赛门铁克中国区首席安全顾问田成：主动性信息安全体系的建设 大家下午好！非常高兴有这么一个机会跟在座的来宾和领导做一个交流。前面那位先生中文讲的实在好，我没有自信，所以我用古埃及语给大家做汇报。今天很高兴利用这个机会跟大家沟通一下关于信息安全方面的理念和一些想法，我本人是做信息安全顾问咨询做了很多年，有很多的实际上的体会，当然有更多的教训。我有机会在北美、欧洲，当然在我们的中国还有其他的一些地区做过很多大型安全项目。所以我有一些自身的体会，借这个机会从这么几个方面。  一、目前信息安全所面临的挑战。  二、主动性信息安全体系的介绍。  三、举例。  如何及早发现、处理安全隐患？这是非常简单的讲法，但我接触大量客户环境里面，这是面临很普遍的问题。比如我举一个国内一家金融单位，我就发现发生大型病毒或者恶意代码出现的时候，很多人包括一些网络处的领导和一些负责人都要花很大的精力去面对和解决这个问题。如果你仔细看的话，并不是这些机构和单位没有花更多的力量做投入，实际上就是没有一个机制和办法能够把这些问题包括病毒问题及时的发现，从而及时的处理。第二就是如何衡量价值和风险。安全问题惟一的目的就是如何保护信息资产，这就是你要做的事情。如果零价值的信息资产，就没有必要做保护。如何衡量是从价值和风险都面临的挑战。另外一个就是安全技术不够，现在大家看一些安全技术和相关技术的发展，并且人的要求，甚至领导，对认识的安全、安全的技能要求都非常的高，相对而言我认为还存在很大的问题。我在北美做了五年的服务安全工作。他们也存在很多安全不够的问题。现在有很多安全技术的出现，这些安全技术的实施、管理、运营，怎么能够实现一个科学整体的管理，而让它自动的进行相应的安全实施和运营也是一个问题。再有一个就是企业的安全定位，大家都知道我们中国也在进行相应的安全等级化的工作，上星期我们跟国务院信息办也做了相应的交流，在很早的时间中国在92年就提出等级化的观念。我们也做了分析，感觉从当时到现在这么十几年的时间里面，实际上做了很多的工作，但在等级化方面也面临很多的困难。作为企业来讲，怎么能够科学的去制定相应等级化的标准和实施，这不是一个很简单的问题。我有一个客户，电信运营商，我还记得当时跟我做交流的时候，实际上我知道这个运营商没有做太多的安全工作，我告诉大家一个简单的例子，我们人去做了一个简单的安全测试工作，类似模拟黑客攻击行为一样，不到一个小时，只有一个IT地址，就登陆它的核心系统，这么一个单位安全技术非常薄弱，跟我谈一个问题就是安全等级化的问题。我想说的是现在很多单位并没有做好非常基本的安全工作，但会考虑非常严密的安全等级标准。这是一个矛盾，应该讨论，但如果你没有一定基础的话，那么安全等级工作是很难开展起来的。最后一个是混合性的安全危机，过去安全防范可以从不同的点进行控制，但现在安全攻击的行为利用你的弱点或者相应的结果都变的更为多元化，也就是混合性的安全问题。这也是我们面临的问题。  请大家看一下这张图，可能看上去不是很清楚。但其中有很多的东西我相信大家很熟悉，其中涉及到身份认证，比如说涉及到过滤防火墙、访问控制、紧急响应、预警等等，相信都是很熟悉的观念，而不是非常非常新的，还没有见过的安全手段和技术。大家再仔细看一下，如果能够看清楚颜色，里面有灰色、绿色、蓝色、紫色，分成几方面，一个是警报或者叫预警，一个就是防护、保护，再一个就是响应，再就是相应的管理。我们提到主动性安全保护的时候，应该从这四块看。我在上星期跟国务院信息办沟通的时候，有一位老同志非常好的问了我一个问题，我们比较好理解从预警角度提高主动式的安全防护，但从管理、相应、防护能够体现出来主动安全防护，或者如何体现主动安全防护？这个提法非常的好，这个想法也非常非常好。我的回答是说不错，确实很多手段都是通过预警机制推出来的，从而实现主动性的安全体系和安全保护体系。如果大家仔细考虑一下，在座的诸位如果有机会想想在自己的环境里面，经常客户跟我讲，我现在不认为这是我的一个问题，我认为这个问题在我单位有明显的发生，所以不认为有必要投资做这个工作。这个问题就是一个观念，观念没有主动性。在个人观念还没有预料到事情发生的时候，去做这个事情，我们认为就是主动的安全防护措施。从相应的安全技术里面都会提出主动性安全体系、主动性安全防御。  我想再给大家简单举一个例子，大家看到左上角有一个早期预警系统，这是赛门铁克自己的一个机制，我不想说这个服务或者产品，我只拿它做一个例子。大家都知道作为一个预警就是尽早发现问题，同时解决一些问题，同时防止这个问题在某一个环节里面出现。作为预警系统，我上一个礼拜也在问在座参与者，我说作为预警系统有几个因素对你最重要？请诸位想一想，你考虑在你的环境里面建设一套安全预警系统，您认为哪几个系统最重要？我个人看有几个方面，一个是及时性。