安全動態(tài)

云安全聯(lián)盟CSA主席李雨航:美國企業(yè)安全實踐

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-06-28    瀏覽次數(shù):
 

信息來源:比特網(wǎng)   

       2016年6月24-25日,由51CTO.com主辦的【W(wǎng)OT2016企業(yè)安全技術(shù)峰會】在北京珠三角JW萬豪酒店召開。自2012年以來,WOT品牌大會秉承專注技術(shù)、服務技術(shù)人員的理念已經(jīng)成功舉辦九屆,不僅積累了大量的專家資源,更獲得了廣大IT從業(yè)者和技術(shù)愛好者的認可和好評,并成為業(yè)界重要的技術(shù)分享及人脈拓展平臺。

       本次【W(wǎng)OT企業(yè)安全技術(shù)峰會】分為11大技術(shù)主題,分別是企業(yè)安全管理與運維、工控安全與物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、移動Web與安全、云安全、CISSP開放創(chuàng)新論壇、金融與電子商務安全、威脅情報與攻擊防護、漏洞挖掘與分析、安全測試與應急處理、技術(shù)管理專場。51CTO.com作為本次大會的主辦方,將通過快速報道、現(xiàn)場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

       下面是大會主會場上來自云安全聯(lián)盟CSA大中華區(qū)主席李雨航先生帶來的主題為美國企業(yè)安全實踐的現(xiàn)場演講實錄。

/uploadImages/20160627222530940.jpg

云安全聯(lián)盟CSA大中華區(qū)主席 李雨航

       大家好我是李雨航,一個企業(yè)安全方面的老兵,我的主要工作經(jīng)驗是在美國,有20多年經(jīng)驗,很高興跟大家分享一下美國企業(yè)安全的一些經(jīng)驗。

       從企業(yè)的角度我們先把歷史回顧一下,從技術(shù)、商業(yè)、安全三個維度看問題。早期從60年代開始,美國的企業(yè)當時只有大存儲機,我最開始是在IBM工作。在主機時代,從技術(shù)上面來講,都是集中式儲存,計算,終端是笨終端,網(wǎng)絡(luò)都是私網(wǎng),通過IBM網(wǎng)絡(luò)來連接。從商業(yè)的角度看,企業(yè)投入非常的巨大,只有一些很大的企業(yè)有能力可以購買IBM機子,每一次升級比較的貴。大家對于安全比較的關(guān)注,大型主機這個時代,安全問題是非常好解決。把登陸的一些問題搞好,安全比較好做了。

       到了PC轉(zhuǎn)型,大家也開始采用互聯(lián)網(wǎng)。商業(yè)就是賣許可證,成本降下來了,安全問題變得非常的嚴重。出現(xiàn)了病毒黑客攻擊,數(shù)據(jù)分散到了很多儲存的地方,造成很大安全問題??课锢戆踩?,靠警衛(wèi)解決不了這些問題。但是,經(jīng)過多年企業(yè)的實踐,總結(jié)了很多的經(jīng)驗,進入了大數(shù)據(jù)云計算的時代。這個時代實際上在后端是有中心化趨勢。很多虛擬機,云計算中心是歸成超級計算機,端這一塊更厲害。每一個人有手機,有便攜,以后可能還有物聯(lián)網(wǎng)設(shè)備。這個終端越來越智能,量越來越大規(guī)模,從商務角度來講,成本降的非常低。企業(yè)不僅使用計算資源,在座任何消費者,個人都是可以非常低價使用計算資源。那么,安全在這個時代就是變得更加的嚴峻。那么,安全的邊界就會模糊,會消失。傳統(tǒng)的信息安全,是防守不住的。

       今天技術(shù)上面來講,主要是有幾個大的技術(shù)趨勢,移動互聯(lián)網(wǎng),還有物聯(lián)網(wǎng),云計算,大數(shù)據(jù)。今后還要走向智能時代,萬物互聯(lián),數(shù)據(jù)爆炸,機器學習,人工智能等新興技術(shù),還有很多技術(shù)會涌現(xiàn),大數(shù)據(jù),VR都是非常的火爆。云計算雖然出來的比較早,但是,現(xiàn)在新一代的技術(shù),容器方面有很多新興的技術(shù),對于傳統(tǒng)的IT,對于我們企業(yè)都會是一個顛覆性的技術(shù)。對于未來的發(fā)展,我是這樣的理解,以后我們會出現(xiàn)一個超級的智能機器的計算模式。就像人一樣的,我畫了一個圖。以前是大型主機分布式,以后就是非常的智能。機器人它的頭腦就是由大數(shù)據(jù)支撐的,包括AI智能分析,云計算是一個心臟的作用,是一個引擎。那么,物聯(lián)網(wǎng)設(shè)備有成千億,都是超級機器人感官一樣,移動互聯(lián)網(wǎng),包括以后的5G,就像一個神經(jīng),網(wǎng)絡(luò)就是一個神經(jīng)傳遞信號。那么,在這種情況下,實際上安全就會變得非常的重要。那么,安全,我打一個比喻,沒有安全,這個人不管再怎么樣有力量,再聰明,你有了問題,你就會對這個企業(yè)帶來很大的風險。

