传统网络安全（边界）和新安全的思辨

一、传统网络安全

传统网络安全主要以防火墙、杀毒软件、入侵检测等设备为代表，其关键特征在于守卫边界，特别是物理边界。这些设备在边界上执行防护与监视，但保护目标普遍模糊，未针对具体网络或主机。边界内部默认视为安全，而账户安全同样忽视。设备处理能力有限，且主要针对已知威胁。安全研究和防御以行为特征为中心，对身份识别能力较弱，且存在容忍安全事件发生的假设。对于已知漏洞有较好防御，但对未知威胁的感知能力不足。

二、新安全

传统网络安全存在诸多局限，促使了新安全理念的诞生。新安全技术侧重于增强原有边界安全产品，通过边云架构优化检测与分析能力。加强人机交互，提高人对安全事件的响应能力，如SOC、态势感知、威胁狩猎、SOAR等工具。通过重构边界，如SDP，实现零信任架构，专注于资产保护。面向资产的安全策略更加强调确保关键基础设施上业务和数据的安全性。身份成为安全策略的核心要素，强化身份识别和分析。沙盒和诱饵技术聚焦于行为观察和确认，提供安全事件发生的信息。云安全面临全新的挑战，需要为云环境重新构建安全策略。流动过程中的安全需要关注指令和数据流动，通过内置安全、部署观测点等方法进行对抗。应用安全和业务逻辑安全的挑战在于修复漏洞，确保应用在存在漏洞时仍能安全使用。最后，人是安全的最大挑战，因为人的复杂性给安全带来巨大难题。