曹鹏:大家好,很高兴又有机会能够站在这一届信息安全大会上,我感觉每次的信息安全大会上我们所来的人都特别的多。其实信息安全是一个非常有意思的话题,也是一个非常有意思的领域,不知道大家有没有感觉到。我在这个行业做了十年看其他的IT领域,好象没有哪一个IT领域小的环节像信息安全发展这么快,总是有那么多新概念层出不穷,我想只有信息安全的领域是基于对抗的发展,其他的编程、应用软件往往是因为一线用户实际的需求发展的,而信息安全是根据对抗的前进推动发展的。因为今天是特别的日子,我换了一个黑板版的PPT。
刚才赛门铁克的李总讲的时候有一个词让我很有感触,叫无力感,同时他讲的时候我也有一点小紧张,我发现我们俩在很多地方对于信息安全关注点很一样。我首先做一个免责条款的介绍,这个免责条款很有意思,来自于国内非常知名一家的航空公司,也是很偶然,我这种人天天到处出差,出差的时候难免到一些航空公司办会员卡,这上面写发生天灾人祸,他对你有一些免责的。不知道大家有没有注意到在这个免责条款里面,天灾人祸只是第一个叫不可抗力。在后面还有连续十条的免责,这是什么呢?计算机黑客袭击,电脑病毒恶意程序攻击等等,这些东西发生了跟航空公司也没有关系,他免责条款里面并没有说你的客户端还是我的服务器端发生了,他说只要发生就没有关系。看到这个免责条款其实是很有意思的,我说不知道什么时候信息安全问题已经像地震一样成为很多公司免责条款要填的内容了,确实是非常有意思。并不是说航空公司不重视信息化建设情况,现在书面有一本书叫IT云计算,1960-1965年美洲航空公司和美国银行是今天IT系统的前驱,一个军刀系统,这是现在所有航空公司都在用的,应该说是今天信息化领域的鼻祖和最早应用的系统,已经应用超过50年的时间了,其实航空公司很早就开始用信息化,但是即使用到今天,用了50年在他的免责条款里面信息安全问题还是作为异类被处理的。信息安全的运维在过去一段时间里面,很多时候已经变成一个人的悲剧。不知道在座的各位有多少来自一线是信息安全的管理员,我相信有一半以上都不是专门的信息安全管理员,有的人可能是网络管理员兼职安全管理员,如果这个是单位一个人去做,去维护一个企业一、两千人,这种工作是非常不太好的工作,我大概总结了一下,我很早以前给一些企业做过安全管理的代维服务,我有深刻的体会。
我们会去管所有的安全产品,防火墙,入侵检测等等,这两年企业对于信息安全投入是不遗余力的,这结果是什么呢?我们大概花了两三年的时间连续投入,把国外十年到二十年所研发出来成熟产品都买齐了,都在自己单位里面部署上了。一个信息安全管理员要管的产品很多,这些产品管理的时候有很多问题是一开始部署和实施想象不到的,比如说漏洞扫描,这个软件很简单,输入一个IP端扫描就可以了。我走访了很多一线用户,我发现很多买过来就放在那很少用了。
有一次我问他,你这个东西花了十几万怎么不去用,那个管理员给我回答说,他说谁扫描,我扫描,扫描发现好几百个漏洞,谁解决呢?是我解决还是谁解决,如果我解决不是自己给自己找事吗,如果下面管理员解决我还要把漏洞分检好了督促他们解决,他说这个太累了。他说如果我每隔一个月说你这不好,你这还不好,我在单位就会变成不受欢迎的人,因为我总说别人这个不行,那个不行。他说这个产品我买就买了,但是定期用是不会用的,这个很有意思,但是也很客观。
所有这些工作如果都是一个人去做,你会发现很多时候有技术上的瓶颈,这大部分来自于管理制度要求了,我们的日制必须天天审计,刚好我管理的网站一天有100万访问量,或者一千万访问量,这个该怎么审计,什么东西是正常的,什么东西是异常的,该如何去看,用那些工具手段,总不能打开一个TXT文件去看。很多时候管理提出来,但是在这细化不了,为什么会有这样情况呢。我简单回顾一下,我们用三到五年的时间把技术手段丰富了,我们也追求管理现代化,我们把国外最先进的标准翻译成中文拿到国内来实施发现有问题,很多管理制度和要求是建立在老外的思路下,是建立在老外信息中心和人员的编制下做出来的,拿到这边来的,那边有十个人的编制,按照那个标准做得很好,我们这边就一个人还是兼职,你把这个推给他,你会发现做起来很痛苦。
