刘辉:尊敬的各位领导、专家、业界同仁上午好!孔子说知者不惑,仁者不忧,勇者不惧。但是我们在信息领域发现很多困惑,信息安全越建发现遇到的问题越多。尤其是大的系统,大型系统在这里面出现的问题比小的可掌控的系统更复杂,面临的困难更多。今天跟大家分享一下如何看待大型系统安全问题和进行监控。很多大型系统已经从小型网络部署到全国,尤其是行业的客户。全国性的部署让我们在总部的领导机关对整个干全国网很难把握总体的状况,甚至这几年技术发展使这个网络边界也比较模糊,甚至有一些下属单位私设小网络。我们在这种系统里面的信息资产的价值也越来越大,总部也规定了很多的规章制度,但是这些规章制度我们可以看到是不是能够完全的被遵守,也存在一个问题。
包括政府网站,现在的政府的网站,建网站已经成为趋势,有一些政府不光县一级政府建了网站,连乡镇都建了网站,从建网站这件事情来说是一件好事,第一是能够政务公开,让大家能够了解政府在做什么。服务于民,现在有一些业务已经开始在网上办公,网上报税,甚至网上申请,避免过去跑营业大厅。还有政策宣传,政府网站遇到的问题不仅仅是经济问题,很有可能带来一些政治问题,甚至影响民众对政府的信心,弄不好有可能成为一些群众性的事件。所以在这些县一级甚至乡一级政府网站的技术力量很薄弱,也一些地方开始考虑从省一级,地区一级能不能把这些下属的网络全部监控起来,给他解决安全性的问题。
电信的也面临这个问题,现在电信考虑转型,如何在传统的接入和空间的租赁服务基础上提供安全的增值服务,能够让客户带来更好的利益享受,这都是大型系统面临的困惑,我们认为这个困惑具有很多的普遍性。这些普遍性总结起来,对于我们国家行业来说第一是行业特征明显,有一些是重要行业,除了经济问题,政治问题本身结构复杂,跨省区,跨区域,领导又想掌控情况,我投了这些资金建了网络,到底会不会给业务造成致命损伤,这是最敏感的一些事情。如何实现系统整体的安全呢,从技术的角度可能要考虑很多问题,包括技术能不能具有预警能力,多设备之间能不能互联互通,除了技术还有管理上的问题,人员职责是不是到位,有没有遵从。现在还面临着合规性我们能不能一一的满足,包括国家分级保护、等级保护还有中国萨班斯法案也需要监控,从财务角度、经济安全角度也要考虑。
今年参加RSA会议,这次会议上有很多热点,比如说云计算,除了云计算还有数据安全。现在讲合规性提到了一个议题,叫实时性合规,对于合规的要求能不能做到实时,我们过去更多的强调了事后审计,事后管理,今年提到了实时性能不能做得更好。对于这些规章制度能不能落实,过去我们讲三分技术七分管理,有人讲七分技术三分管理,我今天实际上讲管理技术本来不应该分得那么清楚,管理上本身就存在着一些困境,我们制度可能很科学,但是人性常常是违反这些制度,本身就有这些冲动,不可能所有的制度会被遵守,我们就想采取措施你违反制度我们来进行处罚,但是这种处罚是痛苦的,尤其是我们的内部部门,比如说安全部门和信息部门要处罚业务部门,这本身地位就是平级的,这就造成了本身部门内部的冲突。如何让管理真正落地,实际上不应该把管理和技术分开,我强调的是如何能够让管理通过技术手段来实施,管理是精髓,但是技术是保障。
我分享一下中国粮食问题的案例,90年代中国在粮食问题上一直没有话语权,尤其是定价权。我们发现老美在这个问题上非常清楚,其中一个核心的问题是粮食产量问题。因为我们只有知道中国粮食产量问题以后才可以采取灵活措施,比如进口、储备、出口。我们过去要求知道全国粮食产量,我们采取措施层层向上报,中国有一个优势,我们做这件事情,政府的组织力量还是很强的,但是数据一层层报上去真实性中间打了很多折扣,所以说统计数据准确是件很困难的事情,后来我们发现美国比中国还了解中国的产量问题,为什么呢?原来美国自己有自己的资料,全球性的资源卫星,他的精度已经很准确的做到一些农作物的耕种面积的判断,他可以对全球农作物进行跟踪。在这种情况下就有可能采取更好的措施,所以我们中国主管机关想了解这些问题但是没有很好的技术手段不行。99年中国第一颗资源卫星上天了,我们从此对农作物产量判断不仅仅采用报告的机制,当然现在精度还不是完全能够达到国际水平。但是在这件事情上会发现管理是想得很好,我就想知道全国产量是多少,我们没有技术手段,会发现中间困难很多。在今天时代下要让管理通过技术手段来实现,如何实现呢?过去纯粹讲技术就是某一些安全技术,我们过去常讲的防火墙也好、防病毒也好等等各种安全技术。我们看到问题会从技术角度来思考问题。