这个警报对威胁也好、恶意代码也好，这个信息是否及时。第二是准确性，大家注意到不同的公司，或者不同的单位，或者自己有些免费的机制，都会认为是相应的安全预警，但有些信息的来源未必是很可靠的，所以准确性不是很高。你可能得到相应的信息，但未必能够得到准确利用的基础。第三叫针对性，请大家想一想，现在在全球每天所发送的安全威胁是大量的，我个人认为也是没有相应的利用和管理的。作为一个企业来讲，作为一个国家单位来讲，你预警报出来的全球检测的东西，能不能有针对性的被环境所利用，能不能说明你环境中的威胁。所以及时性、准确性、针对性，才是预警系统非常好的因素。实际上我们这个系统在全球有2万多个点，而不是在网上非常松散的环境里面统计出来的结果。所以任何一个预警系统从三方面都要有相应的保证才能被大家所利用。  下面我跟大家沟通一下我亲身的体会，在做安全建设，不管从软件角度，从技术角度，还是从管理、人的角度所出现的一些问题。  第一，被动应付多于主动防御。很多单位都面临这样的问题，发生问题非常非常难，花了很多的精力、钱。如果仔细分析的话，就是没有做好前期的预防，而是出现问题大家都手忙脚乱，第二就是不了解真正的安全风险，请大家花几秒钟的时候想一想，我跟别人和领导沟通的时候，都提到这样的问题。很多人都是花了很多钱，花了很大的力量，做安全建设。我举一个运营商的例子，当时是几百万的项目，但很不幸的是刚刚实施完几天的时间就出了安全事故，这是一个很不光彩的事情。实际上就没有真正面对它的风险，解决可以是一些局部问题。如果看我们有一些运营商或者有些企业，愿意花很多钱买一个大的防火墙，但没有花相应的钱把涉及核心资产的问题、高风险的问题做起来。  第二，注重结果不注重过程。我仔细比较过，比如说我在欧洲、在美洲、在日本和大陆，我比较过安全项目、比较客户对安全的认识和想法。不同的国家在不同的阶段对安全有不同的认识，这非常正常。但我总结一个区别就是对于过程的认识。我在北美做项目的时候，我发现客户非常注重安全目标，我想要建成一个什么安全东西，有相应的安全需求，我知道我要建的结果，我知道最后达到什么安全运营的水平。我相信这和中国客户非常的接近，而且我认为我们现在中国客户作为安全理念来讲，特别是大型机构非常先进，想的非常靠前，非常的专业。但坦率的讲，我所看到的中国客户和国外做安全工作看到的成熟大型企业，我体会到的一个明显的区别是过程。因为在国外这些企业做安全工作的时候，除了刚才所看到的目标和一些结果，他会花很大的精力和你的服务商，比如说和我们或者其他服务商讨论，从开始的目标到一个结果，到最后运营，你有哪些帮助我实现，我需要走哪些过程，在这个过程里面我需要注意哪些问题，在这些过程里面需要哪些手段，从技术、管理、人的角度帮助我实现我的目标。由于他愿意仔细看过程，所以他也愿意跟服务商也好还是企业也好共同承担风险。如果一个企业在做安全建设的话，非常不愿意承担风险，非常愿意把所有的风险交给服务商、厂商或者相应的人员也好，作为自己的当事企业不愿意承担任何的风险，说明这个企业就不愿意走这个过程，或者没有意识到走这个过程。因为建立安全系统本身就是非常非常严肃，非常非常困难，非常非常艰难的过程。真正体会到过程的企业，是愿意承担风险。  第三，安全技术管理水平不够高。国内企业愿意把钱花在防火墙上，而相应的管理水平、手段没有体现，包括管理的技术和流程，包括人的管理。  第四，缺乏统一的标准。大家都知道，现在安全标准无论是全球还是中国也好，少不少标准？大家给的答案肯定是不缺少标准。但中国存在的问题就是缺少有效、统一的标准。这是整个业界都面临头疼的问题，不仅在中国，在全球都是如此。  第五，用户管理的问题。现在大家注意一下大型机构，都面临一个如何有效管理用户，如何有效管理资源，不管从技术还是管理手段来讲。如果大家有机会看渗透测试和恶意攻击分析的话，曾经我有两年带领一个队伍在北美金融机构做这个工作，很多的渗透测试核威胁都是利用用户和资源管理的弱点。  第六，组织和安全意识不强。安全的威胁、安全的故障、安全问题的出现，其实大多数是什么样的问题造成的呢？大多数都是由非恶意造成的，真正恶意造成的威胁和破坏，从统计上来讲是一小部分。在你的环境里面造成的安全的破坏和威胁大多数都是非恶意的，可能是用户不知道如何做安全保护，不知道如何遵守安全规定，不知道遵守哪些安全规定，无意之间造成了错误，无意之间给你造成了破坏。刚才提到了只是作为例子来讲，从安全需求、安全目标建设到安全运营，实际上在这个过程里面有很多的工作要做，作为安全最后一句话，就是安全建设和安全目标都可以看到，但最应该注意精力、花出代价、坚持不懈的是一起走这个过程，从最开始到过程，到最后，大家逐渐携手同心的把这个过程走完，不仅是国家单位还是我们企业，还是服务商应该共同携手起来建设的安全目标。谢谢大家！