大家都在思索，5年不是一个很短的时间，可以发生很多事情。从2000年至今，阳光之下，我们都见证了很多的潮起潮落。2003年从美国总部培训“按需计算”On-Demand Computing回来，写过一些按需安全的文字，但是后来终究也没有让它们露面。但是现在却有了一个冲动，Security 2.0，Let's Go !

#########

如果我们按照安全历史的发展，做下面的定义： 

• 将“安全就是反病毒”定为 安全 Security 0.1，
• 将 “安全就是PDR，where P是防火墙、D是IDS、R是安全应急服务”定为安全 Security 1.0

的话，现在的安全则开始进入一种我们可以称为安全 Security 2.0的年代（这里请允许我借用一下Web2.0），其代表性的特点feature 如下：

• 关注点从简单的防止攻击和入侵，发展到应用和数据安全，以及内部控制
• 安全体系从“老三样”发展到基于IAM（或者AAA，或者AAAA）的综合防御体系，强调安全管理的“内功”
• 安全管理和技术更加强调信息交互、以及相关、挖掘和展现，强调信息的易用性，强调“用户”的感受和使用效果

换句话说，Security 1.0和2.0的重大区别之一就是1.0关注“单点”安全信息的产生和准确性，而2.0则偏重关注自身体系的建设以及安全信息的使用，并且将信息上升为知识和行动指南，反馈到安全体系的优化中去。我认为，在这里2.0并没有替代1.0的意思，而在建立在1.0的基础之上。失去了1.0，2.0就成为空中楼阁、无源之水。

2.0的产生和提出，有其背后的驱动力。我们知道，在10年前，我们手头可以使用的安全工具包括认证、基本的扫描器、状态检测的防火墙刚刚出现、而IDS则限于简单的模式匹配查找，这时的攻击方式和手法也相对简单。上述安全工具的使用范围不是很大，管理员可以使用各自单一的工具及其控制台就可以完成相当的安全工作。到5年前，随着互联网攻击的泛滥，当时业界提出了PDR模型，引入到中国则形成了若干个PDR的变种，但总体的思潮是“动态”防御－尽快发现入侵和攻击者。在这个阶段，IDS技术也发展到了协议分析、异常发现等多种引擎的融合，曾被寄予很大的希望来一劳永逸地解决安全攻防问题。

但是，近两年来Zero-Day式攻击的出现和快速增长，极大的增加了管理员对于IDS的怀疑，一点点蚕食了用户对IDS防护效果的信心。这个时间窗口不再存在了，IDS厂家不再有时间去提取样本，编制并下发手法库。另外报告漏洞、开发并分发补丁的时间窗口也被Zero-Day抢走了。“动态”防御在Zero-Day面前无能为力！ 怎么办？  AAA ！AAA endows dynamic defense a solid foundation. 不仅将“动态”防御留下的时间窗口之痛抚平，还大大增加了安全策略的内涵和落地能力。

并且，随着各种单点安全产品（1.0）的成熟和大量部署，安全信息从“无”到“泛滥”，信息不再是信息，反而成了管理员望而生畏的“噪声”。【信噪比】 ！ 最早的SIM/SEM产品就这样诞生了！

数据 － 信息 － 知识 － 行动， 这是我们常用的4进阶的信息处理模型，每个进阶中的信息“质量”都不断获得提升。从这个模型里，我们可以看到为什么当初提出的IDS和防火墙互动模型提出后却在实际应用上被管理员摒弃的原因。IDS自己本身产生的安全信息的质量不能直接指导安全“变更”行动。 超出安全管理员处理能力的信息不再是信息，而是噪声。简单的过滤、合并等虽然可以降低安全“信息”的数量，但是却无法保证留下的“信息”的质量。如何判断“信息”的“质量”？资产、业务、漏洞、威胁、人等各种因素都被考虑了进来。我们看到，早期的SIM/SEM是就安全事件关联安全事件，而最新的安全模型则开始事件的业务和IT环境。