主持人:各位朋友大家好,欢迎您收看《CIO百家讲坛》,本期我们讨论的话题是企业信息安全建设,非常有幸请到了两位业内的资深人士,请两位先跟网友打个招呼。
邵江宁:大家好,我是来自摩托罗拉的邵江宁,我在摩托罗拉负责亚太地区的信息安全业务连续性,企业的危机管理还有IT的灾备这一块儿,我在摩托罗拉差不多有十年的工作经验。
余磊:大家好,我叫余磊,来自IBM服务部,我这两年是负责IBM在大众化区的安全事业部,我在IBM有11年的工作经验,一直在IBM服务,为中国用户提供各种各样的服务。
主持人:非常欢迎两位嘉宾的到来,今天我们讨论的话题是关余企业信息安全建设这一块儿,首先呢,我想有一个小的问题,就是从我们跟CIO所接触的这个过程来看,我个人感觉信息安全是一个有起点没有终点的长期的历程,我不知道这个观点对不对,想请两位简单地概括一下。
余磊:请邵经理讲一下吧,邵经理是最有经验的。
邵江宁:也不见得我最有经验,我觉得确实是,从信息安全这一块儿,它的总体的发展确实是一个挺长的一个时间,那么大家可以回忆一下,从IT的硬件软件发展历史上来说,什么时候出现了电脑,什么时候出现了互联网,这个时间是挺长的,那么安全呢,确实是尤其是信息安全是伴随着这个IT日新月异的发展,发展起来的,从IT的发展过程中产生的各种各样的安全问题,那么逐渐就是安全从IT日常的管理工作中逐渐分化出来,成为一个被一定专业性或者是专业职责的这么一个新的工作,可能回过头来看,在80年代末,这个大多数的安全工作的人员还是一个IT系统的管理人员,或者是IT的管理人员,进入90年代以后,随着互联网的日益的高速的发展,大家逐渐看到很多的人在自己的这个名片上印有IT这个安全管理人员,这样一个头衔,那么进入2000年以后呢,尤其是这个.COM时代,安全成为电子商务时代的一个头号的,最重要的一个挑战,那么安全呢,逐渐越来越重要,那么大家也看到就是说很多的公司,都设了很高的安全管理职位,Chief Information Security Officer-首席信息安全官,甚至提到Chief Information Security Officer这里面有一个很重要的工作,那么可能摩托跟很多的公司也类似,我们的发展历程也是这样的,也是从这个,这IT的逐渐发展,随着信息化的逐渐普及,完全变成了一个很中大的风险,我们逐渐有了安全专门的一个团队,也有安全的一个组织,也有安全的,比较公司比较资深比较高级的这样一个管理人员来管理这一块儿。
主持人:那从您这一边,IBM供应商这边,用户现在发生的情况是从兼职人员到专职人员然后到团队管理,然后上升到CSO这个级别,IBM也是基本上从安全产品软件硬件一直上升到服务,您是不是也感受到了这种变化?
余磊:最开始的时候,都是指的单机版,游戏端等等都是独立的,那时候我记得我们刚进公司的时候,我们接受最大的一个培训就是你不可以把你的分数盘插在机器里,因为那个公司里有检查人员,一查,你这里如果有一个盘在机器里,你却不在机器边上,算安全事故,那是最早管理公司的时候,很快,IBM提出电子商务时代,或者说我们后来的叫互联网时代,这时候我们就出现了很多很多新的技术,包括防病毒,随着一些职业的黑客,业余黑客和职业黑客的发展,就把这个安全的事情越来越变的更重要了,那我们这个IBM包括我们收购合并的一些公司,他们的发展经历也是这样的,从最开始解决这个问题,做一些数据采集呀,做一些数据防护呀,做一些产品啊,逐渐到开始推出运营服务,帮助客户来做整体的运营支撑服务,包括从客户这高层的安全咨询服务,这一块儿随着国外的,包括国内的政策提出来,国外的,而且国内的等等,而且已经上升到国家的安全政策的高度,去看信息安全的这个重要性,这种情况下呢,我们包括我们的用户端,包括我们自己推出来的东西,要求的东西跟之前是截然不同。
主持人:刚才两位嘉宾其实在谈的过程中,我觉得有四个要素人、流程、软件和硬件,我觉得可能这个人这个要素都是非常重要的,从个人到团队,所以呢我想请教一下邵经理这边,就是在这个团队建设过程中,我们发展经历了怎样的一个历程,从单人到多人,到整个团队,甚至说这个集团我不知道可能是不是各集团公司有一个数据采集的任务以及来负责这一块儿,在这个过程中是怎么过渡过来的,另外,从人少到人多这个过程,还有一个是从国内到国外的相互协调,团队之间的协调配合的过程。
