李刚:各位领导、各位专家、各位来宾大家好!很高兴我们能有机会在中国信息安全论坛上发表自己的一些看法。刚才翟教授跟大家分享云计算安全的挑战,作为业内的一个重要的参与厂商,翟教授也提到像赛门铁克这样的公司怎么样能够帮助中国的客户既能够去说赶上这个IT大的发展趋势又能够切切实实从国家层面,从政府层面,从企业层面,从个人层面确保自己的安全,坦率的讲,这也是我们赛门铁克公司的挑战。这方面现在也正在跟国内大的服务提供商企业进行深入的探讨,我们也深刻理解用户在这方面的一些担心和忧虑,我们也想什么样的模式是最好的,把这样IT的未来发展方式引入中国来。有一点是肯定的,我们确实理解的一点,我们不可能要求中国的社会用户放到共产主义云上去,这个我们有深刻的理解,我们更关注把相应的技术、经验和实现的手段介绍到中国,帮助中国大的服务提供商、政府来构建中国自己的云。
我稍微偏离了一下我自己的演讲主题,今天我的主题更多的是赛门铁克中国公司在过去十几年来一直参与国内企业安全系统的建设所得到的一些体会,来跟大家分享一下。赵司长刚才提出一些观点真是一针见血,也是我们的一些困惑,在这里也跟大家分享一下我们的困惑。
大家知道赛门铁克是专著做信息安全的技术厂商,安全很多时候是跟技术不是完全相关的,有一些东西我们感到跟无力,所以这方面跟大家一起去分享,所以我们讲叫突破瓶颈,整合力量。
大家都很清楚现在面临飞速变化的环境,不管是云计算还是物联网,以及三网融合的新趋势,不断使得IT、信息技术不断发展,这使得IT和信息技术的构成产生不断的变化,这显然有安全问题。赛门铁克每年都会发布两期互联网安全的威胁报告,我们都会对过去一年里面所发生的相应的互联网的安全威胁的趋势做一些宏观上的分析,每一次的互联网安全威胁报告都给我们更大的警示,我们面临的挑战会更多。
中国的互联网安全威胁报告是在昨天刚刚发布的,所以在这里面我摘取其中一些比较重要的点跟大家做一个分享。第一,所谓针对式攻击取代广泛式攻击。攻击者充分利用从各个渠道得到的信息,通过社会工程学手段向目标企业关键人员发动攻击,现在的攻击会更加具有针对性,有的时候攻击已经不在针对某一个企业,而是针对某一个企业的个人进行攻击,这种攻击可以说危险性更大,隐蔽性更高,这不是说用一种广泛已知手段做攻击。现在由于攻击很明确,所以隐蔽性也会变得很高。
第二,恶意代码或者恶意的软件成几何基数膨胀。我们按照真正恶意代码来统计,光2009年我们公司发现2.4亿个全新恶意代码程序,这也是因为现在生成这种恶意代码变得越来越简单了。有一种软件专门针对窃取个人信息用的,这可以自动生成恶意代码,这种恶意代码工具就可以很轻易的自动生成成千上万个变种的恶意代码,这种威胁是越来越明显了。
敏感信息泄露的风险依然被忽视。原来用词用的是依然没有被引起重视,后来我们改了这个用词叫依然被忽视,就是想提醒大家问题的严重性。我们做过统计每400封邮件里面就有一封含有敏感信息的。大家知道400封邮件含有一封就是0.25%的概率。实际上去年全世界邮件里面有大概80-90%的邮件是垃圾邮件,如果把这些垃圾邮件去除可见在我们的正常商务邮件和平时的私人邮件当中,这种敏感信息包含的量是很高的。
每50份网络传递的文件也包含有敏感信息。每2USB硬盘里面就有一个含有敏感信息的,可以说泄密是非常容易的,敏感信息在互联网世界里面,在现在的信息系统里面发生泄露的状况是十分容易的,很容易的,这种容易程度是超出我们想象的。另外所造成的损失也是很大的。
