身；二是對威脅情報的利用。

所謂威脅情報，是指一組基于證據的描述威脅的關(guān)聯(lián)信息，包括威脅相關(guān)的環(huán)境信息、手法機制、指標、影響以及行動(dòng)建議等?？蛇M(jìn)一步分為基礎數據、技術(shù)情報、戰術(shù)情報、戰略情報4 個(gè)層次。

基礎數據, 例如PE 可執行程序樣本、netflow 網(wǎng)絡(luò )流數據、終端日志、DNS 與whois 記錄等；

技術(shù)情報, 例如惡意遠程控制服務(wù)器地址、惡意網(wǎng)站、電話(huà)、釣魚(yú)郵件地址、惡意代碼HASH 值、修改的特定注冊表項、系統漏洞、異常賬號、洗錢(qián)手法等；

戰術(shù)情報, 包括已發(fā)現的外部攻擊者和目標信息、攻擊手段和過(guò)程、可能造成的攻擊影響、應急響應建議等；

戰略情報, 主要指社會(huì )、政治、經(jīng)濟和文化動(dòng)機、歷史攻擊軌跡和目標趨勢、攻擊重點(diǎn)、攻擊組織的技術(shù)能力評估等。

利用這些情報成為后續防護、檢查和響應的基礎，我們可以與現有防護系統充分結合，自下而上在網(wǎng)絡(luò )、系統、終端、應用、業(yè)務(wù)各個(gè)層面進(jìn)行外部攻擊的有效預防。

例如，可以將惡意遠程控制服務(wù)器地址納入網(wǎng)絡(luò )流分析檢測工具中，及時(shí)阻斷可疑的外部連接情況；將互聯(lián)網(wǎng)上已檢測到的惡意代碼特征、異常行為模式等同步到IPS、HIDS、沙箱工具；通過(guò)APP等提示并攔截客戶(hù)對假冒網(wǎng)站的訪(fǎng)問(wèn)；根據外部攻擊的手法和目標等情報信息，主動(dòng)調整DDos和WAF 的防護策略等等。

相關(guān)資料顯示，65%的企業(yè)和政府機構計劃使用外部威脅情報服務(wù)增強安全檢測和防護能力。威脅情報的引入，是從被動(dòng)式防護專(zhuān)向主動(dòng)式預防的重要基石。

安全防護階段

該階段的目標是通過(guò)一系列安全策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。

這個(gè)方面的關(guān)鍵目標是通過(guò)減少被攻擊面來(lái)提升攻擊門(mén)檻，并在受影響前攔截攻擊動(dòng)作，主要分為加固與隔離、漏洞與補丁管理、轉移攻擊等三個(gè)方面。

加固與隔離方面，大部分企業(yè)在系統、網(wǎng)絡(luò )及終端方面進(jìn)行了大量的投入和系統建設，包括使用防火墻、VLAN 等對不同網(wǎng)絡(luò )安全區域進(jìn)行隔離和訪(fǎng)問(wèn)策略控制，終端的802.1x 準入控制與隔離，各類(lèi)系統、網(wǎng)絡(luò )設備的安全補丁以及安全配置加固。

但是在應用方面特別是web應用和移動(dòng)app 安全加固方面還做的不夠，包括沒(méi)有限制用戶(hù)輸入字符串的長(cháng)度、使用了SQL語(yǔ)句拼接且沒(méi)有主動(dòng)過(guò)濾非法字符、未安裝限制頻繁撞庫的驗證碼控件、未在后臺限制頻繁交易次數等。

這些加固控制措施都是必須結合應用自身特點(diǎn)進(jìn)行設置，并非簡(jiǎn)單通過(guò)IPS、DDoS、WAF 等防護設備就能阻擋此類(lèi)利用正常應用對外服務(wù)渠道和業(yè)務(wù)邏輯發(fā)起的外部攻擊。