邵江宁:我觉得刚才一个总结的非常好,那么我们确实,有这么四个要素的一个互动,那么企业的这个安全团队的建设呢,确实也是,随着这个行业的发展,随着风险的变化,随着技术的进步,逐渐又延伸着,最早的时候,可能公司内部你要提安全人员的话,尤其是在IT安全人员这一块儿,它可能就是一个普通的管理员的角色,那他会在日常的普通的系统,系统普通管理的过程中呢,会关注一部分安全的要素,比如说系统的一些基本的安全的参数的设定,还有系统的一些比如审计或者是监管,还有偶发性的一些安全事件这些小反应,那么是一个人身上有安全的这个,安全的责任在他身上,但是他总体上来说还是一个IT的普通的运营和管理的这么一个人员,那么他还不是一个专业的安全管理工作,那么后面也发现就是说,随着互联网技术的发展,网络技术的发展,我们在这个网络时代,面临着越来越多的安全挑战,首先第一个出来的比较大的一个挑战,到今天还没有能够完全攻克的一件事情,一个危险就是病毒,从最初的单机版的病毒,比如说通过一些media-存储媒体,比如说最常见的是软盘,软驱,那么到后面网络时代,通过网络版的一些逐渐的这个不同的网络运营程序而蔓延出来的,通过电子邮件,蔓延出来的,通过我们所说的message蔓延出来的,那么通过越来越多,其他的网络运用程序的蔓延出来的病毒越来越多,那么发现,如果把这个安全的责任仅仅放在一个独立的,普通的IT管理人员的角度上来说,对他来说是有一点不负正负,因为他所缺的是站在一个企业的级别,站在企业全局的角度上来说,来做这个安全事件的响应,来协调各个不同的IT管理人员,协调不同的计算机网络最终的用户,那么来一同来应对这个安全事件,最普通的管理人员来说,它不具备这样的能力,不具备这样资源的调控这样的一个管理的这种职责,所以逐渐大家把这个安全呢从普通IT管理人员的身上逐渐就把他提升到一个单独的工种,变成了企业安全信息和管理员这么一个职责,但是,尽管就是说有这样的一个职责,但是IT管理人员,普通的系统管理人员,还具备执行这个信息和网络安全管理的日常的职责,那么只是说,有网络安全信息管理部门来总体协调,规划应对企业级的安全的事件,在互联互通的角度上来说,从互联互通的角度上来说,如果企业内部是一张大网,那么为了保证它的信息流和各种各样的管理人员系统,能够正常地运转,在一个楼里面,或者是一个用户发生了事件,那么很难把它从这个,就是从普通用户角度上来考虑,实际上站在企业的角度上来考虑,因为蔓延的速度太快了,那么尤其是大概在21世纪以后,发生的这次重大的安全事件,比如说SKccew,你们把这样的一些蠕虫的病毒,给大家是一个眼界大开的这么一个经验教训,在几分钟之内,几千台的电脑,如果你没有按照安全的政策,按照安全的best practice 然后去给它打补丁去设定一些安全防护措施,那么几千台电脑在几分钟之内就会被这些垃圾的病毒流量很容易就冲垮了,那么这个给大家的经验教训太大了。
之后,一些大的公司,具备大的企业网络,局域网,甚至说在全球11家网站,它真正的意识到安全的投资,安全的规划投资在企业的层次上是很重要的,这样随着这个事件尘埃落定,很多公司,从这个IT部门就有一个比较高的信息安全或者是网络安全管理的这么一个部门,那么它在这一个时段呢,可能还是在CSO底下的一个职责,但是,它已经具备独立的一个,自己的一些个人独立运算能力,它可以站在企业的角度上来规划,评估这个企业的风险,总体规划的接触,安全的接触架构,来总体协调,配备人员的资源,那么这就是我们安全,这个人员遇到的一个比较大的一个机遇,随后呢,就是又有一些大的安全事件的发生,给大家的经验教训,包含就是,包括就是说我们从这个,过去的经验的总结发现应对一些新的更多的挑战,就是说我们企业内部可能会有一些,就是由余有不良企图的员工,那么他会有一些破坏行为,那么从这个角度上来说,还有外面有一些比较大的一些恐怖的一些行为,比如说一些在国外一些黑客,那么成团,在网络上虚拟组织起来,发动一个大规模的网络攻击这么一个角度来说,那么我需要一些新的一些思维,新的一些组织形式应对这样一些,更多的安全风险,那么很多的一些公司组织呢,安全功能,又提了一截,很多时候就把它统一在一个安全组织底下,把它统一安全组织底下,主要组织或者是说在其他的一些组织里面,比如说在大的一些银行里面,它有一些更广泛的一些职责,能够站在更大范围内调动更大的资源来应对企业挑战,总体来说,这两种组织的变化呢,确实是随着风险的日益的变化有这么一个引进的过程。
主持人:摩托罗拉在这一块儿相当余应该是做的非常完善的,那么现在咱们摩托这一块儿信息安全的架构,人员的架构是一个竖状的结构吗?