刚才讲标题原来用的是敏感信息风险依然未引起足够重视改成依然被忽视呢?这是因为调查了一些公司,在这些调查公司当中进行了常规的信息泄露检测的公司不到50%,采用了技术手段和措施来去防范敏感信息泄露的就更少了,国内的比例就更低了。尽管大家都在说防止敏感信息泄露等等,相应的真正落到实处采取措施和手段的对于国内企业来说就更少了。面对这些挑战,这十几年来国内企业在信息安全线上也有很大的发展。我们看看现状,整个的企业防护重点都开始逐渐转向了对数据本身的保护,另外是对用户的身份和行为进行管理,现在保护的方向和保护的重点已经有了大的转变。
从理念上讲被动的防御慢慢的转向主动的合规管理。对安全绩效的思考比以前更多了,当然这也是来自于压力,就是安全系统本身怎么谈论绩效,也有这样的压力,所以安全绩效的管理要求也被提上了IT的管理人员思考的议事日程上面。
每次我们去跟用户拜访,跟他们交流的时候,只要我们稍微的去跟用户的管理层,尤其是信息系统的管理层面去交流,去接触的时候,有一个问题是永远被问到的,不管是任何一个用户,不管这个用户是中小企业还是说这个用户是一个国内的超大型的国有企业都会问到这样一个问题,这个问题就是安全到底应该建成什么样子。越大的企业安全系统建设时间越长的企业这种问题越突出,我建了十几天的安全系统,到底应该建成什么样,接下来是说你是赛门铁克,我就问你能不能给我一个标准,而且是可以落地的,可以用到实处的框架让我们参照,我们到底每一年在安全上的投资的增加,我们可以跟企业领导说由于信息系统本身不停的发展和变化,所以我的安全系统也不可能一蹴而就,但是告诉我一个目标和方向。说实话这个问题也困扰着我们,因为我们的答案经常是这样的一个答案,到底有没有?这是国内的企业经常问的问题,有没有一个框架和模型让我去参考。我们的答案是有,也是没有。我们反反复复跟用户一起去思考和交流得来的答案,什么是有呢?你说标准有,搞安全的人知道安全的标准是最丰富的,所以说这些是有的。但是真的是没有能够简单照搬的,我可以很坦率的说中国移动所建立的安全规范,整个的安全体系建设你拿到工商银行,国内最大的电信运营商和国内最大的银行,工商银行的IT安全主管会认为看不明白,因为中国移动想做的事情跟他们想做的事情是完全两个思路。
真正可以去考虑的只有两个,就是最佳实践和建设思路,只有最佳实践和建设思路才是我们真正可以去拿来做参考,但是这个东西是没有能够简单的复制的东西,这也是真正国内信息安全建设最大的挑战,为什么会这个,整个IT系统建设大量的东西都可以简单的复制,比如说容灾建设,没有说这个行业容灾建设跟另外一个行业容灾建设是不一样的。比如说ERP系统建设等等,我们没有规范可寻呢,没有稍微简单可以复制的模式吗,是有的,为什么偏偏安全是这样呢,我们做更进一步的思考是这样的,就是所谓的矛盾和落差,存在这两个东西,真正的瓶颈是在这个上面。
也就是说安全,尤其是已经进行十几年,几年安全建设以后,基本建设做完以后,下一步该怎么走,这时候矛盾和落差,两个矛盾和两个落差变得特别突出了,变得高度突出。也就是说IT部门内部关于生产和安全间的矛盾,部门之间的矛盾变得越来越突出,已经绕不过去了,这也证明了刚才所说的没有一个能够简单照搬模式的原因,因为什么呢?因为各个企业的业务部门之间的政治关系,管理流程关系都是不一样的,所以同一件事情在IT部门内部管理流程可以说很清晰,但是如果牵扯到IT部门之外的管理流程这是千差万别完全不一样的,由于现在安全越来越针对信息的本身了,已经越来越针对到企业的知识产权经营的核心秘密信息,关于这些东西的管理流程,问责流程,审计流程,可以说没有,各个企业是各自有各自的一套,各自有各自的方法,这还跟每个企业内部人的关系有很大的相关性。
两个落差:领导重视,讲到信息安全我们跟所有的高层领导,CEO、老总交流的时候他们都是高度的重视,不怕花钱,绝对是重视。但是我们说有一些问题不是钱的问题,这种高度重视跟你实际行动之间的支持是有落差的。刚才赵司长谈到很重要一点说,我们还要坚持一个原则,就是谁主管谁负责的原则,但是要高度重视所谓的协调和统筹。我们看到的是说在很多企业内部谁主管谁负责这句话被简单的解释成为了IT部门主管,IT部门负责,这是其一。
