CSF2010之世行安全官James:存储路在何方

2010年中国存储峰会今天在北京富力万丽酒店隆重召开,作为中国存储行业的年度级领袖会议,本次大会以"信息世界 共想明天"为主题,不仅对过去一年中国存储行业所取得的长足发展进行了总结,更对未来一年中国存储行业,乃至整个信息产业的趋势和方向,进行了热烈的讨论,取得了丰硕的成果。

在本次大会上,来自世界银行首席信息安全官 James C. Nelms先生作了题为"Where is your data today?"的演讲,以下是演讲全文:

大家早上好,我非常高兴能够出席今天的会议,我有一些好消息,有一个坏消息。我们现在,我有两个发言,一个是从技术的层面,一个是从商业层面。坏消息来讲,我同时要讲这两个PPT,所以我今天早上要做的就是说,希望能够改变你的这种思维方式。可以说信息的安全性,以及保护我们的数据,可以说现在已经变成一种商品,已经变成我们每日生活工作当中必不可少的一部分。所以,我们希望能够转变你的思维,从技术的层面这样一个思维。

我们要看一下这个数据在哪,而不仅仅关于数据转移。这里面当我们讲到技术的时候,我们要把他视为你日常业务的一部分。这实际上企业来讲,就是说应该是,比如说是我们要看一下信息,就像是一个驾驶员,比如咱们把它比作一个驾驶员,飞机驾驶员,在你起飞之前要检修飞机,你要跟空姐进行沟通等等,你在起飞之前你一定要进行检查。

那么,再你做出决定之前一定要这么做,作为技术人员也是一样,你要了解现实,要看一下能够提供信息,能够使你们信息管理转成一个商业评估。在这个商业角度来讲,我觉得我们用一个医生来做比喻。比如我是一个病人,我想了解我的手术,那你作为技术人员来讲,你的存储架构要怎么做,你用什么样的通信协议。就像一个病人去求医的时候要问医生,因为我对人体什么都不了解,我没有上医学,问医生我心脏怎么样,我的血压怎么样,胆固醇怎么样,最后我来做出这么一个决定。

同样,对于我们信息安全,风险管理也是一样,我们工作者来讲,我们实际看的是概率而不是可能性。实际上,我们看一下计算这个风险情况,这种概率。所以,我今天要谈的,你知不知道你的数据在哪,我们看一下数据如何进行存储和转移,我们可以放在一个大的数据库。我们刚才看到一个PPT,看到很多大量数据在全球存储。

我们这里改革可以看到,在过去10年当中不断收集这个数据放在网络上,现在我们开始不断了解,我们怎么样来组织这些数据,和信息怎么样去用他,不管他是一个守时设备,还是大框架电脑,不管怎么样那些数据都需要得到保护,这样才能真正确保一切正常运营。

因为其他都是可以替代的,所以对于我今天想要做的是什么呢?我第一步想要界定一下信息安全性。比如从商业和技术角度来进行界定。第二步要讲一下,了解威胁脆弱性,和暴露。还有,有的时候你作为工作人员来讲,你需要来确保你的数据安全,比如说你要确保100%安全,也就是说有0%的故障率。有的时候企业并不是这样,并不是那么理想,因为这是技术人员关注的。

那对于企业者来讲,我们希望能够控制我们商业环境,我们也没有那么多时间和资源真正实现零故障率。所以,我们一定要进行风险计算,然后能够实现我们的目标。这样的话,我们要看一下,作为数据管理者,我们要看一下数据到底在哪,我开发这样一个体系,由5个层次,这5个层次来讲就是要分析一下这个风险的概率,我们会看一下整个技术风险性,听到云计算,我们听到了虚拟机器。所有这些来讲,可能都是不同,但是这里面都有一个共同点,这个技术越来越复杂化了。

所以,这里面使用技术他的风险越来越大了,比如在华尔街银行业,金融业来讲,我们是没有办法,必须要用技术来对金融工具进行定价。但是,这里面确实使用这种技术当中也会带来一些风险,这些风险必须要跟用户的经验进行平衡,还有跟我们客户进行平衡。我还会讲,分层保护,分层保护很多人愿意用深入保护这个术语,我会用分层保护。我用两个模型将他两者之间进行结合,一个从数据存储,还有统一的架构,以及数据的流通,我们要看一下,我们需要进行什么样的分析来确保这个数据到底存储在哪个层次上。

先看一下概念,什么叫做数据,或者是信息安全。它实际上就是要减少在复杂技术使用的时候,一些信息的损失。技术可能很简单,信息安全实际上就是一段信息授权之后,就是从这个信息的产出一直到信息的传递等等,他的授权标准都是要统一的,他是你商业的一个部分,他是一个商业问题,不是一个技术问题,他需要用技术。