安全运维今天如果是一个人的情况,我个人感觉安全运维是一个人去做的情况在我们国内实际的用户跟企业中还会有很长的一段时间,就是一个人。所以在这种时候我们去谈信息安全,这就会有一个很大的矛盾,这个矛盾就是一大堆的技术问题,非常复杂的管理体系信息安全管理员就是一个人,信息中心管理人员在企业里面地位并不是特别高。这时候他面对的挑战就会非常大,在面对这种挑战的时候如何做一些应对呢?今天我想讲如何去想一些小的聪明。
我今天所起的课题就是平台化的创新,其实平台化这个词并不是一个新的概念,在很早的时候就谈到各种各样平台化的产品。我想什么是平台化,平台化的东西一个大的平台像一个大的圆桌会议,我们喜欢开会,因为在开会过程中可以把所有问题放在圆桌上大家一起讨论,只有大家一起讨论,一起做决策的时候,很多问题被处理或者得以响应的速度要比一个人推动会快的多。
平台化在我的理解和感觉中就是把所有的安全事件,把所有的安全问题都收集起来放在一个大的平台上面。
第二,ISO7199在序言中写信息安全什么时候能做好,全员一致共同参与就可以做到了,我们如何推动呢?如果今天防火前入侵检测这些安全产品归一个人管,这怎么能够把全员一致的精神更好推行下去呢,这也做不到,这需要一个平台让更多人参与里面。这有三个方法,一个是集中模式。这两年所有的用户和网络建设方都有这个趋势,叫数据大集中,我们有的叫应用大集中,大集中的模式发展到后面是对信息安全有很多挑战的,这些挑战在哪里呢?比如说很多金融行业,他们甚至是全国大集中,在下面省分行,地市分行因为没有系统了,所以专职的IT专业人才,包括信息安全的专业人才就留不住,他们在本地中也感觉没有挑战了,只会有一个信息专员,专业和专职的信息人员有变成大集中了,这最后的结果是什么呢?这两年可以看到很多信息安全问题并不是在数据集中端发生的,而是下面分枝机构中发生的,所以安全防护跟重视程度也是逐渐下降的。
数据大集中在这种集中的模式下,我说信息安全也需要有一种集中的发展,这种集中的发展就是决策集中,希望能够让下面的分支机构的人员,在做信息安全运维的时候能够随时了解到最高层,就是总部对于信息安全决策的考虑,这种考虑需要有一种集中化的平台帮助他自动的去实施完成。
信息服用,我们发现交叉很严重,比如说我们作系统配置,那个系统配置把很多服务都禁用了,把很多口令做的很强壮了,把很多不安全的组建尽量屏蔽掉,装了很多补丁,这是很正确的。但是很多时候应用管理员说做了这么多补丁和改动,会不会造成我们某一个应用组件起不来了,这就变成了信息安全和信息IT部门其他人员关系很密切,出了一个信息安全问题那台服务器被攻击了,信息安全人员是在检测上看到一条报警,他要看看服务器当前优没有异常状态,这时候没有管理权限,后台代码开发过程当中也没有咨询过他的意见,这些信息不能得以去复用,很多信息安全在事件处理过程中或者日常管理中也是难以开展工作的。
事件分析,在信息安全的运维过程中事件分析是一个非常难的让我们快速解决的问题,这个地方我曾经做一个统计,这个统计并不一定准确,但是我想一定代表大的趋势,有95%的信息安全运维事件其实在之前都可以通过网络中流量或者系统看明显异常和有问题,我们都可以提前看到的。如果很多安全报警事件可以在五分钟之内发现和解决,其实72%的安全事故都可以避免。我们的系统一天运行24小时,我们一天只工作八个小时,这个系统一开始上就有三分之二时间在无人职守时间发生的,所以很多安全事件都是在夜间发生的,大家可以看到有很多攻击者很聪明,他们操控主机都是凌晨的时候攻击别人,因为他知道这时候管理员并没有在电脑前面关注系统状态。