因此，應進(jìn)一步加大對應用安全加固問(wèn)題的重視，如應用安全代碼檢測和應用安全設計應該放在更重要的位置，特別是對逐漸引入的生物特征識別與認證技術(shù)、物聯(lián)網(wǎng)技術(shù)的安全性研究，作為從系統安全到業(yè)務(wù)驅動(dòng)安全轉變的重要支撐。

漏洞與補丁管理方面，盡管大多數企業(yè)都引入了漏洞掃描工具，并建立了漏洞發(fā)現、分析、補丁修復的完整工作機制，但漏洞與補丁管理最容易在兩個(gè)方面產(chǎn)生疏漏，一是漏洞情報獲取的滯后，二是設備資產(chǎn)梳理不清。非常容易導致信息安全的木桶效應，即一塊短板導致整個(gè)防線(xiàn)崩潰。

漏洞情報獲取的時(shí)效性提升可以納入到前面說(shuō)講的威脅情報收集工作中，盡可能從外部更快速的渠道獲取并以可機讀的方式與防護系統聯(lián)動(dòng)；設備資產(chǎn)清單梳理方面，資產(chǎn)的梳理范圍和顆粒度劃分、以及信息采集的自動(dòng)化程度是制約設備資產(chǎn)請安管理工作取得實(shí)質(zhì)性成效的重要因素。

然而現實(shí)中，大多數企業(yè)都不重視物聯(lián)網(wǎng)設備如視頻監控、自助機具等如今可以被入侵或當作攻擊肉雞的聯(lián)網(wǎng)設備清單，缺少Struts2、Open SSL 等組件分布情況快速收集的能力等。

轉移攻擊方面，簡(jiǎn)單來(lái)說(shuō)，該功能可是企業(yè)在黑客攻防中獲得時(shí)間上的非對稱(chēng)優(yōu)勢，通過(guò)蜜罐、系統鏡像與隱藏等多種技術(shù)使攻擊者難以定位真正的系統核心以及可利用漏洞，以及隱藏、混淆系統接口和系統信息。

此項技術(shù)對于研究攻擊者手法、檢測防護系統不足甚至刻畫(huà)黑客的攻擊畫(huà)像等都十分有利，但考慮到該類(lèi)技術(shù)的應用場(chǎng)景復雜性，引入時(shí)應考慮更加全面充分。

安全檢測階段

該階段的主要目標是及時(shí)發(fā)現各類(lèi)外部直接的或潛伏的攻擊。在這個(gè)階段是傳統安全防護體系中，各個(gè)企業(yè)投入最大且最為依賴(lài)的部分，因此也是構建數據驅動(dòng)的自適應安全防護架構最需要做出改變的階段。

一是從傳統的只重視邊界流量（如互聯(lián)網(wǎng)與第三方入口的IPS）的安全檢測，發(fā)展為全流量檢測或至少具備任一網(wǎng)絡(luò )關(guān)鍵路徑流量的檢測能力，因為攻擊者不可避免地會(huì )繞過(guò)傳統的攔截和預防機制，一旦進(jìn)入內部傳統的檢測防護機制就難以發(fā)現。

二是從靜態(tài)的基于特征碼的檢測，如目前的IPS、防病毒、WAF 等，發(fā)展到基于異常的動(dòng)態(tài)檢測，正如前面提到的，很多APT 攻擊者利用的是0day 漏洞或者利用經(jīng)過(guò)多態(tài)和變形的惡意代碼進(jìn)行攻擊，無(wú)法被傳統基于特征碼的檢測手段發(fā)現，但通過(guò)異常行為分析是有可能發(fā)現的。

目前業(yè)界主要通過(guò)進(jìn)入沙箱檢測技術(shù)，將網(wǎng)絡(luò )、終端、郵件等系統中獲取到的可執行文件等在沙箱環(huán)境運行，并觀(guān)察相關(guān)進(jìn)程創(chuàng )建或調用、文件或資源訪(fǎng)問(wèn)行為、注冊表修改等是否存在異常。