邵江宁:我们总体来说,可以说是一个竖状的结构,随着公司的发展目标的调整,随着企业外界风险的变化,随着企业内部的组织架构的调整,我们自己的安全部门也会有调整,那么最近这两年呢,就是说安全在摩托里面被提到一个很高的地位,那么从我们的CEO到我们不同的员工对这个安全非常重视。
主持人:那从国际的单点松散管理到现在的成熟的一个安全的体系管理架构,大概经历了多长时间?
邵江宁:我们差不多,如果有一个时间限制的话,我觉得是在15年左右。
主持人:15年左右。
邵江宁:对。
主持人:我也想问您一个问题,问余总一个问题,就是对于很多国内企业来说,可能想要构建像摩托罗拉这样一个完整的体系架构,它需要很多的这种智力或者是人力的支持,IBM在过去您的服务客户的过程中,有没有遇到,客户提出来,我需要有一个团队的规划,或者是未来十年到十五年的这种整体规划的需求?
余磊:这方面我们谈一些小故事,我们第一个呢就是说从安全这个事呢,首先什么是安全?每个人的理解是不一样的,每个企业的理解是不一样,那在中国这个特定的环境里呢,我们经历了一个过程就是说前几年的高速发展,我们专注于生产系统的建设,人员的培养,那我们专注于企业的高速发展,到了一定程度的时候,我们的企业到了一定规模,我们的企业也走出去了,这时候我们要开始叫整理内务也好,叫把我们的家建设的更美好也好,就是关注我们家里面的这些事情,这时候呢,我们突然发现说,国家开始有一些要求,你去国外,要通过国外的一些安全的要求,你国内也推出各种各样的要求,但同时这个安全的事件又很多,比如说举个例子,08年之前,全世界的被黑客控制的最大的数量是在美国,08年在中国,就是说这个源头已经到了中国,这是从黑客角度看,从病毒来说呢,已经是集合每年成长的数量,然后国家的相应的政策,甚至包括各种各样的,以前是没有管,以前是各个系统也好,各个企业也好,他们自己在对付,后来呢,就是到了08年的上半年的时候,已经有一些企业开始成立自己专门的安全组织,但是这个组织刚刚成立的时候,所有的部门把这些事情都扔进来,就是说安全是一个筐,什么都往里面放,刚成立人员也不多,刚开始讲的不是很清楚的情况下,所有的都不管,这时候这个企业呢,开始找这种国外的咨询公司来提供,说你们国外的发展经历是怎么发展过来的,我们怎么样一个更好的道路,我们适应的一个现状,那么这里面呢,又回答了其实安全这个事情我们来看,其实是安全,围绕着流程和技术,三个事情,三点为一个圆心,圆心就是你企业的一个安全战略。
我们给他们这些用户的建议呢,首先你要坐下来要谈,把你的安全战略制定清楚,基于你的业务的特性,基于你的数据的特性,基于你的生意的交互的特性,比如说资金的管理,跟各个伙伴交互往来的特性,以及未来三年到五年你的市场竞争的特性,你来制定出你可以接受的分几步走的一个安全战略,基于这个战略呢,在推到外面三个地方去,你应该设立什么样的流程,应该把人的意识提高到哪里面,相应的配那些技术,技术不应是越多越好,也不一定是越全越好,一步一步来,只要符合现阶段的一个要求,能达到你的这个业务的要求,那我们有了这个战略规划,所有未来的三年五年的这种发展,都是很清晰的,所以我们现在在中国的这个用户群呢,现在走到这一步,这一步的特点,责任集中了,根据国外的发展经验,这个责任在将来分散下去,因为根据国内的战略制定清楚了,它的流程和人员的素质提高了,它的技术已经分散到各个体系里去了,它这个责任又会分散下去,然后中层的部门就变成了管理和这个审计部门和一些关键点的一些这种控制部门,它是有一个发展过程,所以很多企业,在跟我们做沟通的时候,他们也很着急,我说不用着急,这种优秀的企业已经给我们走出一条路了,我们只需要跟着人家的节奏,我们找出一个适合我们当地企业的一个时间和步骤来就可以做的很好,这个我们也是希望多功能的讲一讲,摩托他们的经验,摩托在制造业里面是非常非常有代表性的,以中国为例,中国最早的外企,最早的一批外企都是摩托培养起来的,这是在业界非常有代表性的一个组织。