       那么,美國的企業(yè)他是在這種新的趨勢下發(fā)現(xiàn)了很多的挑戰(zhàn)。還有一些不完全全面,我隨便選幾個例子。比如說,社交網(wǎng)絡(luò),很多員工上班的時候,他也在社交網(wǎng)絡(luò)上,大家也是一樣的。一邊兒上班,一邊兒看著微信,這個就是一個風險。還有云計算,虛擬化,給企業(yè)帶來很大挑戰(zhàn)。數(shù)據(jù)要拿出去,大數(shù)據(jù)這個數(shù)據(jù)爆炸,這個數(shù)據(jù)給企業(yè)帶來的風險。另外,還有互聯(lián)網(wǎng)模式,是指企業(yè)要發(fā)布業(yè)務,現(xiàn)在非常注重這個速度,速度一定要非常的快。另外,是指外部合作?,F(xiàn)在不可能有一個企業(yè)自己來完成自身的業(yè)務。一定要有合作的單位,供應商幾十萬,華為的供應商好幾萬。中國這個概念大一點,但是,美國叫做合規(guī),是非常的重要。政府、還有行業(yè)、有很多強制性對于安全上的要求,對于企業(yè)必須的滿足。另外,供應鏈,外包,整合,在微軟,歷史上經(jīng)過了很多的并購,組合。最近是叫領(lǐng)兵,微軟是重金把另并買下來了,以前有一個雅虎。買下來之前,這兩個企業(yè)要融合,IT系統(tǒng)要打通,簽這個合約以前,我們就開始把兩個系統(tǒng)的網(wǎng)絡(luò)連在一起,發(fā)現(xiàn)這個是非常非常的困難,非常有挑戰(zhàn)性的工作。

       還有移動的,還有新一代,在中國90后或者80后跟60后,可能在座也是有70后,跟這些工作方式,思維方式都不一樣了。對于企業(yè)都是會造成不同的風險。還有物聯(lián)網(wǎng),企業(yè)使用移動設(shè)備。剛剛講的這些條件會對企業(yè)帶來非常大的風險。

美國企業(yè)普遍存在的一些風險,不是全部,主要是一些數(shù)據(jù),對于企業(yè)保護數(shù)據(jù)是放在第一位的,是叫做靜止的數(shù)據(jù),數(shù)據(jù)資產(chǎn)是企業(yè)命根子,還有身份訪問管理,軟件安全性缺陷,還有遺忘失竊設(shè)備,還有傳送數(shù)據(jù)。這些都是美國企業(yè)現(xiàn)有的安全風險,那么,實際上這些風險已經(jīng)被黑客利用了。每年安全事件大幅度增加,這個數(shù)據(jù)泄露沒有寫在里面,這個數(shù)據(jù)也是成正比的。

       在這種情況下,企業(yè)要做安全的。這個是很早提出來一個理念,在美國是受到業(yè)界廣泛認同。在早期我們把安全防護,安全控制,一般是做在網(wǎng)絡(luò)層面,企業(yè)有一個防火墻,布一些相應的安全措施。大家在一個墻的里面感到比較的安全。這種做法剛剛也是講到了,因為編制的模糊消失,效率非常的低了。長期來講,我們應該什么呢?越貼近,保護的目標,是越有效,成本也低,效率也高。這個數(shù)據(jù)最終目標叫做什么呢?自我保護。數(shù)據(jù),本身是不可以保護自己的。是數(shù)據(jù)和應用要結(jié)合在一起,應用和數(shù)據(jù)安全將變得越來越重要,可能會比網(wǎng)絡(luò)安全更重要一些。

       我下面開始講案例。一個是美國政府,在座有沒有是政府機關(guān)事業(yè)單位的?大家都是企業(yè)的,稍微講快一點。美國政府也算一個客戶,非常大一個客戶。美國政府它的職員,聯(lián)邦政府有200多員工,有很多的部門,大家也是看到了,都是每一個部門員工分布的情況,美國政府IT的預算是比較的充足的。2017年,政府準備拿出將近900億美金,安全也是其中的一部分,下面還會講到,這個是一個奧巴馬都是很熟悉了。邊上是我在微軟一個朋友,最近被奧巴馬認定美國CIO,是負責美國聯(lián)邦政府的IT,包括安全。