其二,完全缺乏统筹。大家知道一把手事情太多,没有办法去真正做到统筹,但是IT部门能够去统筹整个的信息安全工作吗?答案肯定是否定的,IT部门在大型企业里面永远是后台部门,是一个支持部门,是一个服务部门,它出面来统筹是很难的,这方面实际跟整个观念上的重视实际上落差是很大的。
理想状态和现实环境的落差。所谓理想状态就是讲到很多的标准、方法,这些东西跟方方面面的牵扯太多,在现实环境里面很难去完整的贯彻和执行。这些我们认为形成了一个最严重的瓶颈,也是中国企业信息安全往下面走,往下面发展的严重瓶颈。换句话说甚至成为了一个最大的风险,风险一方面来自于外部,一方面来自于内部,我们这方面已经成为最大的内部风险所在。因为我们有很多的实际的案例,有很多的安全系统建设在推动上,在部署上遇到大量的阻力,有的时候甚至于推动不下去,就是这样一个原因。
怎么办呢?我们也不能仅仅在这呼吁,我们也有一些经验去分享给大家,也希望利用这个论坛的机会得到各位的反馈,大家一起来推动中国的企业安全建设进一步发展。我们的想法是整合三股力量共同推动,力量之一我们要高度重视这些所谓的国际标准的贯彻和执行。国际标准的贯彻和执行经常会被认为是所谓的法规遵从,但是我的的理解不是这样的,如果是为遵从而去推动国际标准的贯彻和执行,这显然是浪费了多少年积攒起来的国际标准,方方面面的智慧、结晶。事实上所有这些国际标准都是一种最佳经验的高度浓缩,也就是说如果我们尽量贴近这些标准,我们的信息安全,信息系统本身的建设会有一个参照。所有这些要么不是特别专著在安全上,比如说27001也没有讲怎么样做,而是讲安全控制应该从哪几个环节去看,这是一个方面。
看威胁,整个来自于外部和内部新的威胁有什么样的变化,从这个角度来看下一步安全应该怎么样去走。怎么弥补落差呢?这些落差现在有,但是不是一时一刻可以快速弥补起来,我们需要从三方面,一方面借助标准,一方面看最新威胁,另外看怎么样弥补企业内部管理上的落差。这样来看就是中国企业下一步建立的方法,这就是以标准来作为建设的参照,我们还是要看标准怎么样落地。
第二,及时了解外部威胁所在。包括赛门铁克很多安全厂商都会去定期发布所谓最新的安全威胁报告,这些安全威胁报告事实上也指出了目前存在最多的安全隐患在哪里?针对这些威胁我们部署最新的技术,所以第一步、第二步、第三步都是跟外部相关的,第四步是跟我们内部相关的,或者说是我们中国企业可以自己来帮助自己的,也正是我们所寄希望于像这样的安全论坛所发挥的作用,我们来互相参考寻求解决内部困境的最佳实践,我们后面会讲一些例子,怎么样来解决我们内部的安全的困境。基本上是三个层面,一个是我们有国际标准,我们要去参照执行。第二,动态技术层面,了解最新的威胁和应对手段。所有这些真正要落地的时候遇到的阻力最大的就是内部困境,我们就要看如何把内部困境消除掉。
今天我们谈了两点,一个是最佳实践,一个是来呼吁建立防护的联盟,来共同推进信息安全建设。目前来看大型企业比较重要企业,他们采用同行最佳实践一般是这样的:第一,合规管理不仅仅是为了法规遵从,合规管理最重要的是使得我们整个安全治理常态化、流程化,而不是仅仅变成一种运动。所以合规管理不是为了应付外部,而是为了去使得我们内部的安全管理更加的有效和常态。在这里面很重要的一点就是合规管理的自动化,要把合规管理从一个依赖于人治的方法来变成依赖于自动化流程来落地的方法。
第二,最大的威胁是针对信息本身的威胁,这是当前信息安全最大的挑战。在这方面要加强针对信息的风险管理,我们的目标要更加直接去针对信息。我们前面谈到大量的邮件、文件、U盘,移动设备散步着大量敏感信息,所有这些东西的管控应该成为当前中国企业信息安全建设里面所要迅速消除的风险。