主持人:随着计算机、互联网网络时代到来,根据IT信息化发展的这个步骤,逐渐我们安全的这个团队,安全的这个组织,逐渐发展起来了,可以说是一个顺产的这么一个过程,就像生孩子的话是自然,十月怀胎,然后顺产,有这么一个Baby出来,我觉得刚才有一种说法很对,就是国内的这个企业,它面临的这个机遇,或者说面临的挑战,大家在这个时代里边,有很多的成熟的解决方案,可以有正式发表的一些安全标准,能够去借鉴,我们也有一些成熟的安全咨询服务,像IBM这样有代表性的厂商,可以跟这样的厂商去合作,可以把我们过去所谓顺产的这样一个数年的流程,跟我们过去相比较而言,就是我们可以,可以梦想,这么一个时代,确实是站在这样的国内的企业,确实是有国内很好的一个机遇在这边,这个确实是一个千载难逢的时代,不仅仅是信息化大发展的时代,国家从上到下都有很多的一些重视,有各种各样推进的政策,完全也是一个大发展的时代,大家就是,我们可以说,如果生在这个时代,可以说是一个很好的一个环节。
余磊:谈安全的时候,这里面其实有很多企业,已经等同于它的生产安全。
主持人:对。
余磊:或者是叫安全生产,它在等同于这个感觉。
主持人:对。
余磊:在基于这个层面,对于我们有机会参与安全这个事,从个人也好,从团体也好都是非常好的一个机会。
主持人:对,而且这个时代呢,就是说还有一个比较有利的一个因素,那么过去呢,就是说我们谈到摩托的例子,好像是一个,叫不停的学习,应对挑战,然后呢,学习应对挑战这么一个可以相对来说是一个自发的,自然的一个十月怀胎这么一个过程,在我们这个环境不仅说有一个外部良好的资源,那么我们发现,就是国家在,或者是不仅是国家,我们在不同的国家,它的立法,法律的一些保护的环境也不一样了,在过去我们那个时代,可能比如说,六年以前,还没有一些相关的兼管性能合规性的法律发布,那么萨班斯法案出来了之后,大家对安全的,尤其是一些上市公司对安全的看法完全就不一样了,这个本身也是从外部有一个推手,推动着企业,在安全上有更多的一些重视,那么在这个从生产安全,从内部的这个业务流程上,一些管理信息系统上,把安全提到一个很高的一个层次,那么来重视它,这样从这个意义上来说,对安全的组织,对安全的人来说,也是很大的一个助力,一个推力,至少过去不像普通安全人员有很大的一个困难,你要说服安全管理人员,要做这件事要花这个钱,今天可能对所有的上市公司来说,举一个简单的例子,你要回归,要达到什么要求,要符合萨班斯法案要求,其他不同国家它都有上市的类似的法律,包括我们中国有小型的公司,有自己的法案要出来,规范我们自己的上市公司,那么在今天这个情况下,可能你要说服管理人员,回归性就是一个不可绕过的这样一个挑战,你必须要谈,你必须去做这个事情,也相对来说,对安全的这个组织来说也是一件好事。
主持人:就是说,我们这个年代呢,给大家创造了一个机会,我们以前享受过一个策略,对人员流程和技术配合和实践的策略,是有一定难度的,因为技术发展还没有到那一步,或者不够完善,现在从技术角度来说,真的非常完善,各种各样的技术都有,举个简单的例子,我们以前都有这个门坎,我们有一个关键的区域,核心处理区,有一个研发区,这个区里面,每次刷卡只能进一个人,这个政策很多企业都有,但是它没有办法执行,因为刷完卡可以进很多人,比如说中午吃完饭几个人一起聚聚,以前的解决办法就是在门上贴一个条,对不起请大家注意一点,每次刷卡只能进一个人,这是以前的技术手段。
余磊:那现在有了很便宜的,很简单的技术手段,就是有摄像头,就是这么一个简单的数据模块,在数据上连到我们的管理器上,只要你刷卡设摄像头的时候,抓到两个人进这个门,自动一个简单的提示给你,你就要退出去重新刷卡,所以说技术已经到了价格可以接受,而且更重要的新技术很多的情况,可以很好的去实现安全策略,这样的安全策略和你的生产和你的经营结合起来,才能真正的做一件实事,从纸上落到实处。