那么,驾驶员他其实跟引擎的机械师都是一样,只不过他使用自己技术来做工作,我们很大程度上利用技术来做自己的工作,就不见得就使得我们成为编程师。而且我们处理的是概率,而不是可能性的问题。我们说的一个过程,他并不是终极产品,我们要看一个过程。你要建立一个操作系统,建立一个网络等等,这都只是过程当中一个一个侧面,我们强调过程他是一个持续监督的过程,监控的过程。

从风险管理层面而言,其他层面来看,如果是风险管理的时候才看已经晚了。因为有人必须要来防止风险的发生,而且这也是一种物证科学,我们从发生的事情当中,在我们环境发生事情当中学到一些东西,这样就可以使得这个方面得到保护,在未来不会发生同样的现象。最后,他是跑人来执行的,你有这个用户。

我们必须要了解这点,这是一个靠人来执行的问题。再来看一下,有一些共同他们觉得神话的东西,有人觉得这个软件可以保护你的活动,但实际上并没有云端软件,保护是需要有这种适当风险评估的。还有人说,我们可以保护你的钱,但实际上并没有钱涉及进来,我们只是保护数据当中的数字。还有人说,我们通过审计了,我们是安全的,但是对于今天来说,这种信息安全是一个过程,不是一个产品。有人说,我们提供很强大的应用控制,但是应用控制也只是保护应用而已。

我们要保护一方面是软件,一方面是软件配置的环境。刚才已经提过了,我们在数据库当中有的是数据,这些数据可以被操控,通过网络,通过编程可以进行操作,但它并不是实际的钱。刚才也提过了,有人说我们通过了审计,有内部,外部的审计。但是,这个审计最大的弱点就是说,这个信息安全跟合规性是完全两回事。

那么,审计是必须是准确的,必须是有100%的确定性。那么,就像我刚刚还说过的,有人说我们的这个应用控制很强大,但是应用控制他仅仅保护应用,他不保护其他的层面,不保护基础设施的其他层面,我什么意思呢?我待会会进行解释。

所以说,还要了解风险,还有弱点和威胁。那么,风险他是一种可能性,也就是说有一些不好的事情会发生,他可能会对你的信息资产造成损失。如果说这个组织当中技术师在做决策的时候,他可能会做错的决策,你进大学学了一个编程专业,里面有多少人选了商业风险管理的课程,我觉得可能没什么人会选这个课。

那么,这个技术师来说,他们对于风险管理,他们会建立自己的经验技术之上。所以说,对风险的宽容型是建立在商业层面,如果你用计算机,如果你用网络,那么都会有弱点。比如说五位的密码,自己做算术就行了,每个人都有弱点,每件事都有弱点。

再说一下威胁,威胁你可能有这个潜力来造成一些损害,比如说你给你的网络上增加越来越多层的东西,你需要保护他们,或者从商业角度上来看,你可以去除这些风险。我们衡量这些是用这种商业的可衡量语言来衡量这些东西。那么,还有另外结果,结果是一个硬性的东西,你可能会有金融风险,可能会有主权风险,可能会有声誉的风险,那么最重要的一点,就是说企业必须要参与进来,这种风险的可能性,他有两个技术的要素,还有一个商业的要素。

那么,作为一个技术师我可以告诉大家弱点是什么,威胁是什么,但是结果是什么呢?我还得要讲到我演讲的另外一部分,我的结果就是说,如果有风险的话,客户就不会用我的服务和产品了。所以说,我们要看一下这个处理和量化风险的问题。

威胁从哪而来呢?事实上威胁是有人为推动,我们有三个要素,一个是人,一个是过程,一个是技术。那么,实际上过程和技术都已经做的很不错,但是人与人是无法控制人,我们并不知道这个要做什么事情,所以从人这一点出发,向技术这边移动,如果人了解越来越多技术,可能造成的威胁就会越来越大。而保护确实应该由技术推动的,比如说我知道这个地方有风险,那么我就需要配置我的技术来改变这个过程,能够接触这些风险,不让这些风险蔓延。

所以,这里强调重要一点,就是对风险的容忍性。比如说,没有人有足够的钱来保护他们所有的系统,怎么办呢?我们就会关注一些最重要的方面,比如说弱点,比如说你关键资产和威胁,你用技术的人必须要确定这个威胁从哪而来,然后再做出这种商业决策。

我们做一下分类,一共有7类。1、2、3是关键资产弱点威胁。第4是关键资产有弱点,但是没有威胁。第5是不是关键资产,但是有弱点,也有威胁。第6是关键资产,没有弱点,但是有威胁。第7点他既是关键资产,又有弱点,又有威胁,这点就叫做风险敞口,或者风险暴露。

那么,再看一下从这个数据层面进行风险控制,有4个可以做的,一个是减少风险,一个是规避风险,一个是转移风险,一个是接受风险。那么,这是商业决策。技术师他并不做这些决策,这不是你该做的决策,你并没有资格做这个决策,所以说你也必须要承担这方面的责任。

