时间:2005年4月22日下午
地点:友谊宾馆专家俱乐部第一会议室
主持人:(国家信息计算机网络应急技术处理协调中心张冰博士):
大家下午好,第六届中国信息安全大会CSO安全服务分论坛现在开始,我是国家计算机网络应急技术处理协调中心的张冰,很高兴今天能有机会应这次大会主办方邀请到这边来主持这个CSO安全服务论坛,和业界朋友一起来分享近几年在安全服务领域取得一些工作的经验,可能我们后面还有一个一起畅想一下我们的未来。今天下午一共有来自安氏互联网安全系统(中国)有限公司安全管理开发中心总经理李宝华;
中联绿盟专业服务部总监王红阳;
英国标准协会BSI中国区运营总监、中国区TL9000产品经理李晴昊;
网新易尚安全顾问专业安全服务技术支持组负责人徐杰;
亿阳信通的师锁松;
北京敏讯科技有限公司总裁郑海明等。
下面有请安氏互联网安全系统(中国)有限公司安全管理开发中心总经理李宝华先生做关于“利用SOC实现安全应急响应管理”的报告,大家欢迎。
李宝华:
大家下午好,我是安氏公司高级安全顾问李宝华,我来安氏之前,曾经在电信做过多年的网络管理员,有处理过很多安全应急响应的事件,我希望在一些技术层面跟大家 做一些沟通和交流,安氏以及我个人在安全应急的经验和想法跟大家做一个沟通。
今天我演讲的题目是“利用SOC实现安全应急响应管理”。SOC这个概念很多人已经不陌生,从2002年在国内开始已经被广泛地宣传,在今天在国内很多运营商,包括大客户也都建设了安全管理应用中心,那么我今天议程主要分两个部分,第一个部分简单介绍什么叫安全管理中心?第二如何利用SOC安全管理中心应对安全应急响应。首先简单说安氏对SOC的理解,它的英文拼写是Security Operation Center这个概念从我个人的理解,在安全应急这块的作用,也就是安全管理中心在协助用户实现安全策略管理、安全组织管理、安全运作管理和安全技术框架的作用,我个人理解相当于网络管理中心在网络平台上的作用,当我们发生一些比较严重安全问题的时候,或者说需要我们做一些应急响应的时候,那么我不知道在座的诸位是不是发生过这种事情,或者参与这些应急响应,当你到了这种环境下,你第一件事你要去到什么地方,找什么样的信息,来辅助你去处理相关的安全问题,那么我们碰到一些情况,当我们第一次到发生问题客户那边,可能我们现在更多从网管平台找这些数据,比如说很重大的事情发生了,过去先看看网管那边告诉大家的流量是不是过窄,CPU内存使用情况,这些东西在安全上有一些辅助帮助,但是这些东西不足以定位一些安全问题,比如你可以排除一些,发现从网管的数据流量来讲,你可以判断是不是基于流量多DOS攻击,但是你很难定位,如果不是流量DOS攻击,我们在安全上有一个平台,我们在应急的时候,能够尽早做出有效的判断,实际上安全管理中心它所处的位置应该就像在这个图里面所画的,整个它应该处在一个中间的位置,它上面安全组织结构,安全策略管理,以及安全运作管理,下面是很多技术层面的内容,实际上它相当说处在技术层、管理层,管理层面的技术层,管理层面它具体的技术平台来实现安全上的管理。
后面我也会跟大家提到,其实现在从网络管理来讲,基本上很多大型企业都已经具备了网络管理的组织结构,但实际安全管理组织结构并没有完善起来,也就是安全管理中心建设这么多管理,现在也遇到这样的问题,随着安全架构的完善,我们认为安全组织会在企业里得到更好的应用。
下面简单谈一下为什么需要安全管理运行中心?应该有三方面的需求,第一个方面就是现在的安全运行缺乏统一的事件管理平台,就像我前面提到的网管一样,比如我们现在有3台网络设备,我们肯定不需要有网管,但是我们有一百台网络设备,可能需要建立网管系统,这个网管系统不一定配置网络设备,很可能用来抽取网络基本因素,安全管理中心其实也是类似的东西,你可以购买防病毒的产品,当你部署各种各样的安全产品,你的安全已经在产品层面达到一定高度,这个时候你可能需要一个统一的在安全上做一个控管,能够抽取有效数据,像网管抽取网管数据,安全管理中心就是在安全上抽取管理平台,能够统一控管所有的安全产品,这种控管不代表一定配置。我们很多产品,用户平时的环境缺乏一些审计系统,或者缺乏必要的相关的安全,一旦发生一些安全问题,他能做出判断的这样一些系统。当去做应急的时候,我们就会意识到,比如一些文件被挡掉,或者我们平时根本没有开放审计功能,当遇到安全问题,我们会把相关管理属性统一起来,发生问题,我们在管理属性抽取需要的信息,并且定位出相关的安全问题。
第二个层面,为什么需要安全管理应用中心?就是海量的事件和应急的东西,当我部署防火墙的产品,确实解决用户对攻击的问题,但是当时用户问了我一个问题,也把我问得有些尴尬,因为当时部署防火墙之后,他问我,虽然不受攻击,但是你防火墙也没有挡住多少攻击,其实我认为这种问题,在很多安全产品上,企业都会面临这样一件事,就是我已有的安全措施,或者我已经上到这种安全平台,那么为我解决了多少安全问题,还有上流的,没有解决的安全问题还存在多少。这个时候有人讲说防火墙有那种,比如像有的公司专门制造防火墙的软件,但是不代表任何产品都有这种分析软件,当你跨越很多平台很难分析,你在非常大的网络环境,比如每分分秒它的数据上G,你很难通过人工方式,或者通过简单的系统方式抽取出有用的信息,所以处理大量安全事件的时候,安全管理运行中心平台,可以做足够的关联分析处理,以及设定相关的,做海量事件的智能工具。
第三个层面我们需要安全管理运行中心,我们缺乏安全的服务管理。所谓安全服务管理,我现在接触很多大的电信运营商,很多运营商考虑为一些比较大的大客户提供SLA服务,因为这个服务,我原来也在电信做管理,原来电信不大敢提这个问题,SLA很多指标,一些参数你必须满足这个参数,当你能够提供这些参数,或者能够满足这些参数,你才敢向用户提供你的SLA,向用户保障你的质量,当你来抽取基本参数条件都不具备,你凭什么说,你能够为用户提供这种质量保证。所以从网络平台我们可以通过网管来抽取这样一些数据来证明你提供的服务质量,在安全层面缺少这样,SOC,为我们解决安全问题提供足够的支持管理,为我们在解决问题的时候,提供一定的支持帮助。
我今天不想讲很高深的模型,或者理论,指出这个来,为了说明SOC使用性的问题,因为ITIL是国际上非常标准的IT事件,它定义的流程性东西,跟我们SOC,在我们做很多安全应急,或者遇到一些安全问题,可能我们需要遵循一定的流程,原因你正常处理事件你会很冷静,比如很清晰你做什么,但是遇到很严重的问题的时候,往往你不知道,你第一步该做什么,你应该把问题升级,或者打相当的服务厂商等等一系列,所以我们在安全管理的时候,需要遵循一定的流程,SOC制定非常好的十大流程,我们可以遵循的。
我不知道在座各位有没有这种,做系统管理员经验,反正我当年做系统管理员当我们机房发生很严重的问题的时候,我第一件做的事情是什么,我感觉说起来蛮好笑,我第一天做的事情把所有的电话都摘下来,我所遇到情况,遇到情况,电话中断,所有的人说已经出现问题,我已经知道,证明没有任何帮助,所以发生问题人会很慌乱,或者你不知道怎么做,所以我们需要遵循一定的流程,这种流程告诉我们,在任何时候,发生什么样的情况, 我们应该怎么做,当SOC理论也出现一些问题,也就是SOC不是针对安全提出来,所以安氏在SOC,不仅仅遵循SOC理论。其实我们认为ISO是,当BS7799涉及有很多安全层面的问题,补充了ISO流程里面,安氏推出自己的全新的SOC体系,我们现在总结出安全管理中心运作的8大流程体系,包括安全服务台事件管理,变更管理一系列,整个SOC出现8大流程里的主要一些流程,可能有一些个别的流程,不适合加入管理体系,所以我们没有融入国际体系的流程来。
可以看几个事例,看一看具体安全管理中心我们是一个什么样的,这个是一般管理中心风险管理系统,我们可以在这个系统里非常容易,像网管一样,比如网管中心实际也会做出一个图,什么地方红了,哪条专线断了,也可以找出图,可以看出什么地方红了什么地方绿了,当这个地方发生红色说明这个地方平均风险变高了,可以看到哪些风险哪些问题,造成当前颜色变红,或者造成当前的高风险。同时我们可以进行一些像网管的分析报表,比如一些柱状图,帮助我们应急的时候分析事前事中事后,当时的安全状况,或者一些事件发生的情况。比如这边曲线图,不是很清晰,有一些严重安全事件,或者中间事件,它会很清晰向网管流量,CPU的使用率,所以当应急的时候,这些东西是非常好的,是帮助你决策分析,你现在安全状况的一套系统。
下面给大家简单一下,安全管理系统中心如何应对紧急响应,我虽然以问题提出来,我觉得安全管理中心没有解决这些问题,第一个问题就是说不是没有安全问题,而是不知道安全问题是什么,也就是说我记得我刚刚参加过桂林的(CN色五)组织的大会,他调查了很多用户,问这些用户,说你有没有发生安全问题,说你有没中了病毒,最后用户很多人给他答案是没有,而不是不知道,他的答案是有,不知道,和没有,很多用户说没有,但实际上他当时谈了一个问题说,很多人其实不知道的,而他答的是没有,所以对于我们很多,一些IT的环境,或者我原来在电影机房也谈论这个问题,其实你一个宏观安全的问题,由管理员很难说出来,我现在宏观上有什么安全问题,我一天总共遭受多少次攻击,攻击是哪些层面,来自哪些地址,他说不清楚,没有系统帮助他说清楚这些问题,但是在网络上可以说清楚,因为有这样一个网管,所以安全问题不是没有,而是人们不知道,当你建设SOC这些安全问题呈现出来。
SOC是安全信息抽取平台,抽取一些安全信息,给我们非常直观的展现,其次SOC是一个统一的呈现平台,把所有的问题以地图的方式,或者地域的方式,或者叫业务系统的方式,用不同的颜色来展现各个地域的平均风险和最高风险。
第三层面SOC是安全决策的平台,比如电信运营商采取的策略保证它的业务正常运行,所以它不保留证据和业务正常运营两者选择的时候,它肯定是重起一些主题,重起路由器,使业务运营可以追诉数据,对于银行来讲它追诉的考虑会更多一些,但是在任何一个部门,任何一个情况,一些领导层面,面临着一些决策,我选择哪样的问题,我应该怎么样做,需要领导拍板,但是他拍板需要支持决策系统,下一步继续往哪个方向走,其实也是决策系统,SOC这个系统应用,解决各个层面,比如业务员,领导人,系统管理人的角色。
人员队伍的建设,我们这块提到人员队伍建设,也是SOC过程中遇到很多问题,很多企业用网管来监管安全的,没有一个SOC平台之前,他们是发现不了安全问题,但是有了这个SOC之后出现安全问题,谁来解决,他们有没有能力来解决,这个队伍是否有足够的支持,足够的庞大,让他们有这种经精力和能力来处理这样的问题,所以我们甚为要考虑我们应急,要考虑我们的安全,很多时候大家都是这样,你不去扑火,你不知道灭火器的重要,没有安全,很少有组织建立自己的安全队伍,到应急的时候,人们往往发现这种应急的专家不足,应急的人员不足,哪怕一些很基础的,帮助排错的人员也是不足的,所以我们建议你不仅仅应该有一个平台,同样像网管一样,也应该建设一套人员组织队伍,通过这套人员组织队伍来完全安全管理中心的运作。
安全工作的日常化和自动化,我们现在缺乏这个内容,我自己做管理员我很清楚,当年我们这块,而且我问过电信管理员,如果一个管理员一个月打一个补丁,是不是很勤快,很多人给我回答这个管理员非常勤快,很多重要的系统没法管理,但是不仅仅安全问题是补丁问题,还有很多其他问题,所以如果安全问题日常化,或者自动化,这个时候不会把安全问题累计起来,形成安全事故,需要一次应急响应。
应急的流程我前面提到了,我们应急的时候往往变得比较匆忙,比较混乱,比较没有头绪,所以我们企业在建立了人员组织架构之后,需要有一套很好的流程,能够跟这套组织人员配合起来,什么人处理什么样的问题,什么样的问题需要进一步深纠,同时有了这种流程,我们也需要知识,并不代表所有的安全问题,都汇集到安全专家那里去,应该有一些人,通过企业积累下来一些安全知识,能够解决一些初步的安全问题,只有一些极个别的或者需要研讨性的问题,才必须要到安全专家那里去,这样使我们真正安全问题得到有效的解决。
侠义的应急相应,这块提出来,我们原来提应急的时候,以往应急的概念,应用到IT环境来,我们更多定义这种流程,像我前面提到,人们更多考虑当发生问题的时候,人们这种慌乱无措,所以为了解决这种慌乱无措,以往应急更多在规定流程,遇到什么样的问题,如何汇报,找哪些厂家做相关的应急。
真正广义的应急PPT里面所体现的,特定一些人,通过特定的技术,走一些相关的流程,解决一定的问题,那么这就是PPT所体现的内容,相关每一部分是什么,比如我们的整个应急响应团队,我们安全管理团队,像建立网管的团队一样,我们的流程是什么,就是我们SOC里面集成的类似爱克一样,不一定很高,处罚公单还是处罚流程,我们认为技术层面就是SOC,SOC我们安全运行管理人员,通过安全中心,通过SOC解决安全问题,通过这三层面的结合,使安全问题合理有效的方式得到解决。
大家可以简单看一下一个事故管理的流程,其实我们认为这也是建设一个安全组织结构的,就是应急小组这样的一个组织结构,它应该是一个分级的阶梯型的,也是金字塔型的,因为很多国际组织有建议,说我的安全应该是比如安全受理台,就是故障台,故障台就是接电话,他接电话,应急以后马上转过来,而是他根据预定好的一些问题,对这个上报问题的人做一些提问,那么当提问确定之后,他能够确定大体的问题,应该交给谁去处理,他可能先甩给二线支持,也就是系统管理者,当系统管理员不能应对的话,我们需要甩给三线,最后安全管理员不能解决,需要交给专家支持队伍。我们认为整个安全组织建设跟这种流程相一致的,如果你组织建设三层,就不可能有第四层,第四层就是做一个支持。