余磊:另外一个娴熟的,改进的是说过去安全的软件,那它跟其他的系统管理和网络配置管理的模块呢,可能是相对独立的一块儿,集成度不是特别高,到今天,越来越多的厂商呢,推出不仅是说,它这个功能强大,界面好看,然后另一方面我们叫集成的一个解决方案,一个厂商,它推出了整个所谓的套件,基本上涵盖安全运营管理的各个方面,而且,提供了很多的,能够把过去需要把不同界面里面需要在不同的运用程序里面,分几次做的,一次就能够完成,那么这样呢也是一个很大的一个挑战,刚才余总提到这个防毒控制这一块儿,现在有一些厂商就提到了统一法控制这样的解决方案,也是把过去需要,几次的认真过程,那么在一个界面里面,可能就能够实现,多次的一个访问界面,提供很多的就是方便,从这个意义上来说,安全,可能很多人都把安全看成制作麻烦,我让你,限制你的自由,来创造安全,但是实际的结果呢,实际的效果呢,其实是安全创造了方便,创造了自由,让你能够更加方便的在企业的网络里,或者是在你的应用平台上能够关注,把用户解放出来,关注他自己应该关注的地方,比如说他需要考虑很多很复杂的一个局面。
主持人:您刚才也谈到信息安全整合这一块儿,其实我们的很多网友也是,遇到这个问题,因为是一个长期分布实施的过程,可能会在这个过程中,生成了一个安全的孤岛,或者说出现了这种异构的环境,都在这15年的安全境内中可能也会遇到这种问题,过去的时候,都是从构成角度上来说可能都是一个单景的产品,您刚才也提到了,现在出现了这种统一协作的模式,在这个过程中,您觉得有没有什么经验可以给大家分享一下。
邵江宁:其实我觉得这是一个厂商和这个最终用户,还有技术发展不断尝试,不断磨合的过程,确实在最早的时候呢,大多数都是一个单机的解决方案,解决平台,那么但是随着技术的发展,尤其是一些专业的安全法出来,它通过自身技术案发的进步,通过一些合并一些联合,那么一些共产技术这样的一些拓展等等一些集成的一些环境,逐渐地显露出来了,那么逐渐出来以后呢,那么最初的时候呢,很多的一些厂商呢,集成一些方案,它所设定的这个研发的这个背景呢,可以说是有很大的一些差异性,你要就是提供集成性的解决方案,你要有一定的针对性,针对性包括你的企业部门的大小,你的网络平台的这个差异性,你网络平台的数量,整个信息整个的这个架构的差异性,都不一样,那么确实就是说,最初推出了一些集成化的解决方案呢,确实并不是像厂商预料的那么受欢迎,因为确实也受到了现实企业环境里面的各种挑战,很多的二次开发,需要大量的跟原厂的厂商咨询员去沟通,甚至说有的时候要消毒数据,就是调整自己公司内部的架构,公司的设备来适应研发,就是说,还不是说那么让人满意,但是这是一个磨合的过程,对厂商来说是一个学习的过程,对企业用户来说也是一个学习的过程,哪些东西确实是我们作为一个企业用户应该考虑进去的,那么厂商也意识到有很多我们的一些功能,甚至功能里面的一些管理流程,是跟我们企业内部的这个管理的流程是有差异的,那么也是一个逐渐磨合的这么一个过程,很多的模块可能在那时候是一个很奢侈的模块,而不是有明显需求的这么一个模块,那么过了几年以后,企业用户的成熟度也在提高,那儿企业内部的信息化的水平也在提高,而且就是说IT在整个发展过程中,逐渐迈向一个标准化的时代,过去存在的很多的一些阻碍性的一些因素呢,逐渐呢,尤其是技术性的阻碍因素就消除了,一些组织性的因素也在不停的向更好的方向发展,大家发现最初的这个,不太成功的这个集成化的环境,逐渐隔了两三年,三四年,四五年以后,它的D2版或者是Dn版逐渐的,企业的成熟性也越来越好,逐渐地也越来越适应各种不同的企业环境的这样一个要求,也是一个,就是说大家相互促进兼顾的这么一个过程,摩托也是这样,我们最初的一些也不是说百分之百就适合我们要求的二次开发,但是摩托的优势是说,我们这个公司很大,那么很多的厂商愿意去帮我们,本身对它来说也是一个难得的机会,在帮我们推广这个运用的过程中,或者说实施的这个过程中,他们也得到了很多很好的一些经验,知道他们下一步在做什么,或者指导今天还有很多的安全厂商,都把摩托作为一个重点的客户,是不是回来,找我们有各种各样的反馈,帮助他们去做评估,或者是说,我们的安全人员是它的这个开发的技术员,在什么地方有缺陷,大家是一个很好的配合促进,共同学习,共同创造良好的环境。
主持人:摩托现在从整合的阶段来说,您感觉到它现在到了一个什么样的程度?