要想把这些工作都去解决,一个是将所有的事件收集齐,有一个将近300比1的模式,这是什么概念呢?你处理了300起隐患大概能避免一起事故,但是今天到了信息安全领域里面,这个比例被无限制放大,很多安全监控会越做越细,很多合规要求会在很多地方做审计和日制。我再一个不太大的单位,这个单位有将近20台信息安全的设备,这个单位每天会产生信息安全的事件量和审计结果一天会有十万条左右。这在维护期间平均大概每两个月左右,会在网络中通过预警发现病毒,或者发现一个电脑重了恶意代码或者有攻击,这个比例是多少呢?可能是几百万比1,甚至上千万比的,我们要提前处理近千万安全事件跟信息才能在这个信息里面处理一个隐患。
如何把数百万事件采集过来,并且进行精准分析,在这个分析里面,我在去年站在信息安全大会的时候,曾经有一个专家说过一句话,他说安全运维和统一的日制收集管理平台是无用的,为什么无用呢,你每天把垃圾报警做成像垃圾站的垃圾报警,这些还是没有办法分析,其实这个话说对一半,如果今天关注在安全产品自身的报警收集和采集上,我们收集到日制信息还不能保证绝对准确。在最近一年时间里面安全运维已经是很热的话题了,大家都在讨论网络安全管理和安全管理,这两个平台谁重要,谁会把谁吃掉,其实这个话题讨论最后的结果和大的趋势,我觉得他们会作为统一的管理平台出现,起码现在在安全管理角度上,在这个事件分析上安全管理很多分析数据辅助来源离不开网络来源。有一台服务器被攻击了,入侵检测系统或者某一个入侵防御系统进行报警,这个报警发生了以后,传统的检测设备全是就事论事,这使得他没有办法做好前后状况关联,如果知道的话可以知道那是一台路由器或者应用服务器,我可以快速把攻击前和攻击后所有系统功能资源和配置变化取回来,我可以看到一次攻击之前和之后对这个系统影响是多少,通过这些影响辅助一些智能判断在里面,我就会知道每一次威胁发生可能性有多少。
风险控制模型是今天所有IT领域中最简单的模型,每次这样讲的时候都少了一点,就是威胁发生的可能性。如果没有威胁发生的可能性在里面进行辅助计算的时候,你会发现有海量的事件把我们搞的焦头烂额,如果加上网管系传输数据让我们判断威胁发生可能性,我们对这个事件处理的效率会大大得以提升。
信息安全的运维,今天我说也会产生一个体系,这个体系可以看成是一个人的体系,通过一个人构建了一个平台的时候,可以在一个人工作情况下也会产生不错的效果。第一,就是有效的采集,今天看到运维管理中最大的一块,事件采集环节中就不是用安全管理的角度,仅仅认为是安全事件。
分析是一个很有意思的话题,因为今天在国内也好,从国际上来看有非常多的厂商,不同的厂商在进行报警的时候晦涩难懂,这也不能怪厂商,在安全运维平台里面肩负的一个使命,你要将这些信息从各地的地方方言翻译成为能够看得懂的普通话,换句话说要将很多不同厂商设备报警进行语意专叙。
第三,展现,安全运维平台在展现过程中是推动的一个最好的环节,好的运维管理平台一定是能够有一个多段号,让不同的人员,不同的角色都能够登录到这个平台里面看到自己关注的信息。我们可以给应用管理员,给网络管理员,给设备管理员一个帐号,他上面可以看到自己关注的安全信息,同时可以让安全管理员让网官的信息,他自己可以看到应用和系统上面各种各样资源的变化情况。
在展现这个地方用了一个词,用了一个合适和合理,这也是讲的实践的经验。以往的时候去做运维平台总会走入一个误区,我们希望这个平台尽可能多和全的展现,但是我后来发现这样往往在真实的运维环境里面会起到反作用,为什么这样呢?你可以想象今天是地市管理员,他会看到一百条报警这么多,这个管理员登陆一两天之后就没有什么热情来上,他就会说这个系统这个不准,那个也不准,我觉得这个系统不好,你得去改,他会挑剔这个系统,对于这个系统很不信任。一个系统展现信息量一个星期都没有一条,突然到下星期一有安全事件,这个管理员会说今天出了什么事,我一定要好好处理,所以有一个合理展现量也是在运维工作当中关注的。
我讲到了漏洞扫描,我觉得这个东西真正放到具体管理员手里变得非常难用,没有一个人愿意天天找别人问题。如果放到平台里面来实现这个事的时候,你会发现把复杂的事情,这个平台会定期的对检测的目标进行扫描,把扫描到的结果自动的不需要经过任何人变成一种报告或者工单的方法发送给对应的管理人员,就会把以前通过人为手工做的比较复杂,让人产生畏难情绪的工作变成在系统里面自动执行,同时在这里面一个新的漏洞发现了,上次漏洞修补了,上次漏洞有,这次发现还依然会有,他们对于每一个漏洞都有一个自动状态的关联和关联之后的检测,会把之前很复杂的事情变成一个很小的制度方法进行完成。