安氏SOC的安全管理中心,能够为企业应急响应所做的一些内容,第一个层面SOC提供应急响应的各种技术数据,能够抽取安全层面的信息,做一些综合的比对分析,画出图表,判断当前的问题。第二个层面能力启动一些过程的跟踪标签,或者说问题处理的跟踪标签,那么跟踪整个安全处理过程,如果遇到一些问题,可以把这些事故进行升级。第三层面SOC拥有强大的知识库帮助我们应对一些应急事件,也就是这些知识库,往往这样的,我曾经听过一个人讲解,我很认可,他说很多安全问题不是新的,企业遇到安全问题是老的,包括我们遇到DOS攻击,大家看到网上公开原代码的DOS攻击,都是多少年以前的,没有太新的,现在把以前的内容做一些简单的组合,或者有一些个别的组合,应用原来的方式是有效的,当我们企业应对一个安全知识之后,重新进入我们知识库,当下次遇到类似的问题,可以用知识库系统做简单的应对。再有一个层面,SOC能够统计关键指标,帮助企业,如果电信运营商为用户提供服务质量保证,在网络层面你抽取数据,需要SOC平台来做,第四个SOC处罚问题的管理,知识的不断积累,随着SOC不断完善,自学习的系统,当它运行一段时间,跟企业管理结构,流程结构,不断结合,很多知识可以不断积累下来,这样的话通过一些系统管理的安全管理专家,企业安全可以得到完美的实现,在遇到一些安全问题的时候,我们有一个平台,帮助我们处理紧急事件和应急响应。
主持人:谢谢李先生的精彩发言。
安氏是一个有着非常优秀的背景,安氏公司尤其在近些年SOC安全运行中心开发有很多的宝贵的经验值得大家参考,这里实际上我们看到国内SOC概念很重要,除了安氏以外,很多安全公司也都在开发类似的产品,可能有些不太清楚叫什么,但是实际上我们从刚才李先生报告里面我们可以看出来,安全管理它的概念提出,实际上反映我们对安全问题的不断变化过程,我们现在大多数人认为安全问题不仅仅是技术问题,所以说相对应该讲,我们以前对安全,对以前互联网安全,以前认为解决安全问题,实际上买一些防火墙,防毒软件,随着这些东西用上以后,我们发现并没有真正解决企业网络安全问题,网络安全问题依然存在,而且还越来越多,实际上就是像刚才李先生介绍的,这些问题实际上就是说我们有了这些产品,但是它带来这些问题实际很多时候超过我们人的这种范围,能处理的。所以说就是说提出安全,通过安全集中管理,所以它也同时,有些它不是简单叫一个安全的监控平台,它这里核心体现一个管理,在李先生报告里面,他从个人经历出发,与网管做一些对比,这里实际这两者之间,会有一些相互的可以相互对比的地方,但是安全管理问题,我个人认为是一个更加复杂的问题,它这里不仅仅涉及到运营层面的问题,它的涵盖范围,涉及到用户,我们企业人员,这里他提到很重要的风险该率,安全管理平台控制企业风险的。在这里他对安全管理平台的它主要特点做了一个概括,可以呈现出很多实实在在安全问题,同时它是集中管理平台,同时我想安全,另外一个就是作为SOC本身是一个开放性的平台,它的出现不是我建一个SOC,我所有的安全问题,会解决,它实际上需要开放性的,它要不断地去补充完善它的功能,同时也要能够适应未来的需要。
这里面另外他的报告里面我觉得比较精彩的地方,对狭义和广义的对比,我觉得这个也很接近实际问题,这随着安全问题的不断的这种变化,以前实际上就是在做应急响应的时候,或者做一些复杂的处理的时候,实际更多个体对个体的,所以它更多实际上是人对人,或者是可能跟以前思维来讲,把安全问题当做是我们购买产品,或者我买一个什么以后,实际是一个附加在我的产品上一个,类似我买一个电视机,后面有一个保修这么一个概念,而现在从安全管理平台出来以后,它实际把这种流程和人,以及这种技术方面的一个很好的,是一个结合体,所以这能体现出,对安全问题,还是刚才最初讲的,管理和技术结合的概念。另外他也反映出安全事件处理上很突出的个性,就是事故管理的流程,现在安全问题我们企业遇到很多的安全问题,不是靠几个人能解决,它实际靠一个团队去支持这样一个工作,这个团队要想形成工作,要想共享信息一个很重要的就是信息共享。
同时另外一个SOC本身它的建设在过程中,因为我以前也看过一些资料,也参观过一些企业建设,它性能不同,用户和开发商是很密切配合的一个过程,而到它后期投入使用,也不是简单不是我交给你,把说明书告诉你,里面涉及到很多相互和开发商进行一个协作的这么一个过程。
另外一个就是把知识管理融入到SOC里面去,因为本身现在安全问题太大,太复杂,通过个人努力学习,所以知识管理现在很多地方,很多报告在软件厂商里面,都有这种知识管理的概念,这也是和我们现在社会提倡学习型社会风气相适应的,做工作也需要很多知识,所以在知识管理这方面非常有必要的。
这里面我提出一点建议,希望我们安全厂商在开发SOC平台做研究的方面,更注意怎么样把这些东西逐步标准化,因为网管本身有很多标准,支持它的这种开发,指导运用,所以在SOC方面让它逐渐成为我们互联网上重要的管理平台,它本身也需要标准的问题,再一个考虑到我们SOC怎么样相互协调起来,因为互联网是开放的网络,本身不能说一个安全问题,在本地我建立很好的平台建设了,别的安全不管,实际上相互影响,而且大家也知道很多的地方流程,跨国流程,平台相互接管,也是SOC开发厂商,或者安全开发厂商讨论的问题。
下面我们邀请下一位演讲嘉宾是中联绿盟专业服务部总监王红阳先生,他演讲的题目是“助力全程安全,构建信息安全管理体系”。有请王先生。
王红阳:
大家下午好,非常高兴今天下午有这么一个非常好的机会与大家分享一下中联绿盟为客户构建安全体系的经验,我希望各位听过我的讲演,在日常的信息安全管理工作中有一些帮助,对于整体安全体系而言,包括组织体系,管理体系,技术体系,三个大的流程,就是刚才李先生提到PPC一个环节也是不能忽视,包括人,包括技术,包括流程,我今天讲的内容强调信息安全管理的体系。
我主要讲两大部分,第一为什么全程安全需要信息安全的管理体系?第二就是我们如何构建信息安全管理体系?全程安全大家可能理解到,比如我跟网络层,包括物理层,网络层,应用层,怎么样安全,同时全程安全实际上也强调了一个跟时间的相变化的这么一个函数,就是我在任何的特定的时间点的时候,我的安全性能也是能够得到保障的,所以我演讲的题目就是助力全程安全,如何构建信息安全的管理体系。实际上大家在日常管理中,有很重要的了解,我在日常建设中哪方面的难做,人是最难做,人在整个安全是比较薄弱的环节,实际上随着信息系统的发展,和基本要求,还有业务增长,业务的拓展,使得对可信性系统要求迫切,要求安全可靠和稳定,由于网络信息共享,各种不同的生产销售管理自动化,这么多应用的系统,大家健全起来,我怎么样管这个系统,我怎么样使得业务和IT更好的结合起来,实际上成为每个公司,每个企业组织,逐渐面临一个严重的问题,也是当前比较急切来解决的一个问题。实际上对信息安全的基本特征来做,我们归结为5大问题,第一个相对性,这是我们安全基本的准则和定律,只有相对的安全,没有绝对的安全系统,第二个时效性,现在风险评估,还有任何时候技术控制措施的确定,本身和一个时间相对应起来,表现在外在威胁,新的攻击方法不断发现,再一个配置的相关性,就是我在日常管理过程中,我不同配置都会引入新的安全的问题,比如我新部署一套系统,我对原有系统进行变更的管理,原有网络我调整,我关闭一个端口,实际上我做每个变更操作,实际上都会引入不同新的问题,它可能会影响业务正常运用,也可能你这一步操作引入新的安全的缺陷。同时还有一个攻击的不确定性,这个强调外部的一个威胁,就是我攻击发生的时间,发生者,发生目标,或者攻击发起的地点,具有不确定性,实际上我们处于被动防御这么一个状态,我们不知道外部威胁什么时候会发生,什么时候会发生什么,这个就是信息系统本身的一个固有的特征,我随着不同业务扩展,业务增大,我本身信息安全越来越复杂,变成一个复杂的巨系统这样大项的工程,需要我们在技术方面,非技术方面都要做一些手段,这里面涉及到从广意安全来说,安全管理,安全教育培训,立法,还有国际之间的合作,互不侵犯的协定,包括今天上午杜博士讲到应急体系,全世界的合作,应急恢复,实际上对于CFO,CAO,关心的内容最大程度保障业务连续性,IT服务的持续性,我在出现问题之前,我能够比较早地预见到要出现哪些问题,我提前做好防御的一些措施,而出现问题之后我比较快来解决这些问题,同时以后避免同类的问题发生。
这个是大家见的比较多,比较熟悉的风险管理的模型,实际上也强调了刚才的里面的相互性的一个概念,就是当我采取了一定的安全控制措施之后,无论是管理的控制措施,或者技术的控制措施,到达一定程度之后,我再花费的成本,比我收益可能要相对来说,要大得很多,这样的话有很多的,RISK会变得不适合。
再一个外部威胁来说,威胁永远不会消失,包括国家间的竞争,由于势力,还有一些企业间谍恶意攻击,纯粹的盗窃者,这些都是客观并且长期存在的,今天上午杜博士也提到一些案例,我由于一些新的威胁不断出现,使我原来防护措施失效,并且不断产生新的威胁。
考虑到自身一些因素,从自身的这种脆弱性而言,可以分为两种因素,第一种不可避免的因素,因为我们采取的一些技术他们才设计的时候没有完全意识到,我以后要出现的问题,比较典型的TCP\IP协议,在设计之初从善意的角度考虑,不是从最坏的角度考虑,再一个人类的能力也确实有限,失误也在所难免,包括庞大的这种操作系统,程序还有复杂的应用系统等等。这些因素不可避免,客观存在的,有很多因素是我们可以避免,而没有避免的,分成如下几个方面,第一个我在实施的过程中,本来我们可以根据实际的情况灵活调整,做到最优的方式,我们没有做到,应该避免但是没有避免,同时还有新的漏洞,还有补丁不及时,而这些问题可以避免。同时还有技术发展和外部环境变化,使得网络发展处于动态之中。
从这个信息安全的事实来看,我觉得可以总结为如下7字一个说法,第一个广泛性,实际上这也是大会的主题,全程的安全,全程安全涉及不同领域,网络系统运用和管理,对于每个区域来说,都有我的区域里相关的风险,存在的威胁,相对应一些解决的办法,它本身属于一种广泛的特征。再一个动态的,我仅仅依靠安全产品来应对不断变化的威胁,不足以来解决问题,安全的建设实际上还是持续的建设的一个复杂的这么一个过程,实际上要从观念上来进行转变,我们在进行规划管理,后期维护的时候这些多种因素相结合,使得变成动态发展的过程,再有相对性,相对性实际上还是强调,我通过各种不同的安全措施,使得风险降到可接受的程度,同时我如果当发生信息系统发生变更,发生变化的时候,我采用一个动态调整,和重新规划,因为现在比较流行安全月划分,安全月划分用的最好在什么地方,我马上上一套新系统,或者我要新的网络来构建,在初期的时候进行安全月划分,先从网络层划分,根据不同业务系统划分不同的网络要求。实际上这样我以后如果有新的系统,我可以很方便清楚,我放在哪个区域里,而同时由于我以前在不同的区域里面,已经部署好,原来的控制措施,这样我新的系统放到特殊安全月以后,符合当前安全一个要求。实际上现在大家在做安全月的时候,我原来系统跑了很长时间,我再进行安全月的划分,我再进行边界的整合,实际上对我当前网络调整很大的。所以实际上我信息系统发生变化,我重新规划,并且来实施,适应新的安全运行要求。跟我现在遇到很长时间安全月,我重新对网络划分,对安全需求,安全手段重新调整,和重新确定的一个过程。这个就是人的因素,实际上人的力量是无穷的,但是信息安全最薄弱的环节还是人,实际上在众多的中小企业或者大中企业的时候,已经部署好了很多的防御措施,最早边界防御,再有纵深防御,那么我做了这么多措施之后,还会出现这么多安全问题,为什么?今天上午大家可以看一下04年的年度报告,有那么多台机器,甚至重要系统敏感这个单位的这些系统,他们也被中了恶意软件,的规定,策略里面强调这些重要机器不能随便连互联网,不能安装及时通讯软件的,但是最后还是出现这么多的问题,这实际上反映我们整个系统中最短的地方,短板在什么地方,还是人的问题,信息安全中关键的因素,实际上不能忽视它是一个比较薄弱的环节。
目前存在一些问题,实际上大家做了很多时间的安全工作,回过头来想,还是有很多不好的地方,缺乏有效的安全措施手段,我忽视安全系统的建设,我觉得垃圾站比较多,我跑垃圾系统,我觉得明天DVS对我系统造成影响,实际上我没有确定下来,我整体想一想,整个网络系统到底需要什么,我整体方案到底在什么地方,这个我觉得也是作为一个企业的安全,或者信息技术很重要的考虑一个内容,我们考虑问题从根来考虑,不是哪里有洞补哪里,这是个体和整体的关系。
再一个只防范外部的非法,而忽视内部的破坏者,实际上现在内网的攻击越来越多,比如我做防火墙,已经从外部突破很小,我通过IE,遏抑软件,或者通过及时通讯的,大家知道内网,甚至用户密码监听的问题都可能出现,这样对内网,心里做的好的边界防御,实际上失去原来的作用,再一个消极被动响应,不能主动防御,目前我能做到及时被动响应很不错,出现问题我能及时解决这是很好的解决情况,很多情况都是出了问题我不能怎么解决,甚至这种情况一而再再而三的发生。
还有就是以后的扩展性怎么做,我以后怎么扩大我的规模和安全网络,实际上体现一个最关键的一点,我堆了一堆产品,做了很多工作,最后领导问起来,你放了这么多产品,最终体现什么价值呢?