邵江宁:我们更多的是说,当然我们有安全的这样一个一些技术的考虑,从安全的专业面来说,我们有很多的评估的一些办法,我们有自己的优先等级,我们有自己的一些考虑,以及我们的一些评估的结果,还有企业的组织结构,目标的变化,做一个专业组织来说,我们有自己的这样一个规划考虑,那么我想特别强调的是说,我们特别想强调的是说,站在最终用户的角度上来说,我们很多的这个,这个考虑呢,很多就是说放在最终用户上,我们考虑的重点是说怎么样让这个安全的解决方案对用户来说,是透明的,它关注的信息安全保护的关键的数据,能提供给它在不同的环境底下安全的这个要求,所以我们如果是说,一些基础的,安全基础架构,关注用户的感受会更高一点。
主持人:做透明的保护?
邵江宁:对,做透明的保护,特别是需要就是说,对一个大的,一个企业来说,我们有各种各样的安全平台,虽然我们说安全标准化这一块儿,厂商和IT安全厂商有很大的一个进步,但是今天不可避免地还时不时地会冒出网络安全的应用程序,或者说安全的应用程序里面的配置,会和某一个应用程序的某一个模块会有冲突,这个还是难以避免的。用户他不在乎,他的访问系统,他不会在乎你的系统出问题了,还是说我的某一个系统出问题了,或者是网络出问题了,他的反应就是说我不能访问这个系统,也不能反应出问题来,只要是不能打开系统,实际上就是坏的,安全的这个解决方案可能就是什么地方会有问题,你就需要去解决它,所以从最终用户来说,我们考虑的给它的偏重会更多一点。
主持人:余总,在您接触的这些客户里面,对这个整合的这种需求是不是也在逐渐地提升?
余磊:确实是在逐渐提升,我刚才也是听邵经理讲了,其实在刚开始的时候,相对比较简单,然后随着一做进去,发现有越来越多的东西需要考虑,特别复杂,做复杂到了一定程度之后,提炼的越来越简单,刚才说邵经理讲的有一个例子,就是说一开始我们谈说,我们容易被感染,或者说被攻击,是因为我们中间有漏洞,或者说我们的补丁没有打,那个时候就会开始打补丁,一打补丁,说以前的应用跟补丁有冲突,没法用,对于用户来说,最终的使用者来说他的感觉就会非常不好,那这个东西呢,就属余我的核心的策略,不管你有没有成型的策略,你的策略和你的技术,和你的人和流程之间出现了一些不匹配,所以呢,这时候呢,就有新的技术来弥补,或者有新的流程来弥补,像那个例子呢,我们用新的技术来弥补,我们会在外面加一个虚拟的补丁,你的补丁不需要打在你的服务器上,打在你的虚拟机上,这样的话,你的那个服务器因为是正常使用的,只不过那些针对你那个漏洞的一些恶意的行为,会在虚拟机的这个层面会被屏蔽掉,这个是技术的发展,和我们的这个现实相结合,带来一个很实在的方法、方案,所以这个都是一个相辅相成的一个过程。
那么这里面呢就是技术点,关键我们还是要回到作为一个企业,它是不是越来越关余安全的一个事情,如果是的话,它随着要求和基础建设的要求,一定会落实到一个点上,这个点就是他们的结合点,这个结合点反应到日常运作上就是老总是不是越来越的问题,如果没有,那可能还在基础建设这个阶段,买防火墙,买一点病毒软件,如果有,这个时候已经开始,我们要成立一个专职或者是兼职的安全管理团队,这个团队的职责,我在这个阶段我自己或者是跟其他的服务商也好,或者是先进的单位也好,去借鉴去思考自己的安全策略的时候,一旦有了初步的安全策略,那相应的技术,组成和人员,找一个专业公司给你做一下配套,就可以用相应的比较低的成本,让你整体达到一定的阶段,这么一个发展过程,我觉得摩托在前面呢,他们是最先走的这件事情,所以他们经历的时间比我们一般的企业要长,前面碰到事情也多,所以但是他们的这些经验都很宝贵,我觉得就像邵经理谈的,应该多一些机会,到这里来谈一谈,十几年的经验肯定不是一天两天能倒完的。