       美國政府IT一些安全風險有主要幾點。第一,技術(shù)上比較的落后,使用的版本都是比較的老舊。另外,他有很多的部門,部門之間是碎片化,而且,IT系統(tǒng)互相沒有打通。另外,這200多萬員工里面有專業(yè)知識非常的少。針對這個情況做了很多的安全的戰(zhàn)略,措施。比如說,我這里不具體不都講。一定要把漏洞和補丁管理好,這個是基本要求。企業(yè)打上補丁,把漏洞補住。實際上,大部分的安全的風險可能都會得到緩解。

       最近的美國還出網(wǎng)絡(luò)安全國家計劃,是準備明年從IT規(guī)劃里面拿出來190億美金專門來做網(wǎng)絡(luò)安全。剛剛講到了美國以前是有一個安全顧問。但是,他最近對于安全非常重視,準備設(shè)計聯(lián)邦首席信息安全官,向CIO匯報。大家也是看到了,政府在美國政府官員比企業(yè)少。所以,IT和安全,企業(yè)走在前面的,在企業(yè)安全和IT要領(lǐng)先。最下面是一些各部門的資金分配情況。因為在座沒有太多的政府事業(yè)單位來的聽眾。

       美國政府在新的技術(shù)趨勢下,它是準備把傳統(tǒng)的IT逐步地向云轉(zhuǎn)型,它發(fā)表了一個戰(zhàn)略,估計可能是要用10年的時間,戰(zhàn)略已經(jīng)發(fā)布了很早。年以前,2011年,因為白宮跟我們安全聯(lián)盟關(guān)系非常好,是對接美國政府,歐洲區(qū)對接歐盟。亞太區(qū)對接亞太政府,我現(xiàn)在代表大中華區(qū)幫助中國的政府和企業(yè)來把國際的云安全經(jīng)驗介紹給大家。所以,美國白宮當時是把云安全聯(lián)盟邀請了。然后2011年云安全聯(lián)盟峰會上正式發(fā)布了美國的云計算戰(zhàn)略,可能要到2020年,大部分美國的IT實際上運維在云計算的資源中,采用云服務的形式。右面大家也是看到了,美國各部門對云計算包括風險標準做了大量的工作,有很多工作就是云安全聯(lián)盟幫助下進行的。

       下面講一講微軟的情況。在座的都是企業(yè),微軟可以給大家重點講一下。微軟是比爾蓋茨創(chuàng)立的,我在微軟的時候,他是CIO,是負責微軟企業(yè)本身的IT。它是去年被奧巴馬邀請去做美國的聯(lián)邦政府的CIO,我是幫助做微軟內(nèi)部企業(yè)安全,我職責還有保護微軟的產(chǎn)品安全,那個是另外一部分,就是網(wǎng)絡(luò)安全。在微軟網(wǎng)絡(luò)安全和信息安全,也叫IT安全是分家的。是分成了兩個不同的部門來做。昨天我在中國網(wǎng)絡(luò)安全大會上給大家講過,有去那個大會的比較清楚一些。很多大企業(yè)都是這樣的,就把信息安全和網(wǎng)絡(luò)安全是分開,華為也是這樣的。我在華為現(xiàn)在是做網(wǎng)絡(luò)安全。所以,信息安全,我是顧客,華為沒有分享的。并員工年齡層是分布的比較的廣,新員工有不同的文化,對于企業(yè)IT的要求都是不一樣。采用的這些技術(shù),還有郵件,全球化是100多個國家都是有辦公室。將近1萬名員工在海外,500多個辦公室。對于這樣一個大企業(yè),要把安全做好是非常有挑戰(zhàn)性的。

       這個是信息安全的組織架構(gòu),這個名字按說是改了。是叫做風險管理,主要是信息安全,大家延用這個詞語,在微軟內(nèi)部其他的部門,如果跟他講風險管理,他就聯(lián)系不到以前的信息安全這個部門的名稱。所以,是把兩個放在一起在這個組織里面,這個組織是比較大,有500人,他分了G2C合規(guī)風險,還有治理,這個是一個部門。還有對于新興技術(shù)研究有一個部門,因為新興技術(shù)挑戰(zhàn)是對于IT沖擊很大。還有安全運維,就是日常的運維工作,另外,業(yè)務連續(xù)性是非常的重要,也是在這個部門的職責。另外,對于應用還有IT基礎(chǔ)設(shè)施的安全的評估,這個是專門有一個部門,就是評估測試保障沒有漏洞。最后,還有一個工具部門,提供自動化的支撐。