再一个安全管理人员不足,岗位管理不明确,不能有效实施和执行安全措施,实际上我这个不用多说,实际上这个大家在做项目的过程中,对不同的企业都存在这个问题,不可能有专门的安全的机构,也没有存在专门的安全管理人,大家都是很忙,兼职,职责不明确,出问题不知道找谁,这就是平常出现的一些问题。
再有缺乏完善的安全管理制度,也缺乏对制度严格的管理。有些企业原来也做了安全策略,也有基本的流程制度,实际上我们在进行这种文档当统计的时候,执行效果的时候,发现执行能力比较好的哪一种,就是那种故障排除和影响业务最关键的那种流程,它做起来比较好,因为这个涉及到,比如我是一个计费系统,我出现故障怎么办,这个大家做的比较熟,但是对其他病毒防范的流程,或者抗病毒的服务流程,甚至其他一系列,这些做起来相对做得比较差。
再一个员工缺乏安全意识,没有统一和系统的安全培训和学习的机会,实际上我从整个体系来说,缺乏有效的安全预警防护,应急恢复,这种技术的管理的体系,实际上对于一个完善的体系来说,这几个方面,预警方面,防护方面,日常监控方面,应急响应和恢复方面,每个环节都是不容忽视的一个问题。
再有一个常见的问题,实际上超过70%一个信息安全的事件,我如果事先能够加强管理,都可以得到避免,不是我出了问题之后,我要早知道该怎么办怎么办就好了,你要早听我的话就好了,你要早按照流程做就好了,实际上我们做这种安全管理,我们做有效的安全管理体系,执行态势,避免大家出现问题后后悔。
那我们如何构建一个信息安全管理体系,实际上对于很多信息系统来说,包括有电信行业的用户,我97年建网的时候,别说考虑安全,我能把网建好就不不错了,但是到05,觉得我的规划不能符合当前的要求,这些反映什么问题?这些信息在设计的时候,没有充分考虑安全,依靠这种技术手段仅仅实现安全是比较有限的,依靠必要的管理手段来实现安全。再有我怎么样来理解这个信息安全管理体系,实际上我通过合理的组织体系,规章制度和一些控管一些措施,把我当前具有安全保障能力软硬件产品,一些结合,再有使用我信息的人结合在一起,我整体,包括产品,人规章制度结合在一起,来达到组织我预定安全目标,预定成为信息的安全,把这个整体叫做信息安全的管理体系,大家看简写的ISMS。
实际上我们在构建一个完善信息安全管理体系的第一步要做的我们要明确需要保护和管理的对象,大的方面可以分成人和客户,我在整个业务部门划分的时候,包括产品供货商,安全产品提供商,业务部门,采购部门,维护部门,等等这些我们明确下来,明确保护和管理的对象。
我们到底做一套这种信息安全管理体系,到底有什么作用,它的价值体现在什么程度,我觉得可以有以下几个方面,第一个我强调员工的信息安全的意识,我构建这种安全管理体系,并且我结合日常安全巡检,和业绩考核的体系,这样督促他们安全意识一个提高,来规范他们的行为,再有对这种关键的信息资产进行全面系统的保护,使客户充分信心,再有我通过完善的安全管理体系,使组织能体系认证,表明我当前建立这套体系,符合最佳安全时间的标准,证明组织能有能力保障我组织内部重要的信息,再有我通过这套体系,促使管理层坚持贯彻信息保障的这么一套思路。
我们再构建安全感觉体系怎么样参考安全管理的标准,这些标准对我来说有什么样的价值,我觉得可以体现在两方面,第一我加强信息安全管理,普遍解决信息安全的一个问题,我解决这种安全问题,既然考虑到管理的重要程度,我们要通过一套比较规范的一些方式来进行,信息安全管理标准,实际上就是一套最佳的行业的一个实践,S再一个就是我由于,既然考虑到管理,但是管理本身是复杂和多样的,我管理制度制定和实施的时候,实际上跟决策人个人思路有很大的关系,我个人的思路实际上在外在表现起来,就是我的随意性比较强,而我想的什么,制定一个什么样的管理的制度,实际上我们通过信息安全管理标准,避免随意性比较强的一些行为,也就是我们安全管理标准通过这种标准来进行指导,避免随机性一些情况的发生。
那么我们建立这种信息安全管理体系的时候,步骤是怎么样的呢,我觉得可以通过如下6个大的部分,第一我明确信息安全管理的方针是什么,我要做到一个什么样的程度,和总体的愿望是什么,第二明确我们信息安全管理的范围,第三部分我明确要保护的对象之后,我对当前的对象进行风险评估,我确定当前风险的程度,然后根据安全管理方针的要求和需要保障的程度,和它的要求来确定风险管理的区域,根据不同的区域选择适宜的目标控制和方法,再一个我制定可用性的生灵规范化。这个图对上面几个步骤大的阶段的补充。
实际上我们怎么理解这种信息安全管理体系的目标、方针和策略,我安全的目标跟我企业其他方针目标没有什么太大的区别,比如我公司制定金融的目标,它和我们安全目标整体上同样为了达到公司的一个使命,完成公司目标来努力的,然后我根据不同的分层,细化,从企业从战略到行动,从企业到各个业务系统的安全的目标。
这个是我们在对用户提供信息安全管理体系的时候,一个整体金字塔一个框架,最上面一层,信息安全的总体的一个指导的方针,第二层就是我明确组织体系谁主管,谁负责,谁负责哪些事情,我岗位是怎么样的,然后第三层物理网络安全培训安全方面,考虑策略,与这个组织体系来进行有效的一个衔接。最下面第四层,具体安全管理制度,操作规范和流程。
我们在构建安全管理体系的时候注意一些问题,第一安全性,我们做完安全体系,维护信息系统的安全性,任何破坏信息系统安全性都是不合适宜,不正确的,第二可行性,我制定这套系统是用来执行的,我从工程的体系考虑我的政策,第三高效性,再有可承担性,我构建这套体系,我花费多少钱,跟公司安全规划和安全工程的投资,是有很大的关系。
在当前信息安全管理体系有这么多制度简单,内容不全,交叉重复,混乱无章,还有厚厚一本,无针对性,具体操作的时候,不知道从哪个入口进,哪个入口处,再有悬挂墙壁,应付检查,来检查的时候有这么一个文件,我们在实际执行中,没有安全规则做,再有我写了一套体系,锁在柜中没有人知道。还有包括我如何完善,我如何通过体系建立安全巡检的一个机制,还有我们在执行的时候,如何做到从松到严,从少到多,信息安全管理体系,还是重在落实,重在执行,从用户角度来看,信息安全管理,实际上全程安全,在每一层安全方面,用户都是很关心的,实际上管理安全,穿插各个层次之间,实际上在物理层的时候,也会涉及这种网络安全,这样我管理安全穿插在整个一个层次里面,从安全角度来看,我组织体系是我安全保障体系一个核心,技术体系是我实现这个安全目标的,管理体系是我完善所有的这个角度一个整体的一个安全保障。实际上我们从安全角度来看信息管理,我制定明确信息安全组织体系,统一安全管理的策略,同时在技术体系做到积极防御,和综合防范,我觉得通过多方面角度思考,和这种体系的建设,可以整体提高我们整体一个安全性,我希望也可以通过我今天的讲的这些经验或者思路能够为大家在日常工作中,还有安全管理工作中能提供一些帮助。我觉得这也是我这次讲演的一个主要的一个目的。
最后谢谢大家。
主持人:
谢谢王红阳先生精彩演讲。
他演讲我个人感觉,他紧扣我们这次大会的主题,从他演讲的题目我们可以看出,对安全问题核心把握的很准确的,安全问题是一个全程问题,要解决安全问题,实际上要靠体系来解决的,实际上大家很多做安全的人都心里很理解安全问题不是简简单单是软件的问题,不是简简单单管理上的问题,很多问题交叉在一起,是相互作用的问题,而且安全问题是全生命周期是全过程性的问题,同时它也是影响到方方面面的问题。
作为一个体系来讲,就是解决安全问题,不是靠一个人,或者几个人的努力,或者某个机构的努力就能解决的问题,而是靠整个组织,整个组织,从一个国家来讲靠全社会努力共同来解决安全问题。他整个演讲从两方面,一个从需求的角度,很好地全面概括现在网络安全发展的一些要求,同时也很好总结现在网络实际运用一些实际问题,整个从宏观到微观,从理论多现实很好的概括,所以非常全面的,在后面它实际解决一个如何做HOW的问题,它这种给人一个非常好的框架,我们要明确,到底我们做安全要保证什么,保证什么样的对象,采用什么样的标准,还有我们整个安全体系它一个构成,以及注意哪些问题,同时也给很好我们建立安全体系一个步骤,所以强调在他的演讲里面,也强调安全问题重在落实,这也是一个,他这里面用了非常生动的一些概括,一些例子,说明我们现在一些现状,这个可能如果对照王先生提到的那几点,我觉得可能大家都会体会,如果我们在安全问题上,我们是建立一些规章制度,但是那些东西在哪里,真的锁在柜子,或者挂在墙上,并没有落实。所以他解决方案这方面,给出我们很好的建议。
这里对像安全管理这方面,建议我们以后在厂商在给企业提供咨询服务,更好地针对性,因为我们国家安全问题是一个多种多样的,它是根据你的组织,规模大小,根据你组织的类型,都会有不同的安全问题,就面临不同的安全一些,就是非常实际的,希望以后能有更加针对性的,希望下一次这方面有针对性方案的减少,再次感谢王先生。
下面一个演讲的嘉宾是英国标准协会BSI中国区运营总监、中国区TL9000产品经理李晴昊先生,他演讲的题目是“信息安全管理体系BS7799介绍”。
李晴昊:
大家下午好,我今天要讲7799,我想我举在审核中的一个案例,我们在审核一个公司,他们也做信息安全,我们打印他的流程的时候,你把这个流程给我打一下,在技术部,然后他说对不起,我这个打不了,但是我可以联网,打印要到一百米以外的资料室去拿,我们把它打过去,然后跑去拿,这是它的一个手段。
另外我们在打印的时候,我们发现,我们要拷贝一个东西,比如他有一个流程,要给我们看一下,说这个地方我不能把它拷贝出来,拿到我资料中心,资料中心有专门打印机,不能在这儿拷贝,我说为什么?他说第一我这儿软驱被掐掉了,第二我USB也被掐掉了,这是我在一个公司审计的时候,审核的时候,这个公司这样来做信息安全。
为什么这么做呢?一会儿分析一下。
第二个例子最近大家知道一个案例,是华为公司在起诉它的3个员工,起诉他们什么呢?把自己公司的,就是说他们研发一个产品的资料,拿出去自己单独成立一个公司,在一年之内,基本上做到几千万,对整个华为公司这个产品造成很大的威胁,他们起诉这三个人,最重要的是UT斯达康把这个公司买了,所以现在这个案子还没有最后定,虽然深圳市法院已经做了裁定,基本上罪名成立,被判人很委屈,家庭在上诉,为什么产生这样的问题?这是新产品问题,其实在华为新产品管理非常严格的,他的办公我们去过,它是欧式建筑,所以它的理念非常新,华为有一个管理叫华为的冬天,非常有紧迫感,举个简单的例子,他们做研发,研发它旁边是单独的,有很严格的保安系统,员工上班不允许带USB,任何移动硬盘都不允许带,举个笑话,他们管理严到什么程度?比如在网上会有华为内部规定,什么规定?如果在华为不能够结婚的,这两个员工不能在华为同时不行,同居可以,为什么新产品做的这么严格,还出现漏呢,还起诉呢?这涉及到信息安全管理的问题。
我今天要讲主要介绍7799,信息安全管理体系我们叫IMSS。前面李先生,王先生介绍了安全技术,都说这个体系好建立,方法挺多,但是就是不好执行,问题出在哪儿?缺少一个比较好的监督机制,这就是我们说的可能这个企业会给别人看见,不仅自己看,拿给第三方的人给你看一下,看看你到底符合一定的规范,最关键你看是不是真的去做了,这样第三方给你提供一个公证的证明,今天我主要讲7799这么一个标准。
信息安全大家一般讲都对,可能大家听着,主题演讲,包括今天的分会场的演讲,大家看到很多都是侧重于在技术方面,是不是信息安全就是技术问题呢,比如装个杀毒软件,设个密码,或者设防火墙,或者还有很复杂的信息安全技术的网络都可以,很多很多,但是是不是真能解决问题呢?我举个简单的例子,大家有没有注意,你们在公司打印你们公司信息材料的时候,一般你把键点确认,几分钟会跑过去拿你的资料,我相信能够点完那边去拿,马上跑过去拿的都很多。
第二个大家打印的时候要节约纸张,尽量正反面打印,正面打印,接着反面接着用,你有没有注意,你反面的那些东西是什么信息知道吗?不太清楚,好,我们还有一些公司,在做的时候,比如说传真,比如说你给他打电话,说你把我客户报价给我报过来,你打了电话你多长时间检查你传真机,传真机材料有没有来,往往你去拿打印机,传真机的东西跟别人夹在一起,这些有没有注意,这些是技术上能够解决的问题吗?显然不是。