主持人:对,肯定有很多的故事。
余磊:对。
邵江宁:我觉得是这样,我们是,因为随着信息化时代的步伐一步步,随着步伐是长大的,因为我们好像是自然顺产的,也没有办法越过当时的局限性,所以当时是每一个信息化所发生的每一个时代我们都经历了,我们也没有办法绕过当时的局限,去参加跨越式的发展,但是我们国内的这个公司,这些安全团队,安全人员来说,他跟我们的时代不一样了,那么它可以说是早上起来一睁眼发现很成熟的,就是日新月异,或者是更新,更新的安全战略在这儿了,如果是对安全规划或者是安全的实施有问题了,已经经过各种各样的不同的用户考验的成熟自身中专家队伍,在这里已经等着大家提供建议意见了,从安全基础的这个培训,还有这个安全经验的借鉴上,我们有很多的一些媒体,在后面就是说起到一个普及推广的这样一个作用,也有这样的平台在这边,在我们那个时代,可能一些安全类的东西,你想去,到网上去带一个什么东西出来,都可能去找,找到一个安全规划标准,动不动就打ISN的标准或者是EST的标准,或者是说,很多都是具备这个美国一些官方的标准机构这样的一个,除了英文的东西,可能基本上很难找到一些可有借鉴的一些东西,那么今天,比特网上可能就有很多的一些本地化或者是被本地化内容的这样一些东西可以参照,我们这个时代已经和过去那个时代已经是不可同日而语了,确实是,我们资源技术,还有培训教育普及这一块儿,有很好的一个条件,但是需要特别,就是注意的是我们这个时代的风险要比过去的时代要大得多,过去说打补丁,我们定安全策略是说比如说高危的,可能是说,一个月才需要把它去打完,因为我们有各种复杂的情况需要考虑,需要自己去测试,需要自己去安排这个维护的这个窗口,可能要花很多的时间去做这个事,可能需要30天才能把这个高危搞完,今天可能就不容许你这样做了,这个已经说是,这个漏洞刚公布出15分钟出来,公布的就会在网上释放了,所以不允许你有这样的事件去,过去我们奢侈的这样一个时间去想去反应了,所以你需要有更好的流程,更好的组织,更好的解决方案,更好的这个,更成熟的安全咨询团队来帮你。
邵江宁:这边还有最重要的就是他的人,作为企业它的企业团队,然后找对人,然后把这个团队留住,为什么这么讲呢,还是讲补丁这件事,我们做过分析,在这个补丁里面,漏洞里面,07年的漏洞到今天,还有40%多没有补,08年还有60%到今天没有补,还不用说发回来的补丁你打没打,原厂没有发补丁的漏洞还有这么多,这个情况下,你用一套什么样的方法去把它防漏洞,因为你可能不知道。
余磊:但是内部人都已经知道。
邵江宁:厂商没有公布,但是内部上都已经知道,它已经在利用。
邵江宁:而且这个打补丁的这个今天来说,大家生活在一个快乐的时代,好像是打补丁太容易影响一件事了,Windows都有自己,在大规模的环境底下都有自己的,你甚至说有一个补丁跟一件系统冲突,你可以不打,你还有这个其他的一些保护能暂时给你提供一个额外的这一层的保护,那么在我们的时代没有选择,要不然打,我们那个时代打补丁是多么痛苦的一件事情,你们可能新一代的安全管理员都难以体会。