所以说,要有业界他们来承担这些商业风险。我们有两件事情可以做,我们问自己的问题就是说,我们要在这个安全上花多少钱,你应该在安全上花多少钱呢,你想要保护哪些东西呢?我要保护我的客户组合和产品组合,我需要保护我的投行业务,需要从信用卡层面保护我的客户资料等等。

那么,我先要考虑到我要保护这些东西的价值,然后再看一下敞口风险的时间,然后再看单次损失期望值。如果这种恶性软件,或者说病毒发生了,把我的信息吃掉了,那么我需要花多少钱来修护。再就是要考虑一下,他发生的频率,一年一次还是两次,还是十次,乘起来就会是我每年的损失期望值。这些数字是你在做决策的时候需要进行考虑的,技术人员他们只会说我喜欢这种技术,但是这个技术在这些方面,那方面有一些弱点,这是可能会发生的威胁。

但是,在商业方面就会考虑如果我让这些威胁,风险发生的话,我会有多大的成本。他会考虑如果我要维护,或者说修复这些风险,每年花费成本多少钱,可能每年25万美元,如果觉得多了可能不值得我花那么多钱保护。最终要考虑你保护的安全,和你可能花费的成本之间达成一个平衡,然后来做成决策。

从技术角度了解一下风险,技术风险有时候在我们技术管理模型当中是缺失的一块。我们有很多种不同的风险,我们知道这种声誉风险,我们知道财经风险、流动性风险、损失期望值等等,但是这个技术的风险,就是我们进行风险管理当中缺失的一环。比如说有多少美国的立法是关于技术支持商业层面的,为了把这个技术包括到风险本身当中,还是需要一些工作。有的时候他们是,你看一下金融风险,和技术风险,他最后都是一个资产损失的问题。

我们要确保每一个计算机系统,我不知道你们的业务是什么,也不知道你用什么操作系统,也不知道你的网络是怎么样,但是我可以告诉你们,如果他适应这个模型的话,如果看一下操作系统。比如说我的掌上电脑智能系统他也是符合这个层面,他有5个层面,每个系统都有这5个层面,包括网络,包括操作系统,包括数据库,数据库可以是文档,可以是其他的类型。还有就是显示层的中间软件,现在我们用的是浏览器,比如说火狐之类的。

最后一个层面就是应用层面,在往前看一下,应用的安全他仅仅保护应用,他不保护其他的层面。那么,公司他会花时间,然后这种对称的应用。比如说他要使用银行的应用软件的时候他必须要有一些安全措施,如果黑客进入你的系统,我可以怎么做呢?我可能会选择中介软件,或者数据库的层面,而不选择应用软件层面,所以应用安全仅仅保护应用。他只是让诚实的人更诚实,他不会组织,降低你的风险,不会降低你的技术风险。

好的,从运行风险的角度来讲,大家可以看一下这个紫色是运行风险,绿色的是技术风险。对你的企业来讲,哪个风险更大呢?可以说,实际上5:1的比例,大家可以看一下在这个框之外的地方,这个是介入的控制,介入的控制指的是什么呢?你使用用户名和密码,能够介入到这个系统当中,只是控制一个方面,但是他不会控制各个层次的安全,因为浏览器层,还有中间插件层,还有应用层,以及数据库层。实际上,其他的层都是自己的控制,接入控制也有自己的接入控制,实际上接入控制是我们另外的一个因素,而不属于前面五组。

这里面我们技术风险挑战来讲,我们知道现在ipad,或者说我们的笔记本,不管怎么说新产品层出不穷,现在这些设备越来越智能化。实际上,是我们的技术更加智能,而不是我们的设备更加智能。随着我们的数据,可能在多个操作系统当中进行转移,或者在多个网络中间进行转移,现在有3G网络,又有4G网络,4G网络实际上就是讲所有这些技术融合起来,利用这种无线技术结合起来。

现在我可以对你的银行体系进行黑客冲击,不用我们的电脑就进行黑客冲击,可以说技术不断增加,也可以提高你风险等级,所以你必须应对技术带来的风险。我们知道ipad可以说,他可能会打电话,将来可能会有这样的功能,但是现在没有这样一个功能,但是不管怎么说技术会不断增加。

还有分层管理,这里用协同控制的术语,比如我有这样一个网络,在里面放一个防火墙的设备,在这个网络当中这样就把两者之间分开了,这实际上就是一个网络通过防火墙分成两个,一个是网络内,和网络外,这实际上就是防火墙的作用。你需要更多的保护,你需要第二个防火墙,我就把它在这个网络上,是不是将你的保护加层了呢,实际上只是同样一个保护你应用了两次,并不是保护加强了。