这样的话但是信息安全可能告诉我们,如果这些东西没做好,造成很大的损失,举个简单例子,比如你丢了一份客户名单,这个东西不值多少钱,但是造成你公司的巨大损失不是这一点,这些东西我们叫潜在的损失,如果给竞争对手拿去,你的损失会非常大,所以这个叫做比较典型的叫冰山,可能我们损失一张纸,或者损失客户名录,但是我真正指的不是这么多,很多是无形的。
对于传统的信息安全对付方法来说,一般我们应对性什么意思,好,我们最近电话里说,安全部或者公安部发出紧急通告,最近蠕虫病毒发了,可能有的公司没注意,第二天一塌糊涂,我记得去年前年的让我们做信息安全网络维护,有紧急安全的维护的公司特别多,抱着电脑来,这样出现问题解决问题。
还有点状方案,比如有黑客突破我们防火墙,把我们网页篡改了,赶紧找个公司来看看,都是一种点状似的,还有侧重技术方面,这是比较传统的一些,对付信息方法,新产品的方法。对于7799,英国标本,这里面为什么讲英国标准,大家喜欢讲SO标准,叫国际标准,实际上大家注意很多标准,从国家标准演化出来的,大家知道TBSCDMA,中国3G,这些都是从国家标准上升的,这个地方799,DS799可能会变成SO7799,叫17799,这个标准现在走了一半,后面会告诉大家。这个79倡导主动方式,比如员工走会带你的信息,多长时间你到竞争对手公司去工作,如果他走的时候,他也不敢,他很明确的做那些事情。他是系统的方法,我们叫过程的方法,不仅仅制定一个规章制度而已,从你公司客户需求,到你把这个需求转化为你们公司核心的产品,核心产品然后怎么样交换给客户,客户对你的产品是否满意,整个过程你要作为一个流通化的分析,通过管理层面来分析,最关键公司应该从战略考虑,不仅仅把这个工作交给CAO,或者安全部门来做,往往达不到效果,这是7799倡导的理念。
7799有两个标准,一个BS7799—1,这个标准我们叫最佳实践标准,叫国际标准,另外一个叫BS7799—2,这个叫规范,这两个标准什么区别,第一个标准我告诉你怎么做,有哪些必要的方法,第二个标准我告诉你怎么做了以后,你到底做的好不好,我要来审核你,第二个标准就是审核的标准,可被审核的,能够评判,评判你这个标准符合一定的要求,根据这两个标准,目前是最佳实践方法,变成ISO17799,那这样的话,所以说这个标准所以大家认证一看,有的公司认证SO17799这个认证,目前7799,大概到2月份,大概全球将近一千一百张证书,所谓这个现在做的最多的是在日本,还有台湾地区非常多,特别是一些大的,现在运营商做的多,可能再往后的层面就是设备供应商。BSI,大概发了一半的证书在这里。
在79里面有核心的内容,这个79到底什么叫安全,什么叫信息,大家要会抓,在79里面讲你先分析一下,什么东西需要做,举个简单的例子,我们有些办公室做采购,采购一些纸杯,水壶,采购巧克力饼干,这些都是信息,这些信息需要保护,比如你客户信息,客户买你的东西,你给他报价,所有的产品内部产品价格,不是对外公开那种,这种信息跟那种信息能等同看吗,不能等同看,所以7799最核心,什么事是你们应该关注的资产,这里面7799最关键的讲信息资产,还有什么纸,纸文件,还有一些软件,还有一些硬件设备,还有公司品牌等等,但是7799它只是关注在一个信息安全,信息资产,所以并不是所有的它都会去关注。信息有价值的,这是SI799一个定义,作为信息它都有一个生命周期,生命周期,这个信息首先它有什么特点,比如客户资料,我的报价,首先这个东西需要创造出来,如果现成的大家都知道无所谓信息资产,首先会创造什么,同时它会加工,比如我一百个客户里面,你不是每个人关注,找个10个关键的客户,基本上占你公司的90%的产值,这就是说这个信息经过处理,然后这个信息经过储存,传递,最后可能销毁,最后可能还会,有可能会发生遗失,发生破坏,这就是信息整个生命周期,你做信息安全,就从头开始,这个信息产生,包括处理,包括处理垃圾,举个简单例子,在麦当劳以前发生过这么一件事情,有一个调查公司,市场调查公司,他想了解麦当劳的一年的产量,销售情况,雇佣了很多临时工,去专门收集麦当劳的垃圾,包括它的包装盒,它通过这些收集分析出麦当劳一年的产量,同时预测出它第二年的一些产量信息,所以说麦当劳出了这件事麦当劳对它的垃圾非常重视,所以大家不要观看,在办公室很重视,到最后销毁的时候,到底这个应该怎么销毁,这个注意,所以业绩全程考虑这个问题。
信息安全关注什么,先把有价值的信息分析出来了以后,比如我们客户资料,我报价单,我相信我们所有的技术一些手段,都是为了保护它的,否则的话你技术没有这些资料,对它运作,那你这些技术设施也没什么太大的用处,信息安全到底讲什么?第一机密,第二完整,第三可用,什么叫机密,你这个材料只能说我高层管理人知道,你不能给中层以下的员工知道,这就是机密,不应该让知道的人知道它,特别你的竞争伙伴,外方的人,这叫机密性,什么叫完整性,什么叫可靠性,这个资料给我们高层看,看完给客户报完价,销售员老总你怎么报价,我一百块钱你给我报150元进去,对不起我这个信息没更新,这个时候老总拿的信息不正确,叫可用性,另外老总上网,我买的光盘设备,结果上网,我那些报价忘记放上去,可能被谁给删掉,所以这个信息你应该拿到正确完整的信息,这是一个信息安全。
信息安全刚才讲的是概念,我不再给大家做解释了。实际上还有一个我们比较关注,大家做BCM,叫业务科连续性方面,大概在2003年8月14号北美发行一些局面,当时北美那块瘫痪了,在那个时候受影响,商业周刊,CIO接到很多电话,因为8月15号是他们商业周刊发刊的日子,很多人打电话,关注商业周刊,呀,明天能不能发,能不能出,CIO说没问题,我们在新泽西有另外一套完整的设备,保证你第二天没问题,我备用系统非常充足,包括9.11,花旗银行受了很大的损失,但是他能在很快时间把它业务恢复,而且它有窗口备份,包括我们做审核的时候,我们国家的工商银行它的信息中心在上海,但是它在北京有完全一样的备份,这都是在信息完整性上做的考虑。
7799—2,我讲的这个是审核标准,那个杠一是事件标准,这里面你应该做什么东西,另外附录里面有些的要项和执行的目标,它遵循原则是PDC的循环和一个流程的概念,流程什么这个信息谁关注什么样的信息,什么样的信息值钱,然后这个PDC是我怎么样去管它,是一个概念,首先从P这边,我们标准从4里面讲,你首先应该把你哪些需要做保护的信息声明,然后你公司应该有一些人做一个远景分析,我承诺,首先我对我自己公司的信息,怎么样做?同时我对客户有一个承诺,我们信息决定,举个简单的例子,我们银行,假如有一天你把你提款塞进去,最关键做计划分析,风险分析,找出我们价值,后面我们讲一些胶片,会有一些做计划。
第二个困难叫DO里面,刚才王先生都讲人,这里面资源,讲了人的问题,怎么样管理你的人,用什么方法来做,另外一个大家做了这个方法,谁来看,很多东西没人看,有一个内部的机制来检查,比如在银行它会有会计制度,每周每月都有一些大的检查,这是内部的日常检查,可能建立这套体系,建立内审的机制,除了日常检查以外,同时我为了拿这个东西,我到外面找外方机构做功利性的检查,可能过了多少年,拿来一起,大家高层反馈,我们到底有哪些地方需要改进,这都是监督机制,最后发现问题,我们需要做整改,你有什么漏洞,把这个都是做好。
在7799里面非常关键的风险分析,这里面怎么风险分析,第一确认你有价值的资产,第二个找出这个资产可能会受到威胁,举个简单例子,我说我客户资料,那我威胁什么?可能是黑客入侵,那什么叫脆弱性呢?啊呀,我这个公司刚刚草创,什么防火墙,什么制度都没有,黑客很容易入侵,这叫脆弱性,两方面做一个乘积,如果你说我现在有防火墙,我有管理制度,那你这个脆弱期的分打得很低,风险分析假如打5分,规定1到10,6分以下可接受风险,这样我不需要做审核措施,6分以下我采取一些措施,什么措施,我 需要做制度,人员培训等等。这是7799风险分析模式。
第一确定你的资产,判别它的脆弱性,再分析它影响的评估,然后把它风险做个分级,分级完了做风险管理,这个风险管理,不是所有的事情都要等同管理,不同的风险有不同的管理方式,最后可能需要做一些制度,然后降低风险,最后要把这个风险降低到,我可承受的装,特别要注意,我们的风险不是,它是动态的,因为今年你看到10,也许到明年可能变成5了,因为我检查力度很高,可能重新打分,那就不一样。
再里面,我们后面讲7799有几大要求,第一个它在7799里面讲,我的总要求是什么,第一公司要有政策,第二个可能要采取PPC什么模式,然后第二部分要建立信息安全,怎么建立呢?首先这里面只是讲一些步骤,具体的步骤在后面,它会讲第一要建立第二要实施,第三要监督,第四要维护,在信息安全里面很关键的是,文件,但是大家不要误解,不要认为搞这个体系最后一大堆文件,很多文件看多,在现场具体操作的人员只要给他一张纸,你需要做什么,注意什么,可能比给他手册有效得多,举个简单的例子,我们做审核的时候,员工对信息安全了解非常透彻,全部娓娓道来,后来键盘一抬起来,这个纸条是什么,这是我电脑操作的,关键一张纸简单易用最关键,不要强调一大堆文件。
最后强调管理职责,特别强调中高层职责,包括我们所有员工的职责,我举个例子,做信息安全,这个企业做的很好,问层员工,问干部,你在这个信息安全占什么位置,员工会说那个家伙的事,CIO,安全职责,实际上这是误区,实际上每个人有自己相应职责,职责全权限里面从上到下都有。
第六建立一套体系的内审。7就是做改善,纠正措施和预防措施。在7799里面还有10个控制要求,然后里面有10个控制要求,里面有127个控制点,会把你应该从哪个地方考虑,全列在这里面,这里面包括什么,第一,方针一些大的方面总是有一些需要,另外组织架构,然后你信息资产的分类,然后你的人员,你的物理,或者你周界的管理,比如你去别的公司,你不能随便进,你进来有人签字,出来有人签字。
还有侧重在技术方面,我们的操作管理,还有系统管理,比较技术方面的,下面就是可接入的控制,还有一些,我们最后面很关键,大家讲的w多,叫业务持续性管理,最后要做审计,大概它分这十个要求。对一个审核会参加几个阶段,第一在审核前做什么,第二个发个整给你你做什么,现在审核不是发个证给你,是每年都来,实际上审核有一套规则,在预审核,我们预先看你准备怎么样,第二会看你准备的那套文件实施怎么样,最关键我们看实施的文件用的情况,有的公司写的很好,一说头头是道,一问没用过,第二我们在现场审核看你做了没做。第三就是实施审核,最关键的是公司内部有一个很好的自我纠错的机制在里面,外审一般很点水的叫蜻蜓点水,最关键咨询,做内审的非常关键。这是一个审核。
我基本上在这里,看看大家有什么问题,还是后面一起回答吗?谢谢大家。
主持人:
感谢李先生的精彩发言,这个实际是从现代介绍,对信息安全管理体系一个比较权威,比较成熟的标准的一个全面的介绍,这个李先生用非常生动的几个例子来描述我们现在在企业信息安全管理方面实际面临一些问题,它在后面也举了很多例子,本来标准是一个很枯燥的,很乏味的东西,非常生动形象的东西,给大家解释很清楚。这里它重点我觉得它主要强调信息安全,实际上需要非常全面的手段,这里它对比了传统对信息安全的方法,和 BS7799提倡的方法,这里面对我们企业,或者组织建立良好的信息安全建设,有指导意义,这里面对BS信息7799提倡的体系,把信息作为一种很有价值的资产,它这里有一个图,就是说信息安全问题,我们有时候看到的问题,可能只是冰山上一脚,这个冰山下面可能有很大的问题,这个实际上大家很多工作需要,需要的笔记本,实际上有时候就是笔记本觉得非常重要,它本身并不说关注笔记本花两万或者3万买的,实际上关注你笔记本的数据,是信息本身的价值对企业来讲越来越重要。
这里面BS7799对它发展的过程,以及里面的理念做了非常详细的报告。大家听了很有收获,这里面有一些建议,个人的观点,一个是标准的国际化的问题,就是从国外审计有很多标准,ISO,这些标准实际上对我们实践一个总结,同时他也提到,国外标准是不是能够拿过来直接用,这个我们逐渐有本地化的问题。另外关于像信息安全的标准,肯定要受到本身一个区域或者一个国家文化的影响,我们可能就是说现在来讲,BS信息能不能直接我用在国内来讲,我觉得需要从一个转化的过程。