近几年在给客户的解决安全总体设计的时候换了一个思想,因为任何一个安全技术和信息技术最终要解决的问题是这个单位想干什么,政府部门有自己的使命,有国家赋予我们权利和使命,企业有自己的愿景和战略,在这下面才会产生企业的各种业务,基于这种业务才有后续的信息架构的支撑,我们要支撑这种业务,而不是单纯说我们有这样的技术,我们是由战略到业务的指导,有了业务要有相应的技术架构。在这种从上至下需求的驱动下我们来设计业务架构,信息架构。而这个过程需要同整体的规划、咨询开始,考虑全生命周期如何保证战略实施落地,如何能够满足业务的需要。我们从这样的基础来分析业务环节,我们拿一个细的结构来看,任何一个IT管控从宏观来看不仅仅考虑基础设施,不同的层次关注的问题不一样,可能领导关心和我们技术关心的是不一样的问题,我们不同层次也看到问题所在,我们要监督某一项数据也好,状态也好,我们从层次化的角度来考虑,把这些数据收集起来展现出来,就会给我们比较清晰的全景示图。我们把业务进行了分拆,每一个业务都有上下游的环节,这些环节有什么样数据支撑,有什么应用支撑,这个安全系数是什么样?了解了这些安全需求我们就有机会知道每一个环节的关键点,这样才能采取安全措施,我们最后的监控审计才能找到关键点。
通过这样的手段我们才能理出来从单位或公司的战略到业务,到基础设施的对应关系,有了这样对应关系设计每一个关键点安全防御措施,在监控方面既想监控又如何监控的呢?我们首先找到监控的对象,刚才讲对象不仅仅是基础设施,有业务系统,应用系统,数据库系统到最后一层一层下来。监控的方式也不仅仅是过去的被动的收集日志,我们行业很多做法是收集事件,实际上发现信息中心人员看待业务是否安全并不是优先看事件,很多是先看业务是不是可用,关键的设备状态怎么样,而出现了问题之后再查事件,所以我们在做法上增加了主动机制,我们做了业务模拟,主动关注这个业务里面的关键的状态如何,而不仅仅是被动收集。可能还有中间安全系统,这可能包括一些已经建好的系统,这些系统也会产生中级数据,把这些数据收集起来放到核心层进行处理,处理的依据是来自于我们核心的专家系统,以及通过公司的战略指定的安全策略。
最后通过不同的视角展现出来,为什么会有不同的视角,因为我们服务对象有不同的角色,可能业务人员想看业务状态如何,对于管理者需要知道总体性怎么样,越往上宏观性越强。我们基于这个系统来构建监管,目前已经做的监管有几种类型,一种是内部监管,我现在是大系统,我要自己来建,我要看到下级单位整网的状况。还有外部监管,就是省一级政府要对下一级政府进行监管,在监管方面也采取了两种方式,建设方式也有两种、一种是自己来建,这种情况下天融信提供整个软件服务系统,帮助建完以后客户自己来用;还有一种是外包的方式,我们提供全套软件到服务人员提供。在建设过程中我们考虑了几个视角,第一我们从业务强调了策略视角,我们不再强调仅仅是某一个资产的问题,某一个单点的问题,要考虑这个公司和这个单位制定总体的策略如何,我们能不能通过系统满足策略的要求。同时考虑时间的维度,因为任何一个系统的安全性是跟时间有密切关系的,今天你安全,可能下一步就不安全了,在这种时间的维度强调了过程性,我们强调了全生命周期安全,我们都有不同的分析方式。现在从国际技术上来强调要从事后合规走向实时合规监控,围绕这些事情还要有相对的处理措施,要出了问题要找到责任人是谁,如何处理,要有一套流程的响应机制。我们可以看到针对一个网站有很多的视角来看,这些获得的信息汇总上来进行处理进行多维度展示,可能运维人员看到更详细信息,对领导视角就是宏观角色,在随后具体案例里面讲绿灯等就是想要三个状态,领导人觉得你只要整体环境能够达到要求就行了,具体业务人员,管理人员才关注细节问题。这种情况下还有配套的工作流和处理流,还有一些是汇报流,我们要知道这个工作状态走到什么地步了,如何处理的。还有考核流,责任人是谁,对他如何考核,把这三个流统称为工作流的管理。从业务的角度可以让他看到某一个业务安全状态如何,过去看到ERP业务出问题,甚至我们看到业务中间的某一个设备是否出问题了,从业务和基础设备之间我们可以多维度来看。我们可以看到一个系统里面出问题的时候是一个面的问题,而不仅仅是一个点上的问题。
这是一个示意图,我们结合了业务的定位系统,来找到问题所发生的点。我讲了一些概念,我们现在来讲一讲实际的案例,图上是一个成功实施的案例,我们在一个IDC机房,现在他要进行安全服务监控,就是运营商给你提供连入服务是基础服务,在上面要提供增值服务,这上面安全服务就要进行时时监控,我们帮助运营商建立了安全监控中心。
世博会要开了,我们每一届世界博览会都出现一些新技术,新的概念应用,成为了人类文明火花点的展现地,上海世博会也不例外,在这次世博园为了安保,整个安保系统也构建了比较庞大的系统,这里面应用了很多的新技术,这构建了一个神经网络系统,CCTV采访他们主管人员,说有这个网络系统可以让他们一目了然和分层次实施调动,我们有幸参与了这个系统的建设,具体细的技术性的东西现在还不能跟大家分享,因为现在还处于保密阶段,世博会之后我们会详细分享这块新技术。
遇到大型的系统可能会面临一个困惑,我们只有分析单位或企业的使命,从战略出发,我们找到每一个业务环节的关键点,就选择相关技术进行防护,就有机会找到这些关键点信息监控什么,来构建全局监控系统,当你构建全局系统的时候就心中有谱,就不会像现在还在困惑,达到知者不惑的境界。我今天就跟大家分享这些,谢谢大家
(责任编辑:陈曲)