协同控制,实际上控制在一个层次上进行的保护,他跟你第二层是相辅相成,相得益彰,实际上他用多个层次,这样的话可以达到协同增效,协同控制。这样是一个分层保护,大家可以看到你越对这个数据看,越往里分析,安全就越高,我喜欢这个模型,我更喜欢他,你这个软件实际上用不同的软件层次进行建设的。大家可以看一下,你是要将每一个层次都进行很好的安全保护,才能实现整体安全。比如你只是保护你的中间插件,和应用程序的话,你不保护你数据库,我肯定不是会很安全的。

从这个技术层面上来讲,我们谈到了分层保护,当我们有系统的时候,大家知道,注意一下这是数据流动。这个数据流动,比如说信息到我们网络,这个信息会层层进行传输,在进行整个系统的流通。好的消息是什么呢?就是说这种界面可以让信息能够在不同层次之间进行通信,或者说在通过手机进行通信。但是不好的一方面,不同层次之间是互相包容性的,也就是说你上一层做的不好,你下层就会做的很差,你上层做的不好下层也会受到影响,你操作系统不好就会影响到你数据库。

我们来看一下接入控制也是一样,比如这里面可能有的人你让他接入到你操作层,有的是接入到展示层等等。我们来看一下,我们怎么办来确保足够的保护呢?这里面有一个贝氏定理,你这里有5个层次,你可以建立一个保护的概率,也就是说你将不同层次的安全性进行累计。

比如你有一个防火墙层,他成功的,就是有80%的效率,你另外一个层他可能是个应用控制,他的成功效率是70%,如果我们把这两个加在一起的话,那么我们的商业故障概率就是94%。大家可以看,如果用多个层次的话,我就可以实现一个更高级别这样的保护效率,而其他单个每个层安全性并没有达到100%,也就是说你可以通过不同层次的保护使你整个保护率达到100%。

不管从技术层面上,还是商业层面上都可以受益,他不会因为过多的成本而受到影响。这里面大家可以看一下,这是另外一个图表。对每个层次来讲,我必须要进行来区分,用我们各个层来除以他乘的数,总共乘数,这里我们刚才不是说有5个吗。如果我用同样的公式来计算的话,比如说我的应用控制保护,我想保护我的数据,我不想保护我操作系统的话,这里面就得第三层用0%,这样的话我整个保护效率就会下降到63%。

大家可以看到,什么意思呢?现在我们了解了,当企业你可能持巨资去保护你应用程序,保护你的数据,或者是你的操作系统。但是你如果忘了数据库,忘了浏览器,这里面就会有这样一个,所有的效果付之东流,就会下降了。这里面,我再给大家举个例子,可以说这个风险评估模型,我们也采取这样5个层次的保护。这样的话,可以确保每一层他的安全性,我们所做的就是要进行物理和逻辑方面应用,你们作为技术人员来讲,必须要跟企业业主进行沟通,数据到底流向哪,数据的流动情况是怎么样的。

比如说他在不同的系统里面流动,这是一个典型银行业的模式。大家可以看到,每一个系统他实际上对这个数据都会做一些工作,所以这就是一个操作性的风险。比如有一个支付必须要提供资金,必须要验证,然后进行支付。所以,每一个层次来讲,这是一个商业的模型。技术模型应该像我这边幻灯片上面,比如你有应用的服务器,你有数据服务器,大家可以看到在每一个数据流动当中,都有这样的操作系统,这样的话你每一个系统都要很好的进行单个保护。这样的话,才能够得到很好的保护。

所以,你有一个操作系统和数据库,然后还有应用,还有网络的各个层次。还有你可以看到,在整个架构当中这是数据的物理流动情况。然后,我们在加上接入控制,接入实际上在每一个层次来讲都进行很好的控制。我们在应用这个模型,在这两者之间。比如我有一个愿意,不管什么样的交易,他是什么样的交易,可以是金融交易,也可以是信用卡的支付,也可以是制造的流程交易。但是,从整个交易的创建到整个交易的完成,我们要分析我们这个技术到底在扮演着什么样的角色。

比如每一个服务器,每一个层次他都有5个层级。这5个层级来讲,必须要得到很好的保护,而且要单个的进行保护,这样的话才能很好的确保,保管转移,或者托管转移。保管转移实际上,或者传递,我有一条信息,从一开始到最后信息的交付来讲,一定要确保这个信息从一开始到结束的时候,都在我们系统,在我们网络,在我们存储当中都得到很好的保护,来确保信息保护安全传递。

我们来看一下风险评估的融合,因为这个时间限制,我就简单提一下。这些是我们的应用程序,比如说外部监管机构,可以给你提供一些框架怎么样设计模型,基于这些外部监管的建议,这就是我要跟大家分享的建议,谢谢大家。我们是有回答环节吗,还是没有?没有问题,大家都理解了,非常感谢大家的聆听,谢谢。