另外一个方面想推荐一下,关于我们现在,我们前一段时间CC1搞全国网络调查,标准问题,认为对整个网,信息网络游戏安全非常重要,我们这里有一个非常重要的问题,关于现在各企业产业标准的情况,我刚才看到我们很多资料上有我们这次宣传报告,这里面实际上在国内来讲,采用这个标准比例还是比较低的,大概20%几,很多企业还是拥有很多标准,在才外20%标准里面,很多主要还是在行业当中的一些标准,所以我想大家更多今后努力方向,希望在制定我们自己标准,参考国际成熟标准的技术上,更多指导我们国内的有用的标准,来提高我们信息安全的实践。
下面有请网新易尚安全顾问专业安全服务技术支持组负责人徐杰先生,他的演讲的主题是“浅谈应急响应的价值”。大家欢迎。
徐杰:
各位领导,各位嘉宾下午好,我是来自北京网新易尚科技有限公司的徐杰,荣幸在宝贵的30分钟里,跟大家交流有关安全服务应急服务的价值,也欢迎大家批评指导。如果你对我演讲有什么看法,希望你给我发邮件。我今天探讨的问题,有以下内容,首先我简单介绍一下我的公司,接下来的时候,跟大家简单回忆一下应急响应服务在安全服务体系中的重要性,最后我将站在客户的角度,跟大家探讨一下我的议题的重要性,就是应急响应的重要价值。
北京网新易尚科技有限公司由浙大网新科技有限公司投资组建,是国内新兴网络设备和行业应用解决方案的提供商,致力于推动中国网络产业的发展,为客户提供全方位的网络安全,网络产品解决方案与专业的安全服务,借助浙大网络有限公司在网络应用,为公安等提供网络应用产品解决方案,网新易尚,是全线安全解决问题的提供商,公司病程专注、专业、创意创新的文化理念,网络的产品,涵盖构建网络安所需要的全面产品,我们的产品荣获多项国内一流评测机构和大奖,随着公司业务的不断开拓与发展,总部设在北京网新易尚公司已经在上海、广州、深圳、成都等全国范围内设立18个办事处平台,建立覆盖全国的安全服务体系。为用户提供全面周到的产品解决方案与安全产品服务技术支持,如果你想更多了解我们的公司,可以借助登陆我们的网站,也可以通过给我发电子邮件来了解我们的产品,技术,服务等等。
早在20世纪初,通讯技术还不发达面对的电话,电报传真等信息交换过程中,存在的安问题,人们强调信息保密性,对安全理论研究侧重于密码,这一阶段信息安全,简单称为通讯安全,20世纪60年代末,半导体和集成电路的发展,推动计算机的发展,计算机和网络进入使用化和规模化阶段,人们对安全的关注已经逐渐扩展为以保密性完整性和可用性的信息安全阶段,具有代表性的成果,就是美国的TCSCE和英国的ITSCE的评测标准,20世纪80年代开始,由于互联网技术的飞速发展,信息无论对内,对外得到极大的开放,由此产生的信息安全问题,已经跨越了时间和空间的问题信息安全的焦点已经不仅仅传送的保密性,安全问题,由此延伸出抗抵抗性,从它的整体校对,从它的整体角度,体系建设的信息安全保证,在美国的ITF上,规范当中有相当清楚的表述,这上面图,第一个图是98年曲阳文老先生,把PTIF引入中国,随着延伸出PDR模型,从这些基本模式,应急响应服务在安全服务的重要性。这是第一点。第一点站在理论的角度,从模型上,看到它的应急响应服务的重要性。
第二点需求和量化,从需求和量化上阐述应急响应的重要性,业务需求上是为了保证业务的连续性,在对业务需求的分析基础上,必须考虑一个问题就是应急响应服务,而量化的工作过程中,应急响应也是必不可少的环节。威胁和风险造成应急响应服务重要环节,如果没有威胁,没有风险,不再安全问题,应急响应失去它的意义,所以威胁和风险的存在,决定了安全在应急响应的重要位置。
对价值的分析,我们可以从 以下7个层次来了解,首先我们应该考虑的是价值是为是有客户定义的,因为客户是应急服务的硬任应用者,第二个价值服务是非透明化,明确了价值,价值是难以量化的,如果要科学的量化价值,必须将评估价值的所有因素都考虑在内,同时必须理解客户对不同因素,和重要程度的权重分布,在这方面信息非常难过去的,你需要在大量的客户数据中,建立一个稳定的有效的客户价值模型,一旦理解了不同细分的市场客户在决策时考虑的因素和权重时,你就能够更好地理解客户如何去取舍,如何去设计产品的功能,能够更大程度上吸引顾客,所以这一块,也就是说价值它是非透明化的,重在它是难以量化。
从第三点考虑价值是多位,人们常常有一个错误的认识,认为投资决策的依据,仅仅是从功能上来看,这些功能具体就是指产品的功能和产品的特点,其实价值还有另外两个因素必须考虑,就是经济价值和心理价值,经济价值指什么,产品特点和在时间上,在金钱上,对客户产生的价值,而心理价值呢?心理价值主要是指,客户从产品或者你们公司获得情感上的收益,功能上的价值是价值提供的起点,但是必须能够将功能上的价值,转化为经济价值,最终通过功能的差异化,来形成心理价值,来吸引更多的用户,所以说在这一块,价值是有多纬度的。
第四价值有权衡,为什么这样说?价值以购买产品成本相关的,客户对成本感知的,在这个地方强调价值与成本与收益的权利。
第五点价值有应用环境,在评论一个系统的价值时,你不能脱离这个系统应该环境,客户存在的环境不同,理解的不同,产生的价值也就不同,所以价值有一定的环境的。
第六点就是价值是有相关联的东西存在的,为什么这样说,价值它有相关的东西呢?为什么?因为没有单独的评估对象,应急相应服务在面对客户的时候,所涉及的东西,将会包含很多的对象,虽然这些对象跟要解决问题没有什么浅显,但是他们却是要解决问题中的评估对象,而这些都是相关的,所以他们之间存在相关联的东西,相关联的东西,存在着价值的体现。
第七点价值有明确导向的,以价值为基础的管理,不仅模型与流程的管理,价值有明确导向的,为什么这样说?因为这个导向是基于一种信仰,什么样的信仰,企业唯一目标在于为客户创造了价值,获得创造价值的同等的回报,因此企业所说的,所做的,所有事情都必须对客户而言的,而不是企业的产品,这是观念重要的转变,很少企业实施这样的一个观点。所以第七个点,他所提到的,我所提到的这些产品,不仅仅你所购买的网络产品,设备产品,安全服务应急服务也将作为一个产品。
从客户角度来理解价值,谁会为价值买单呢?从实现价值的角度来看,必须建立一个评估价值的方法,因此首先必须明确哪些人的不同立场看待价值,究竟谁才是价值的消费者,这种问题。对于股东和企业客户,这样的价值消费者判断好的技术投资,依据往往都是不同的,所以说就有了站在客户角度看,站在公司角度看,站在员工的角度看,站在投资者角度看,这几种区分的类型。从客户角度我们看,任何一个好的项目,必须能够使用,能够更简单地和方便地与企业进行沟通,如果你不简单不使用,那要它干什么呢?从业务角度来看,来说,一个比较显而易见的支持,支持这个项目的技术就是网络的渠道,在网上客户可以了解购买产品,在网络上客户需要什么,网络支持,进行业务网来。这是这些网络服务未必能带给它很大利益,方便交易,能够更好地吸引客户,这样体现它价值的存在。在企业工作的员工,他对价值的理解不同,对他们来说,好的项目需要能够使他们工作更加有趣,或者能够让他们腾出更多的时间去完成那个增值服务,增值的任务。再从投资行业来看,技术支持,自动事务处理好,企业很多员工从原来的日常买卖交易中解放出来,他们就有了更多时间去处理那些值得关注的特殊的业务,比如大客户等等这些问题。站在公司的角度,应急价值服务和投资的回报的品种,对公司来看,好的应急服务,增加收入来产生经济效益和社会效益,为什么这样说?股东对价值的看法更加重中之重,对股东来讲好的项目价值,应该提高质量,减少成本,或者增加收入来产生效果。好的项目每年需要做到,同时对于客户雇员和股东都要有价值,他们是价值的,因为他们是价值价值最重要的消费者,如果在实施项目前,如果从这三个角度评估,投资的价值能够得到更好的理解和考虑。应急相声对客户的价值,体现在根据客户的具体情况,定制应急预案,考虑轻重缓急,等等这种情况,去分析,对具体的情况,提出具体的解决方法。
应急响应对客户,应急响应的过程,是为客户挽回损失的过程,这是一个什么样的过程,首先要有准备阶段,事情发生了,紧急事态已经发生了,就要准备,没有准备的事情打好仗,不可能的。准备阶段为一个阶段,准备后进行检测,具体利用技术手段,利用工具,按照什么样的方法进行实施进行检测,检测完进行抑制,抑制后,避免事态扩大,造成损失,避免了损失的进一步扩大,就要根除了,以后你养虎为患,要根除它,根除它进行恢复,这时,他在实施过程中,一个流程的第二步,恢复完了,你做一个事情,就是跟踪了,跟踪也好,追踪也好,这是不同两个概念,追踪就是说不管是入侵者对你系统造成破坏,你查找对方所在,你就是一个追踪的过程,跟踪我给你实施应急响应服务,我跟踪这样的情况,我做的情况是不是好,是不是坏,还有一个跟踪的过程,这个事情处理的流程,应急响应是信息安全管理保障体系的重要环节,一,信息安全管理需要有专业的安全应急服务体系支撑,才能保障信息系统业务的点需性和可用性,没有信息安全支撑这样的问题,可能到事情来了你手忙脚乱,信息安全管理,安全月划分,都要考虑应急预案的定制各个刚才各位分析定制各种信息安全管理体制,或者信息安全服务体系,都要考虑一个问题,应急服务。随着客户数据的增加,用战略眼光看待,以前我刚建立这个信息系统,信息系统里的数据很少,发生事件以后,对它的损失也很小,几乎为零,那个时候可以不必考虑,随着你业务的发展,公司的发展,它的数据流量在增加,它的数据价值的东西,都已经转到信息系统来了,那么在这样的情况下,一旦发生事件,怎么办呢?损失可能不是以前为零了,而是可能是很大。所以在用战略的眼光用发展的眼光来看待,应急响应服务体系,它对客户是有价值的,这个价值就体现在为它挽回了损失,避免事态扩大,等等一系列的问题。任何一个企业,都应该了解现实潜在突发事件给他们造成的成本,避免突发事件和发生具备突发事件发生以后,能及时地解决,及时解决能力,所给企业带来潜在的好处,现实中有突发事件造成的损失,没有这个损失,没有这些东西,那这不叫什么突发事件。
对突发事件,会给企业造成欠债,成本的充分意识,能够说明这些预防性的措施,比如可用性管理技术中的备份,冗余的设备了等等。9.11的时候,吃饭都是困难,存储和备份是重要环节。在这之前,这些措施往往被看作什么,不必要的浪费投资,没用,同时还要充分地解决突发事件所需要的各种级别的技术支持,也能够帮助企业建立一个正确的,在第一时间解决问题的目标,在提高一线人员跟相关技术水平上投资增加,把问题看到二线人员,三线人员成本之间找到一个平衡,为企业提供有效的可重复,对一些简单的问题,一线能力投资,这都是要存在的。所以我得到的在本次讨论中,我将得到两个结论,应急响应价值考虑的问题,一我从不同的角度和不同位置来分析迎击相应的价值,第二点,应急响应必须专业的公司来做,没有专业公司如同一个人生病,你不能跑到大街上随便拉个人给你打两针不可能解决问题,你必须到医院要有专业的人,应急响应有专业公司来为你一步一步解决的。由于时间关系今天就讲到这里,谢谢大家。
主持人:感谢徐先生精彩发言,他整个观点主要从他公司和个人在迎击行业里面一些经验和他的一些思考,实际上安全服务本身来说,是一个新生事物,也存在不断被市场接受的一个过程,现在可能就是说大家可能不知道,以前举个个另外方面,我们电脑如果坏了,请同学或者请一些人帮忙,很少想找一个什么公司,现在来讲,就是说我们如果买品牌机,无论你一年服务,还是三年服务,整个来讲对信息服务方面,服务的价值越来越大,安全服务也是这么样一个问题,他讲这个问题的实际就是说价值体现,反过来我要花多少钱来保证我们价值,它这里从很多方面,很多角度对价值意义,包括价值我怎么样去衡量做了很多的思考,所以对整个应急响应以后这种服务这种推广,都是很有价值的探索。
这里的建议就是说在开展网络安全事件的这种影响,它的损失方面分析,或者反过来,应急应多大减少损失,在国际上也专门有这个课题,今后如果能从更加可以量化价值模型方面考虑,也可能对我们整个行业这个发展都会有很大的帮助。另外刚才我们上一个演讲者介绍标准,也有很多价值怎样去衡量损失等等这方面,也有一个公式,风险乘以损失,实际上风险有时候也可以用什么,也可以价值什么是,如果这个东西对比它的价值越高,它的风险越大,可能损失,这些我觉得都可以参考。