增强基础设施的管理和完善基础设施的保护,这两个方面中国企业做的都非常好,但是也要去跟随着信息系统本身不断发展进行完善。
以合规来促进安全治理,也就是说我们需要有一个安全治理的闭环,从我的风险的定义一直到发现问题的弥补,所有这些是有一个流程上的闭环,以及有一个自动化的流程来帮助你去执行的。现在我们说国内的企业,一般在这方面有了一个理念的认同,但是缺少技术手段的支持,所以很多东西都是泛泛的。
简单讲我们有一个大型的企业客户,几百台服务器不知道密码,这些密码应该是开发人员留下,从来就没有改过,像这种很简单的问题,每次做合规检查的时候才会被发现,才会被指出来。整个信息系统上线的过程中没有一个环节做这种安全检查呢,我们随手多可以抓到这样例子来,就是说整个安全治理停留在静态,建立在安全系统上更多,纳入到整个企业信息系统运转的动态环节里面,这方面工作很少,可见这方面还是酉空间的。
信息保护,这是一个很重要的环节,这是把业务部门引入到安全管理的最佳的切入点或者说改变整个企业信息安全建设的最佳切入点,本身它是现在目前面临的最大的风险,因为针对信息的攻击很多。但是更重要的一点,作为我们来说,我们更看重是最佳时间把业务部门引入到整个安全管理环节里面来,大家知道敏感信息保护绝对不是IT部门的事情,我在这里面反复强调这个观点。很简单,IT部门的人知道一个企业内部什么样的信息是敏感信息吗?肯定不知道,他要知道什么样信息是敏感信息,这个信息就不是敏感信息了。
他知道这个企业敏感信息放在什么位置吗,他显然不知道。另外敏感信息的保护和泄露的审计以及事件的后续处理的流程,这是IT部门的人能够决定的吗?显然是不能够决定的。敏感信息保护和敏感信息泄露,防护信息系统的建设是一个最佳点把业务部门的人引入到整个的信息安全建设和管理过程当中去。
基础设施的保护,我只讲一个赛门铁克的数据,2009年第二大容易遭受的网络漏洞是IE的一个漏洞,这是在2003年8月23日发布的软件,在2004年6月2日就已经发布了补丁,这个漏洞是2009年第二大容易遭受网络攻击的漏洞,这可见我们所说的基础设施的管理的弱化。
加强基础设施的全面保护,提供层次化的保护手段。之前我们更多的是看重关键的业务系统和所谓的边界的防护,IT系统现在看来最重大的边界是终端,而终端最大的挑战并不在于说你采用什么样综合性的终端安全技术,绝对不在于这个,最大的挑战还是我刚才讲的管理和技术之间的冲突,IT部门进行终端建设最大的压力来自于他的用户对他的抱怨等等。
最后我们有一个倡议,我们来共同推动这种建设,也就是说倡议说从世界各地,当然在国内可以从中国做起,中国的企业来分享所面临的技术威胁,以及管理上的挑战,以及去分享我们怎么样去应对这样的威胁和管理上的挑战。
对于赛门铁克来说能做的事情,因为我们在这个行业里面时间长,我们在全世界存在比较广泛,我们有一个全球性的网络能够及时的去把最新的安全威胁和趋势总结出来,能够分享给大家。
针对安全的威胁和趋势我们能够有一些技术手段去应对,但是更多的是希望大家共同努力,这个我讲了三点,第一点我们强力建议重新建立首席安全运行官。这个话可能七、八年前就在谈,大家会说以前谈现在怎么谈呢?就是现在到了瓶颈了,之前没有这个位置没有关系,这些年来已经走过来了,但是现在真的到了瓶颈了,我们发现很多系统建立起来最缺乏就是统筹协调的人员,这是在IT部门以上的,IT部门之外的人,我们国家和政府都已经设立了这样的机构,我们信息安全协调司就是这样的。我们企业相应的位置基本上都是空位,这既是安全建设的瓶颈又是企业安全建设最大的风险。
第二,我们自己要努力做到加强业界通行安全实践推广。
第三,我们也要推广企业之间解决安全经验分享,用这些经验来解决我们的问题。
谢谢各位。
(责任编辑:陈曲)