然而，沙箱逃逸技術(shù)的蓬勃發(fā)展（即通過(guò)主動(dòng)識別沙箱環(huán)境而不執行相關(guān)代碼、利用時(shí)間差埋伏一段時(shí)間再啟動(dòng)等），使得對于異常的分析不能完全依賴(lài)于沙箱，而是通過(guò)異常流量檢測、機器學(xué)習、關(guān)聯(lián)分析等大數據分析手段進(jìn)行自適應安全檢測。

三是加大云平臺的安全監測能力。隨著(zhù)Iaas、Paas 等云平臺的不斷擴充，越來(lái)越多的企業(yè)核心業(yè)務(wù)正逐漸從傳統的服務(wù)器遷移至私有云或混合云。除了云平臺帶來(lái)的擴展靈活性、高可用性、運維便捷性外，也會(huì )帶來(lái)新的安全挑戰。

虛擬化層hypervisor 的安全漏洞與安全控制問(wèn)題，如虛擬機逃逸問(wèn)題，會(huì )產(chǎn)生一鍋端的較大風(fēng)險；安全設備和安全防護手段的虛擬化軟件化將帶來(lái)攻擊面的擴大。

云上應用的數據高度集中，用戶(hù)及權限管理方面管控不嚴格也存在客戶(hù)信息泄露風(fēng)險；系統、網(wǎng)絡(luò )和存儲資源復用，既給數據有效隔離和保護帶來(lái)挑戰，也存在安全風(fēng)險傳導的隱患；原有實(shí)體網(wǎng)絡(luò )之間的網(wǎng)絡(luò )邊界、實(shí)體設備之間的物理邊界已經(jīng)模糊，不同安全等級的網(wǎng)絡(luò )區域整合到了一個(gè)網(wǎng)絡(luò )區域中，給網(wǎng)絡(luò )邊界防護帶來(lái)挑戰；不同安全級別的信息系統使用云平臺上同樣的資源，對安全分級保護和安全管理增加難度和復雜度。

但反過(guò)來(lái)云平臺也會(huì )給安全防護帶來(lái)積極的一面，如網(wǎng)絡(luò )隔離的靈活多樣和更精細的顆粒度；全局網(wǎng)絡(luò )流量的鏡像抓取與檢測更加容易；安全防護設備虛擬化后的靈活定制能力等。

因此，我們可以通過(guò)幾個(gè)方面綜合提升云平臺的安全檢測能力進(jìn)而降低整個(gè)云平臺的安全風(fēng)險。

首先，實(shí)現云平臺跨虛擬機內部的全流量采集與監測，例如目前有很多針對openstack 的流量監控方案；

其次，通過(guò)軟件定義安全的方式，充分利用安全防護設備的軟件化虛擬化，實(shí)現個(gè)性化流量監測策略，例如針對不同的web 應用業(yè)務(wù)實(shí)現不同的WAF 策略，而無(wú)需像以往一樣受限與固定硬件設備的一些掣肘；

再次，實(shí)現不同安全防護設備的云化集中監測能力，云平臺自身的特性和云計算的強大能力使得各類(lèi)安全檢測設備云化后，安全日志等安全檢測信息的整合集中與關(guān)聯(lián)能力更容易獲得。

四是從系統安全檢測發(fā)展到重視應用和業(yè)務(wù)層面安全問(wèn)題的檢測能力。對于資金欺詐、撞庫洗庫、惡意頻繁交易等業(yè)務(wù)層面的安全檢測能力也應該得到進(jìn)一步加強，主要包括：

（1）外部威脅情報引入與反欺詐系統的聯(lián)動(dòng)，例如惡意釣魚(yú)網(wǎng)站、惡意IP等；

（2）反欺詐系統監控變量、模型與規則的豐富，例如生物認證信息、移動(dòng)終端位置信息、更加豐富的移動(dòng)和固定終端的設備指紋信息等；

（3）基于機器學(xué)習的異常流量檢測和反欺詐交易行為檢測。 

綜上所述，持續而嚴密的異常動(dòng)態(tài)安全檢測是自適應安全架構的核心，全網(wǎng)流量檢測、沙箱技術(shù)、大數據分析能力、面向業(yè)務(wù)安全的檢測技術(shù)等，共同構成了我們構建下一代信息安全防護體系的核心能力建設目標。