在智能关联方面,很多信息将不在单纯看信息安全报警,不在看防病毒的报警,他更多的去看每一个报警之后真正的资产变化情况,有没有产生异常流量,这个配置有没有发生变化,他的CPU和进程情况如何,有没有出现新的进程,所有这些情况都会跟安全事件发生相关联,以前管理员在出问题的时候会求助很多网络管理员配合他工作,他现在不需要求助他们了,所有这些工作通过这个平台自动的汇总对比完成产生一个报告,他可以非常轻松看这些报告找应用管理员。他说小王你的系统,我们昨天入侵检测发生一次攻击,你去处理,你看攻击刚刚发生以后你多了一个进程,你发生了一些异常流量怎么样,他可以很快产生报告。
积累,这是刚刚所讲的,安全运维管理平台可以产生积累,积累是什么概念呢?我走访过很多企业,有时候一些企业最大的难题在于什么地方呢?我们有信息安全管理员培养的挺好的,没有过几天跳槽了,转岗了,或者调到其他地方我们又得重新招一个学生重新来做,在这个过程中很多信息安全运维工作没有积累,当没有积累的时候有很多问题会一错再错。你希望两个人交接过程中,很多交接可能是一两天的时间,没有人在一两天想过去维护三年系统出现什么问题,发生什么异常,我都原原本本告诉你,这个太难了,当没有积累的时候很多安全运维,做几年不做,过一两年之后重新开始,当安全运维没有积累的时候也是非常可怕的,如果上到一个运维平台角度来看,每一个资产都有一个详细的表,他在过去那么多年时间里面发生过那些漏洞,出现过什么事件,出现过什么性能,出现过什么故障上问题,每一个问题如何解决的,这个管理员解决问题的时候就会打一个小小工作总结,这些信息都可以做成知识库或者传递的方法,之后看到完整的每一个资产信息的时候会知道今天接管这个系统以前曾经什么时候死过机,就可以使得很多运维经验长期的积累。
运维平台这样的解决方案,他虽然是结合了我们实际环境,但是我一直说不能单纯的看成一个产品,平台化的解决方案式的产品和传统信息安全领域中的产品最大的区别,他非常注重一个实施的过程,这个实施的过程我们可以看成是两个方面。第一个方面的实施过程一定是不同行业的用户里面,他们网络跟系统的组成情况是不一样的,他们的应有组成情况也是不一样的,比如说税务行业,每个月有三天报税高峰。比如说有的行业里面网络流量相对来讲是比较瓶颈的,超过一个时候就会有问题,有实施人员要根据不同用户的系统,跟应用的实际组成的情况,根据这个实际不同的情况的变化来去做一些细致的规则化的调优,如果调优不到位,很多时候运维平台检测效率和效果会打折扣,安全运维型解决方案式的产品会非常注重和重视一个实施的过程。
我们在过去这么多年时间里面卖出两万台安全产品,我们也遇到很多问题,就是现在不单纯是依靠某一台产品或者依靠某一次网关部署能够解决的,今天信息安全的问题也上升到一个瓶颈,这个瓶颈变成很少的人,很少能够具有执行力的策略,而他面对很多的产品,面对着很多的问题,如何让很少的人,让很少执行策略来管理好这么多产品和事件,以及应对好这么多威胁。依据这个东软公司在过去连续两年获得赛迪集团给予东软最佳国内信息安全厂商的名称,在安全运维管理平台中我最后想总结几个事件考验点,这也是在过去三年里面搭建更多安全运维平台面临的挑战。
一个好的运维平台应该能够对于不同厂商日制事件做到精准识别,同时采集事件的时候能够对于每一个事件关注到资产,而不像以前只是关注就事论事的事件。安全运维平台遵循二、八法则,80%的功能,所有的单位里面大部分都需要,但是好的运维平台在运行一年之后,一定还会有20%的定制化的功能,那些功能往往是出彩的,也是能够反映一个运维平台做到量体裁衣的关键点。
最后祝愿我们伟大祖国的玉树能够重建美好家园,也同时祝愿中国自己的信息安全产业在未来几年也能够发展的越来越好,我就介绍到这里,谢谢大家。
(责任编辑:陈曲)