另外我们开展一些调查,获得足够的样本,比如对这些数据进行一些统计分析,我觉得对我们正确的评估安全事件的影响性,都有帮助。另外像价值这方面,对我们以后开展像应急响应的质量控制,刚才他实际也提到这个问题,信息安全管理,需要专业安全服务体系支撑,这和我们倡导的,在一些重要行业,广电总局专门来解决,包括搞的试点,这个也是我们非常认同的观点。它是应急组织它在成立过程中,必须向,刚才他谈到,向董事会,其他方面说明,应急响应的价值在哪里,所以对我们整个应急响应的问题以及它的发展都是很好的参考。
下面一位演讲者是亿阳信通的师先生,他演讲的题目是“金财工程网络安全建设实践分享 、共赢”。有请师先生。
师锁松:
刚才听完四位精彩演讲之后,给大家换一个话题,我是亿阳信通的工程师,我做过研发和售前和售后,去年也就是04年我们有幸参加我们公司的建设,售前和售后全程参与,等于全程参与了,今天我想跟大家是讲的是一个项目实践的一个实体,定的题目精彩工程网络建设实践,跟大家做这样一个分享,如果对大家日后工作有帮助的话,本人感到非常的荣幸,今天我讲的题目主要有四个,第一个售前的介绍,我想有的对金财工程不是特别了解,我简单介绍一下,第二个在项目实践过程中,目标的,接下来根据目标有完整的安全解决方案,最后一个结合我们亿阳的防火墙和vpn过程中怎么使用。我主要以亿阳防火墙为例,不是专门推销亿阳的产品。
什么是金财工程,我想下一个严格定义比较困难,我想从以下三个方面给大家捋一下,第一个金财工程有很重要的政治意义,这个从1999年国家已经开始开展这个安全活动检测,那么金财工程作为我们国家12个工程之一,是很重要的组成部分,第二点金财工程不是一年半年能够做完的项目,从99年开始,国家有这个计划,多整个金财工程基本完成需要在08年左右,从网络安全建设和业务的发展来看,可以分为两个阶段,第一个阶段是03年到06年,在这个阶段完成12个核心金财业务的运营,还有90%的网络设备建设,07年08年完成整个系统的最后完善工作,跟我这个项目,跟我今天演讲相关一点,金财网络现状,金财网络简单概括比较庞大,具体三纵四横的体系,第一纵从国家到省一级的网络,从省到地市的二级网络,从地市的网络,从省市到县,每一级,同级的预算单位,包括商业银行的预算,三纵四横的网络,核心业务12个核心业务,介绍到这里大家可以感受金财功能有很重要的政治意义,关系到国家经济安全,第二这么庞大一个网络如何搞网络建设,由于这个网络比较庞大,从金财工程统一指挥,统一规划来看,它以省为单位进行网络建设,所以具体到亿阳进行金财网络建设,安全目标定位,定位以省为单位,这个我说三个主要的,第一个它的核心是以构架一个安全保障体系为目的,也就是我们不仅仅要给金财给客户铺这个设备,做点简单的安全服务,最后金财工程安全网络管理之后,给客户达到全省的安全保障体系,第二个要对各地市也要进行统一规划,包括一些基础网络设备的实施部署,包括相关的管理制度,第三个目标是等于在第二个阶段要完成,对一些灾难,恢复备份这样的功能。
有了这样的目标,那么如何达成这个目标呢,面临这么一个庞大的应用网络,我们做事一般有一个方法论,方法论正确的话,在方法论指导下,才能把事情做成,这个给大家请的是一个安全的功利,什么是安全,业界有很多的叫法,没有绝对的安全,安全是动态的,安全是循序渐进的,大家可以看这句话,我把它念一下可以下如果信息系统中每一个使用者都是经过认证和授权,其操作都是符合规定的,那么不会产生攻击性事故,就能保证整个信息系统的安全,这就不需要任何公理,简单概括有两部分,第一部分把使用信息网络用户认证和授权做到位,第二它的操作也规范了,那么这个信息系统就是安全的。 这个安全公理不知道大家能不能接受,在亿阳采取这样高层的思路,我们在具体解决金财解决方案,以公理为依据,把它稍微细化,整体二级决策方案和策略,第一以内防范为主,做好中央源的控制安全,第二点内外兼施,确保网络通道安全,以内防范为主呢?有两个原因,第一个金财的网络可以从三部分,第一部分核心网设秘,这个我们不能参与,这个本身和互联网 是隔离的,所以以内防范,另外一个原因,据统计70%的攻击都是来自内网络,所以真正安全策略夜以内防范为主,内外兼施,第二内外兼施要注意网络服务器的安全,还有业务服务器。第一个还是建立安全管理制度,安全策略,明确安全管理结构,这讲到三分技术七分管理,管理的安全占到整个安全建设的7成左右,把它放在第一位,在技术方面,主要在边界防护,使用防火墙设备,保证边界的安全,在内网部署,IDS,做纵深型的防御系统。
好了,我们采取了这样的目标,又用这样的解决方案。在实际当中,在做的时候,如果三分技术七分管理,三分技术如果没有运用好,可能这个安全就没法得到保证,我今天给大家举的第一个事例,远程所能控制的一个应用,这个想跟大家交流,就是希望在网络建设方面,不要因为一些小事,或者一些小的疏忽,给网络建设留下一些隐患,第二点针对目前比较流行的VPN系统,我们提出针对一些大型网络的VPN,二级实施模型,第三部分这个是我们亿阳就是亿阳研发中心他们在做产品的时候,一个核心理念,如何把产做好,我们叫做精细化产品服务的概念。我们先来讲第一个例子,就是这个边界控制,讲这个例子,是基于以下几点考虑,第一边界控制,在每个安全按当中都是基本上一个基本的组成元素,在每个方案要提前控制,在早前控制主要是防火墙,大家知道防火墙不能什么都防的,对用户接入部分没法授的,由于VPN市场,去年看赛迪报告,还没有成熟,还没有应用,还不是特别有规模,所以包括我们现场职工如何使用VPN,和如何使用防火墙他们水平不一样,所以到成边界防控是否有效,大家看这张图,VPN和防火墙联合使用的好处,使用VPN只有经过VPN隧道认证,安全认证,才能进入防火墙,进而进入我们内网,大大提高整个系统的安全性。目前在远程访问有边界控制防火墙已经使用,一般有三种接法,这种接法,在防火墙后端放上VPN网关,这种叫内网接法,第二种跟这种相反,路由器直接进来,直接到防火墙外口,第三种接到防火墙内口,如果大家做过网络安全项目,这三种方式是经常见到的,据我们方案来看,VPN接到防火墙内口,有没有安全隐患,答案应该有的,为什么?远程客户端接到内口,数据直接进入内网,如果这些数据有一些危险的代码,或者危险非法操作,攻击到我们业务服务器,一般采用这种方法,没这方面的经验,第二在某种程度上实施比较简单方便,就用了,这种方法一般不要采用,风险太大,第二种方案放在VPN放在内口,防火墙进行防护,这个风险可以基本消除掉,最理想就是说把VPN接到防火墙内口,放在外口,有可能被黑客攻击掉,如果有钱的话,在VPN内口和外口分别加上防火墙,这也可以。
我想这个例子实际上就是希望包括客户包括我们这些做安全的,虽然我们理论很好,但是一定要跟实际相结合,下面我讲第二个VPN。VPN从经验来看,基本算已经成熟了,它的VPN系统,在全国比较大的,等于遍布全国的,那么我们在具体实施的时候,发现有这个问题,以前VPN都是单级系统,比如拿湖北省媒介来讲,如果湖北省金财不属于VPN系统来算,整个VPN管理放在使用中心,包括策略访问都放在使用中心来做,使用中心一般没有这种能力,他要专人来做,本身他们二级管理,他们希望管自己的一片用户,包括VPN访问权限,实际我们在金财按照两级规划,给金财部署VPN系统,比如说在有的地方,我是武汉的,那么我直接回到武汉之后,我们直接访问我们省服务器,这些也是VPN概念一个拓延,现在在金财也用到,这个VPN厂家以前很少做到这一点。
最后来看一下就是亿阳研发中心他们的产品研发理念,叫精细化产品服务概念,这个产品服务,这个服务不是售后服务,或者产品售前讲演,也不是,是我们提供安全服务。产品服务可以这么理解,比如说我们把这个产品卖给客户了,到客户手里之后,在客户眼里,产品不是产品,是服务,只是我们工程师没有到现场去,产品服务是一种动态性的,比如这么解释一下,比如用户使用,用户开始购买VPN之后,随着网络的应用,它的需求可能有所变化,它提出需求之后,当重点产品还能不能满足客户的需要,如果不能不能满足,需要把这个产品升级,打包,或者做处理,如果这样做,不叫产品服务,我们说产品服务比如这个客户想,所有的VPN客户,全是动态,我不希望这样,我希望把某些用户绑死,比如科长只能用这个VIP,能不能这样做,如果VPN具备这样的功能,我们满足产品服务,如果再做开发,就不是我们这一批的产品服务,就是这个意思,比如在研发阶段,全面考虑,包括软件升级全新的考虑,然后精细解释一下,精细是两个概念,精指的精品化,细就是细致入微的服务,这个可以引用古代战国的孙吴,他叫正兵赢敌,齐兵取胜,比如做VNP具备国际的某些标准,防护手段,是基本的条件,只是这个产品可能具备到市场作为正病赢敌的概念,比如客人用了两年三年,继续用我们的产品,把那个细,细致入微的服务,比如手机,大家买手机,只要手机能通话,好一点能有调频,再好有摄像头,可能考虑买进来,使用一段时间,手机丢了,我会不会买这个产品,比如客户用了几年,又想用这个功能,又能用,这样的客户是比较少的我举行个例子,我去年在湖南做项目,我的手机丢了,我用了诺基亚的手机,回来我又买诺基亚手机,因为诺基亚的手机不怕摔,有的手机一掉在地上容易坏,细致入微主要指的这层含义。反正做这个产品的厂商,希望自己的产品在市场上占有份额最大,然后客户最容易接受,最好当然给公司带来更大的利润,基本上都抱着这样的目的,亿阳集多年产品研发经验,以精细化服务的产品的概念,作为研发应用体系,这一块讲出来,只是想跟大家分享一下,我回到我这个主题,就是分享共享。
好,我的演讲就到这里,谢谢大家。
主持人:
感谢师锁松先生,他这里用一个很实际的例子,介绍我们在实际金财工程,也是我们国家大力倡导的电子商务,电子政务这方面很重要的一个应用方面,我想他这里已经开始,考虑到,不像我们以前系统已经建好了,然后再考虑安全问题,这个实际由我们现在安全问题认识一个很大的进步。
我们下面有请北京敏讯科技有限公司郑海明先生介绍一下,主题是EQManager新一代“行为识别”技术反垃圾邮件解决方案。
郑海明:
我看大家下午都困了,我到这里节杀一些简单使用的东西,另外有机会和大家交朋友,如果对我们的方案有兴趣,可以家家合作。
我们公司是2002年1月份成立的,主要我们清华的几个同学,研究的是2002年的时候,我们发现垃圾邮件增长的速度非常快,大概每5个月,就翻一番,当时在北大校园网已经检测到这样一个趋势,所以介入这块也是比较早,2002年第一套反垃圾系统上线北大校园网,这是关于垃圾的一些数字,最新的调查报告显示2005年垃圾造成的损失是500亿美元,反垃圾邮件这个产品市场包括一些服务的市场,包括我们很多电信数据稿,都处于不可用的状态,包括北京电信的信箱我们测试发现它的垃圾达到99%以上,也就是一百封信里面有一封信可能有用的,预测就是说2008年的时候,全球的反垃圾邮件市场将达到17亿美元这样的规模,平均每一个,最终用户端的划分,132美元,这当然国外的数据,在中国可能132人民币已经很不错了。这是垃圾邮件在企业这块几乎占到60%,我们一些大的客户像用友集团,在使用过程中,我们发现它的垃圾基本上肯定是在60%70%以上,这是肯定的。这是一个增长的速度。
邮件安全网关这个市场,对自己的企业,邮件服务器不是上不上的问题,肯定要上这个产品,只不过上的是哪一家的产品,我是这么理解这个问题的。我们EQManager邮件网关,跟E—meil相关的,我们有反垃圾引擎,还有病毒过滤,还有敏感信息的检查和过滤,这四个重要的环节,这里面讲一下反垃圾这项技术的一些严禁,最早的反垃圾邮件,列表的一些思想,比如IP列表,黑名单列表,或者其他一些列表,列表这些思维,在某种程度上已经不使用于现在的这种情况,第二个我们总结了一下,基本上打分机制,或者自学习,基本上属于内容平分的一种归类,这在国外这个是非常重要的,因为国外的法律规定,不可以随便一个安全设备随便把用户的信删掉,最多把这封平分一下,可能是色情的信给它打上分,可能是垃圾邮件多少分,给它送下去,这种情况在国内用户不是很认可,国内说首先我挺烦的有的发展给HP的人说你给我们发信都是99%,你是就是,不是就不是,国内不是这样,所以我们讲我们这边行为识别一个动态的技术,传统的内容过滤全世界我们基本上看到所有的反垃圾基本上规则入库,这样资源小,豁达,我们中国社会科学研究院是我们重要的客户,社科院老师说,你这个东西说法轮功,一定是法轮功,它不一定的,我们社科院专门有这个研究所,它研究这些方面的东西,他也许跟台湾某些机构相互交流法轮功怎么回事,可是被拦下来了,这个实际效果是有问题的。