安全響應階段

該階段的目標是一旦外部攻擊被識別，將迅速阻斷攻擊、隔離被感染系統和賬戶(hù)，防止進(jìn)一步破壞系統或擴散。

常用的隔離能力包括，終端隔離、網(wǎng)絡(luò )層IP 封禁與隔離、系統進(jìn)程、賬戶(hù)凍結、應用層阻斷和主動(dòng)拒絕響應等。這些響應措施在新一代數據驅動(dòng)的自適應安全防護體系中最重要的目標是能夠跟基于大數據的安全檢測系統進(jìn)行有效對接，自動(dòng)根據檢測結果進(jìn)行觸發(fā)或者提示人工判斷后自動(dòng)觸發(fā)。

因此，在建立下一代安全防護體系過(guò)程中，必須把響應階段與安全檢測階段一體化考慮。同時(shí)，在做好自身的響應準備時(shí)還要充分考慮外部服務(wù)商、合作方的共同應急響應或風(fēng)險傳導控制。

一是一些應用攻擊的影響控制需要應用系統側采取驗證碼控件、后臺交易頻率限制、輸入過(guò)濾等措施進(jìn)行真正有效的應急處理，但通常這類(lèi)措施受限與供應商或內部開(kāi)發(fā)團隊的影響上線(xiàn)周期過(guò)長(cháng)，因此要提前建立快速響應機制。

二是使用CDN 服務(wù)情況下面臨外部攻擊時(shí)，惡意攻擊的阻斷和地址封禁等需要CDN廠(chǎng)商同步實(shí)施，但其封禁時(shí)效性以及CDN 自身入侵防護能力可能存在不足。如何第一時(shí)間從CDN 獲取詳細信息、如何在CDN 側響應過(guò)慢時(shí)主動(dòng)切換CDN 或者切回源站、如何考核督促CDN 等都是需要高度重視的問(wèn)題。

三是系統層面快速阻斷與隔離手段通常較網(wǎng)絡(luò )隔離與封禁等使用的較少，例如進(jìn)程中止與隔離、文件鎖定與隔離、用戶(hù)會(huì )話(huà)中斷與用戶(hù)鎖定等。

四是回溯能力不足，一方面需要構建大數據分析平臺，還原和展現事件發(fā)生前后關(guān)鍵路徑上所發(fā)生的一切，利用運營(yíng)商、安全廠(chǎng)商、BAT 等互聯(lián)網(wǎng)大數據威脅情報進(jìn)行溯源和快速響應。

本文結合日益突出的APT 攻擊問(wèn)題，針對性的提出了目前傳統靜態(tài)防御技術(shù)體系和應急式威脅響應防護機制的不足，并按照PPDR 模型，簡(jiǎn)要描述了構建下一代數據驅動(dòng)的安全防護體系建設四個(gè)階段（安全預測、安全防護、安全檢測、安全響應）的建設目標、內容和關(guān)鍵技術(shù)思路，打造一個(gè)內外聯(lián)動(dòng)的、預防為主的、具有整體威脅感知和快速響應處理能力的持續信息安全響應平臺。

作者

金海旻，博士，高級工程師，主要從事應用密碼學(xué)、網(wǎng)絡(luò )攻防與數據庫安全相關(guān)研究。

顧駿，本科，高級工程師，主要從事國內外信息安全管理體系理論與實(shí)踐、企業(yè)級病毒防護體系、身份認證技術(shù)與應用、金融IC 卡技術(shù)等相關(guān)研究。

金晶，本科，高級工程師，主要從事信息安全審計與取證技術(shù)、數據安全相關(guān)技術(shù)、ZOS 大型主機安全技術(shù)等相關(guān)研究。

來(lái)源： 信息安全與通信保密雜志社