这里面实际上有一个理念上的转变,就是反垃圾邮件这个技术关键是内容过滤它并不等于反垃圾邮件,反垃圾邮件有它核心的技术,关键过滤,比尔盖茨早就搞点,我比尔盖茨有的是钱,不会有什么难题,如果按照这个思路来理解,SMTP早有很强大的反垃圾功能,为什么现在微软需要收购第三方的公司做反垃圾,说明它里面还有一些核心的技术需要克服。这里面有理念上的转变,一种被动的,一种过滤的方法,就是到一种主动式的防御,现在都在强调主动防御的理念,以前大家的关注点,反垃圾邮件说,领导说收下一封信,很明显这封信都是在发广告,实际上看到表面,这封信到达邮件服务之前发生什么,领导并不知道,只是看到这封信到了,他看见这封信内容了,这个是有问题,关注点,我们的关注点都是在服务器这一块,就是在服务器这一带,受到这封信之前,或者在接受的过程之中,有些什么通用机制上的一些特征点,可以抽取,等于把特征点的范围,特征点的范围,作为简单的内容,邮件内容扩大,扩大到E—mail完整通讯过程来分析,这样来检测它的垃圾邮件的特征,这个比较好。还有这样主动防御,实际上我们对160K一个邮件,基本上我们只要看到4到8K已经对它做一个准确的判断,说这是带有一个恶意行为的邮件,今天上午思科讲它的网络安全,我特别关注一点,它的安全设备里面提到行为识别的技术,就是行为上,怎么从行为上判别它网络设备产生安全隐患问题,实际上就是说行为识别技术,无论从Winds,还有SPTO包里也有这个识别能力,我们这个反垃圾识别,如果在美国的话,我觉得这个技术应该很值钱的,在国内的话,现在听得懂的人,反正都是专业人士,一般人都不太明白怎么回事。它可以做到边接收,边判断边处理,这封信4到8K就可以。
我们行为识别就是说,你比如IDS也好,其实关注点都在入侵的行为上,这一点是非常重要的,关于IDS相关的概念,或者一些做法,比如遇到反垃圾邮件技术的研究,或者采用其他的数据模型。我们总结出来就是说垃圾邮件实际上归根到底,是一个数学模型,就是一个统计学的概念,垃圾邮件实际上是统计学的概念,比如99%的垃圾邮件具备这样的群发的特征,或者98%的垃圾邮件具备不断变化IDS的特征点,其实每个有点都有一个比例,所有的比例构成数学模型,我们觉得垃圾邮件不断变化IP地质,这里面首先两个步骤,一个特特征点选取,比如我选了80个特征点,这80个特征点垃圾邮件一般都是怎么个打分,实际上你还是有变化的,只不过把这个思想移到这个过程当中,不是仅仅关注到内容上。
政策一封外来的邮件,成为一种模型的技术,去替代原来的一种,列表和数据库这种技术,我觉得列表和数据库的技术是比较死板,就是说没有什么智能可言,这种反垃圾系统连高中生都能编得出来,不要什么问题,只要通过一个数学模型识别垃圾邮件,它的处理速度达到非常高的程度。正常的邮件它完全穿透这个模型,逻辑邮件会掉下来,识别垃圾邮件和正常邮件效率比较高,我们在北京电信每天处理5000万,这个速度相当可观。
刚才说到空中截击的技术,边判断边处理,有的客户你如果误判了怎么办,我们特别强调误判怎么补救的措施,其实任何反垃圾都有误判,所谓拦截率80%也好,90%也好,不重要,80%也好也能拦垃圾邮件,多拦几封少拦几封不重要,关键不能产生误判,误判率很重要,第一重要的指标,好多市场非常乱,怎么有效降低误判率,这个不太一样。我们在设计的时候,设计的时候对垃圾邮件区分度远远高于本身,所谓行为识别网关它的判断准确率非常高,误判率很低,我们在用友集团用了两年,基本上我们觉得对商业企业应用应该问题不大。
还有一个就是说如果产生,偶尔产生一个误判,我们网关一定要给对方发一个明确的信号,我拒绝你,我拒绝你,对方收信人得到一封退信,我给他打电话,怎么老张你们单位服务器有问题,我给你们发邮件发不过去,这个不耽误事,这种情况不会耽误事,另外一种情况,有的客户把所有的信收下来,放在队列里,对用户定期或者很快的发报告,你自己可以来选择,我今天有一百封信可能这个垃圾邮件队列里等着,或者需要什么报告,都放心最后多判少判我们这里都有。
最后识别这个技术,现在恶意的攻击对E—mail形成恶意攻击,不是杂乱无章的,有明确目标的,比如我今天对清华大学服务器发动攻击,一攻击是500个IP同时进行攻击是这种情况,像这种情况下,如果传统方法,第一个IP遭到攻击,清华大学管理员发现有人攻击我的服务器,我加在防火墙,剩下的立马也弄到防火墙上,中间出现人工干预,我们IPS判断出来,我迅速阻断对方的IP,这样一分钟把500个IP全部阻断,中间管理根本不知道发生什么,这是非常使用的技术。
这是一个效果,基本上在95%以上,高度在99%。这个杀毒引擎我不介绍,杀毒是专业的,是第三方引擎,没有什么介绍的地方,邮件病毒,我们采用的英国杀毒软件,这是我们产品截面,这是大致统计的情况,这是一个月的效果图,某一个企业,像后面几天受到攻击每天流量不超过10万次,真正有用的邮件也就是2%,受到攻击的时候,它整个从信号选择角度,它的波形过滤的效果非常好,外面的波形噪音都被滤掉,剩下都是非常干净整齐的邮件通讯。这是网关前和网管后前后时期的效果,这个什么新闻突破,强烈推进,都没有法轮功三个字,也许它是图片更没法过滤,我们基本不能采用这种方法被动过滤邮件,邮件过滤这个概念说得不对,说过滤让人想到关键词的方法,其实这种方法并不是很好。这是我们公安部2004年推荐的产品,这是我们目前也是做一些像千龙新闻网这些,像中国网,客户也是比较多的,像教育行业一些龙头的一些学校也都主要都是我们的客户。我今天来一个很重要的一个目的就是说希望能够跟在座的各位,对这个有兴趣的人大家交换一下名片,然后我们公司有很好的产品,但是我们公司销售人员非常少,算上我可能两三个,所以我一直在着急怎么样才能让我们的产品能够通过各种合适的渠道,传达到消费者的手里,或者有一个比较好的,我们的合作伙伴这块,也是比较欠缺的,我本人原来做技术的,跟销售,做销售也就是两年,这块没有什么经验。
谢谢大家。
主持人:感谢郑海明的精彩介绍。
网络邮件是现在比较特殊的问题,如果把它和我们刚才说的CIN模型,垃圾邮件确实造成非常大的影响,所以我们一些正常应用的机器都造成一些影响。垃圾邮件从一个角度来讲,它对我们互联网形成安全问题,从安全应急,垃圾邮件是安全问题的一种反映,现在国际上很多人对垃圾邮件进行更深入的研究,除了在反垃圾邮件这种客户端,和网端,更重要找垃圾邮件销售的土壤,刚才我们讲的江苏网络,还有很多病毒,它里面有病毒,实际上自己里面带着垃圾邮件,所以它本身对反垃圾邮件,它实际也是我们整个网络安全面临着很大的问题。
下面就是我们今天下午抽奖的环节。请几位嘉宾来到台上,大家有什么问题,可以再进行一下互动性的交流。今天这几位都是我们在网络安全服务标准以及技术方面,有实践经验和理论方面的专家,大家看有什么问题,可以和我们专家一起来沟通一下。
(提问部分)
提问1:第一个问题,机密性、完整性、可用性,为什么这三个专门给提出来,为什么提出这三个方面?
第二个问题,怎么保证调查报告的准确性?像上次安全会议,最后统计的问题不具有代表性。
第三个问题就是对病毒垃圾邮件,是不是通过PTA技术解决,任何代码,通过代码签名的技术来保护,不经过代码签名都认为它有问题,必须要经过签名,这方面有没有什么好的?
回答1:
我先说一下,关于提到第一个问题,CIA的问题,客户介绍会谈到,安全的发展经历几个过程,比如保密过程,保护过程,以及保障的过程,可能有点学者的眼光角度,实际上它是有差别的,比如在二战期间,报文加密是保密性,后来发展所谓CIA,完整性可能性,保密性,三个并重,发展到现在我们国家4月1号经过电子签名法,电子签名也是有效的,也是因为电子安全发展,可追诉性,不可否认性,到了第三个阶段到了保障的阶段,不仅仅CIA,不能说它老了,有一些新的需求在不断产生。
第二个调查的准备性,我当时也问过Sir,比如他采量怎么获取,好多用户都存在问题,我不是很了解,当时Sir给我回答,他们有他们采纳的方法,关于你提到第三个问题,我们安全性和可用性的差别,其实我们都可以用PTA技术,包括免费的邮件都可以签入相关的PIA,我当年维护电信的,那个应用之一就是安全邮件发证书,但是如果你使用这种东西,好多人对安全并不了解,可能它的机密性能保证,所以我认为并不代表解决垃圾邮件不是一定用PTA,或者加密技术能够实现。
回答2:
我把第一个问题稍微解释一下,CIA,我们在79出这个标准的时候,它专门有这个标准,就是在7799设计的管理概念,它主要澄清一些思路,让大家比较统一,实际你说CIA有什么科学性,我想举个例子,大家知道在这几年出麦肯锡咨询的书非常多,有一本麦肯锡的方法,它讲描述一个问题,你只要从三个方面来描述,就足够了,如果你用四个或五个,第一个会有重叠的地方,第二个可能就会有不相关的地方,这个,这个概念,7799专门有这个概念,不是拍脑袋拍出来,很多人坐到一起讨论这个标准,为什么举三个,目前具体的意图不是很清楚,第一个你来看,第一机密性,首先这个信息不能够让不应该获得的人获得它,这是一个,另外一方面,应该获得的人应该获得这个信息,这是两个方面,这两个不可相融的,应该获得的人,获得这个信息,他能获得,第二个这个信息本身是完整的。这个定义在标准上比较完整的,我从几个方面理解一下,实际上很多人考虑,不是每个人拍脑袋想出的问题,如果你愿意去看,很多标准出台之前,特别管理标准,管理标准很难出标准,技术标准好出,为什么?大家在技术方面比较好统一,但是要统一大家一些管理,比如现在卖的最好的ISO9000,87年的标准,这个标准一出来到现在卖得最好,比技术标准卖得好,为什么呢?为什么能把标准给统一,实际上它统一的是一些基本原则,所以这些标准想让它共同采用,要采用合理的标准和原则,这个我不是说的很好,如果不满意的话,你们可以再问,谢谢。
回答3:
我对刚才这位先生提到的这个数据调查和分析的时候,能不能完全真实得到我最后调查的结果,这个问题我谈一下自己的一些建议,因为我们单独抛开安全这个事情,实际上我们做任何调查的时候,都会出这个问题,比如我调查哪种牙膏大家用起来最合适,大家喜欢看哪个书,有三个地方值得注意,第一我的目标人群是什么,第二我设计的调查问卷和选项怎么样,是不是比较充分,是不是已经涵盖所有的问题,再一个用户反馈是不是比较真实,是不是我收集所有的人的结果,实际上作为这种数据的收集和调查来说,你说12和13,和15有什么区别吗?实际上在大的方向上没有太多的区别,这种用户调查,实际上它有一个相对性,就是我比较同类,或者相近一些因素,他们之间比较方式有多少,比如说我调查高路洁,中华牙膏,大家接受程度哪个怎么样,中华牙膏我收上来100个,另一个110,我反映哪一种程度更容易接受,我们安全评估也涉及数据收集和数据分析,实际上作为两个方面,第一个和用户确定我调查的问卷是不是合理,第二我对反馈的结果是不是真实反映原来情况,和大的趋势和动态分布上,是不是反映当前一个现状,只有通过这种概率一个思想体现这种调查的范围,实际上具体这种安全标高的一个解释,我觉得张博士可能更清楚一些。
主持人:我为了节省时间,简单说一下,CIA搞这个网络调查,是第一次,所以这里面肯定有不尽人意的地方,我们这次调查也是和社会调查公司去合作搞的这么一次调查,当然我们全程参与调查全过程,当然任何调查都是十全十美的,因为我们全国现在有近亿的互联网用户,有那么多的企业,所以说我们想完全通过一个调查,能够得到一个真正就是完全反映状况的也是很难的,另外一个从调查本身来讲,它的方法很多的,我不知道刚才大家记没记住那个例子,VISS,李先生介绍的,收取麦当劳那个数据,那实际上也是一种调查方法,所以从调查数据靠方法方案来保证的,不能说有的可能就是说,肯定存在主观因素,如果刚才你提那个问题,怎么保证每个人提供数据最后准确,如果麦当劳为了那个什么,知道这个,它在里面做一些手脚,它也会干扰最后统计这个数据,所以这个问题可能大家还有更多的问题。下面看看还有吗?
提问2:我想问一下李宝华先生,刚才李宝华先生说,BS7799是静态的标准,所以他强调BS7799和IS900相结合,形成一个服务体系,刚才李先生在的演讲中也提到,从你们两个的观点来说,是一个矛盾,两位来讲一讲这个观点怎么来解决?
第二个问题想问一下,在企业组织中,CSO和CIO是什么关系,信息安全执行官和IP服务CIO是一个什么样的关系,因为两个方面是一个非常紧密相关联的,他们之间是什么样 的关闭?
李宝华:我先做一个简单回答,这样我做一个简单的纠正,如果跟ISO9000相比较,BS7799应该是一个静态的东西,比如用户买了惠普V6,花了几百万没有人用,我现在接触很多大客户,比如移动总部,或者很多省,他们都是国内的开发商,用了一些国外的,做一些二次开发,使得这些东西,本来这些产品已经符合了流程,加一些定制化的东西,使得整个流程能做起来,我们认为(嫂特)用在那儿,跟整个企业管理体系相结合,这样ISO900还是流程,但是ISO900相对通用性的,最佳实践化,那么这种东西我们感觉在安全层面欠缺,我们BS7799来补充,这样用BS7799和(ISO)结合,形成风险为核心的角度。这是第一个问题。
第二个你说CSO和CIO的差别,我感觉这样,像很多企业谈到有网管,最后造成的结果,用网管人员管安全,这相当于说,额外人加了工作,不一定付薪水,他是我接受,同时他有知识有能力来处理这些问题,你是否对他做相关的培训,所以一个企业安全组织管理,应该分体系,不应该说个别的一两个人来解决所有的安全问题,像李先生讲,不要指说那个小安全问题,CSO,也许有CSO,也许没有CSO都应该解决安全问题,就像前面列到服务一个故障受理流程,前面有一些电话,有系统管理人员,有安全专家支持,是这样一套体系,可能前面人比较多,后面的人越来越少,形成这样一个体系,至于说CSO和CIO他们之间的关系问题,很多企业已经设置,像移动,想电信,网通设置专职安全人员,他们面临跟原来信息化的关系,从我们的考虑来讲,应该说我们通过一些流程化的东西,制定一定的策略明确,明确这些人的责权,通过这套体系运用,纷纷用到这份体系来,把他们职责和权限界定。
回答2:
我们两个不太一样的地方,首先这个问题问得非常好,我建议你有审核员的目标,审核员有敏锐性,第一个李宝华和我讲的出发点不太一样,我只是从我这个地方理解,因为很多概念,你说静或者动,我们两个人的出发点不太一样,我这个侧重一个公司做好体系,是不断改善的过程,这是我们核心理念,叫持续改善,否则我们不会要求每年来审计,公司也不会每年来审计,可能我这个动在这块,跟我们宝华先生谈的另外一个概念,另外一个关于CSO和CIO到底有什么区别,起的作用什么样的,我觉得这只是一个头衔问题,我相信在每个公司都有做信息工作的人员,比如像VSI,只有一个网管人员,但是我们到中心,它不叫CSO,不叫CIO,叫安全部长可能大家叫做法不一样,在公司信息管理起的作用都是一样的,举行个简单例子,原来我们信息安全,做部门职能部门,什么叫职能部门,买个电脑,采购,安全部长批一下,比如搞EIP,你安全部叫信息部主管验收一下,现在更多侧重在一个功能上的,将来我相信随着管理体系的发展,我们这个安全,叫信息安全库,CSO这个部门也好,整个公司流程部分,就是它的职能已经在整个从客户的需求到你产品加工,到最后把产品给客户,整个过程一个环节,就比如说我们人事部HI,比如CHO,比如部门有质量部,它是整个流程一个支持系统,不仅仅批个字签个名,或者采购一个东西,可能将来大家每个部门的职责都是在整个主流厂商一个职能,所以我觉你也不要管它叫做CSO,CIO,以后可能叫别的O很难讲,可能职责上是一样的。
主持人:这个问题以后可能有不少问题,因为我听说国外有很多机构叫CASO这个职责。
提问3:我先问一个问题,网络在中国发展应该比较快,网络安全技术在中国发展我觉得更快,而且更热,这两年和前两年相比,以前安全从技术转化成管理,我觉得在中国目前企业应该非常非常多,实际上据我们了解,经过BST认证的企业在中国刚刚10家左右的企业,ISO9000这样的企业在中国遍地开花,到处都有,它是非常好的,是国外最佳实践,在中国为什么推广这么困难,多么多安全企业,你们公司都没有进行BS认证,培训的人非常多,非常热,实际企业认证非常冷,你作为BS,中国一个总裁,你们觉得这方面的工作它的超巨怎么造成的,如何去作为你们来说,如何在中国推广这个标准谢谢。
回答1:
首先非常感谢你给我升了一级,我不是总裁,你这个问题比较难回答,你说国内现在大概有10家,可能不止10家,现在,因为我们从我们公司来看,从全球来看,它有一个趋势,在全球现在1200家,但是要特别注意,一旦这些东西别人搞起来,一般走的最火,走的最开就是在砚台,在中国,我相信这是时间问题,举个简单例子,像现在推环保安全。现在我们叫质量方面9000,推行人生安全健康方面的,做环保的做社会承诺,其实最早推出来在美国,但是做的最早的是欧洲,比如现在大气就是二氧化碳排放 的公约,美国没有参加,但是最后经过俄罗斯一份力,这个就批准了,这就是一个趋势,但是我们亚太这些国家,包括中国,只要看上这个,走的最快,1万4,1万8,国外做了很长时间,但是都没有做认证,在我们国内做这种东西做的非常快,往往是非常大的增长点,这只是时间问题,具体为什么不做,我回答不了这个问题,我相信现在有些国家,有很大的推动力,现在我们有几家客户,比如说华为的我们做了1万8,还有中兴做了培训,他们为什么做?他们现在走国际化,国际化它们有很大的压力,到欧洲和美国打市场,有些客户会有一些要求,就是说不是你做不做的问题,它有外国的问题,它有需求,不代表所有人的需求,有的公司觉得拿的证书好看,我卖产品好卖,还有一个职业的需要,比如你对这个很感兴趣,你把这个市场做起来,现在目前在台湾是这样的,一听说你7799,啊呀我出去这个门槛,马上比别人多挣20的工资,我干吗不干,所以这只是需求,我只是举个例子,不代表别的企业一些观点,但是花钱花精力是比较多的谢谢。
提问4:我是来自北京教委信息中心,第一个问题想请教郑海明总裁,因为你做的反垃圾邮件,我想你们反垃圾邮件里面怎么处理群发技术,我们做邮件系统的厂商,会提供群发展的功能,这样相对应的垃圾邮件技术,可以设空的邮件地址来判别是否是垃圾邮件,因为我们在教学当中,特别老师给学生群发用这个功能,而一些技术方面有矛盾,我想看你这个观点怎么处理的,这是第一个问题。
第二个问题,我想请教一下师锁松工程师,因为你讲金财工程的时候提到这个案例,你们有没有用金财工程刷IC卡的应用,因为我们现在学生学习管理方面,我们开始用学生IC卡来处理交通,还有学级考试交学费等等问题,我们想看对卡的防伪,安全技术能不能分享经验。两位,谢谢。
郑海明:
我来回答这个问题,几乎所有的涉及反逻辑邮件,做邮件营销碰到群发的问题,还有速度的问题,这是垃圾邮件群发都会涉及这个问题,我们这边做法是多指标的反垃圾的模型,这里面重复一下,什么叫多指标?就是它不像不知道大家注意没有注意到,新郎网也做反垃圾这个措施,你发现就是说某个IP,每天发超过一千封信它把你封,你一分钟给我发多少,我封了,或者IP群发发了很多把你封了,这是单指标模型,某一个值超过什么,我判断它攻击我的法轮功,或者什么,攻击我,我的数学模型刚才说过80个指标,80个指标打分,如果群发速度特别快,我最多认为有反垃圾的迹象,或者高度疑似,这有点像发烧,发烧是非典的特征,但是发烧不一定是非典,可以认为它高度疑似。就是说处理这个数学模型,构成这个模型的时候,它应该有非常多的特征指标的,就是某一个特征点,不应该成为一个穿透这个模型的障碍,不知道我有没有技术清楚这一点。它是多指标模型,像用我们的那个模型不会存在这种问题,你给我发很多信我不用你发垃圾件,我认为这个挺可疑的。
师锁松:
刚才这位先生问问题非常遗憾,金财用的基于DP接口的小硬盘,所以可能不能满足你刚才提的IC卡的需求,只用身份认证,没有现金管理。
提问5:业界怎么定义垃圾邮件,99%的广告都没有用,比如我今天正好买一个冰箱,冰箱广告对我有用的,它就不能当垃圾邮件,实际上我们使用好多,使用4、5家厂家垃圾邮件,很多过滤到正常邮件,从我们这儿来说,我们收到了,我们给用户过滤,提供有用的邮件非常难,另外刚才也说,群发这个事,很多厂商给他的客户可能发了类似这种邮件,他也群发的,我碰到邮件,就是把我好多比如在杂志上定的杂志,它给过滤掉,是不是基于群发的标准来判定的,然后过滤掉?
回答1:非常感谢你有这个兴趣,就是说广东我们分垃圾邮件,首先垃圾邮件的定义,互联网协议有一个定义,不知道大家有没有注意到,不请自来的,还有虚假信息的,还有一些动作比较异常,反正总之我看过,里面并没有定义说,里面超级惊喜,特价增送,它没有定义内容,它定义就是动作,或者一个源头,或者说一个虚假的信息,比方说来往,实际上垃圾的定义,我觉得只能从这个角度定义,不能因为这封信里面有什么东西,它就是垃圾邮件。所以我打个比方,你在搜狐信箱比如我收到一封垃圾邮件,在我们网上看到,这是垃圾邮件,但是如果搜狐这个人非常感兴趣,他把这封信原封不动专发给新浪一个朋友,如果用我们思想判断,后一个人收到的不是垃圾邮件,很简单,就是我们不管这封信里面写的是什么,我认为从搜狐发到新浪是正常的,没有什么异常,后一个人收到的不是垃圾邮件,第一个人很可能判断的是垃圾邮件。我们认为不请自来的这些都是垃圾邮件,我们对这个管理可以系列度的管理,比如这个人就喜欢垃圾邮件,这个人什么都不拦,这个人等级特别低拦的,其他的人可以等级严格,它能够个性化到每一个用户,这样来解决的,如果说你的等级比较低的情况下,这样你什么信都能进去,基本上是这样的,可以不同的管理,人性化,靠人性化,个性化的管理来达到这个区分,提供更好的服务,这样的。
主持人:时间关系我们现在有最后一个提问的机会,看哪位?如果大家没问题,我问一个问题。我对应急响应攻击事件,被人攻击,或者攻击别人,在这个标准是不是有这个部分?
李晴昊:大家有没有去看过标准,标准是两个,一个是杠一,一个杠二,是标准原则,杠一,它把它放在DCM一部分,它只会有一些指导性的原则,不会讲具体用什么技术的方法,比如它说你应急响应,第一你要有应急响应的团队,第二你对应急响应要制定一些计划,这个计划要涉及步骤,但是具体说,应急我会怎么去操作,具体一般会碰到什么?在局部的比如火灾,或者是一些大的攻击事件,如果比较大的话可能一些灾害,比如咱们前一段海啸,大的事情不可预见,它可能放在局部的小的可供的,提供一些原则,但是不会讲很具体的一些具体措施,为什么不讲具体措施,如果它很规定具体措施,大家都会去做,这样实际不可行的,为什么还要推标准,它推的动态的PDC的体系,还有风险管控从头到尾的机制,还有内控的管理方式纠正,有很多具体的细节,针对不同企业,比如大的企业复杂一点,对小的企业简单一点,它起到这么一个作用,以后有机会的话,可以把标准列出来大家分享一下,就能知道。谢谢。
主持人:
以热烈的掌声感谢几位嘉宾精彩的发言。
下面进行抽奖。