       安全管理實踐,微軟把數(shù)字資產(chǎn)分了三類。對于全員都要做好教育,這個對于每一個中國的企業(yè),我相信也是非常的重要,我們因為要保護企業(yè)的數(shù)字資產(chǎn)數(shù)字資產(chǎn)要分類。高風險投入比較大,就是采取的安全保護措施比低風險,低敏感信息數(shù)據(jù)要采取更加好的防護。微軟是分了三級,特別是根據(jù)對于業(yè)務的沖擊,分級是比較好分的。關(guān)鍵怎么樣識別這個資產(chǎn)?這個是困難所在,微軟的經(jīng)驗是通過各種渠道,把識別資產(chǎn)的方式讓員工熟練地掌握。通過物理的方式,我們有一個非常有效的一個尺子,每一個員工配一個尺子,可以拉來拉去的,它的資產(chǎn)一拉這個尺子可以知道結(jié)果,是屬于哪一個類型。手機上面的自動化識別工具,還有外部網(wǎng)站,有很多這種自動化的工具,是幫助這些員工可以把這個資產(chǎn)識別好。微軟管理工具是基于GRC這樣一個平臺之上,可以把剛剛講的各個部門的企業(yè)、IT安全管理,都可以實現(xiàn)自動化。

       這是微軟跟美國政府一樣的,也是要把全球IT要全面地向云轉(zhuǎn)型,也是到2020年,大概通過混合云的模式,一部分的私有云,一部分的公有云,逐步把所有的IT的系統(tǒng)要簽到云里面去。對于云計算,大家也是知道,安全是CIO和業(yè)務決策者的最重要的擔心。微軟的做法,一定先做安全合規(guī),把安全合規(guī)做好,就可以把剛剛我講的低敏感和中敏感的數(shù)據(jù)遷移到云中了。當然,高敏感的數(shù)據(jù)目前還是不可以放在任何云里面,還需要更先進的安全方案。這個圖有各個國家,各個行業(yè),還有各種組織對于云計算服務的一些安全要求,它是以證書的形式出現(xiàn)。微軟是拿到了這么30多個安全合規(guī)的證書。大家看一下,右上角倒數(shù)第二個是CIC,是安全聯(lián)盟的證書。當然,微軟他只拿到了第一級,不如亞馬遜,亞馬遜是拿到第二級。還包括中國的阿里云,也是比微軟拿到的級別要高。

       最后的MCF,是微軟IT部門自己根據(jù)自己的情況對于云計算提出的安全要求。制訂一個安全框架,這個是當初在微軟領(lǐng)導的一個項目。所以,大企業(yè)可以自己來制訂對于云計算安全方面的一個需求,如果你沒有這個能力,你可以找業(yè)界近似的安全需求?,F(xiàn)在推出了27017,27018,這個是以安全聯(lián)盟為基礎(chǔ),對于云計算的安全和隱私都提出了正式的需求。

       我們再看一下消費化。端方面對于微軟IT的一些沖擊,這個微軟的消費化,終端方面是分了4大部分。第一,企業(yè)的數(shù)據(jù),因為有了網(wǎng)上很多其他的應用,可能從自己的企業(yè)內(nèi)部轉(zhuǎn)到了互聯(lián)網(wǎng)上,有很多企業(yè)的數(shù)據(jù)從企業(yè)內(nèi)消失的,到了互聯(lián)網(wǎng)上去,主要是通過員工它自己的共享。比如說,大家是一部手機,你這一部手機既來做業(yè)務,可能自己私人用途也是在這個手機上。業(yè)務數(shù)據(jù)和私人數(shù)據(jù)可能就會混在一起,這個是一個風險。

       還有應用。微軟的企業(yè),很多員工就自己去跑到外面采用一些外部的社交化,還有一些針對中小企業(yè)的一些IT應用,中國是微信,大家微信建一個群聊,聊本公司的工作。業(yè)務的數(shù)據(jù)又跑到了社交網(wǎng)絡(luò)上去了。另外,還有管理。管理也是的,IT一般是采取中心化管理,有了移動互聯(lián)網(wǎng),很多管理系統(tǒng)不在IT部門控制之下了。當然,還有設(shè)備,不管使用蘋果,安桌,還是其他的平板,這些設(shè)備IT部門都不可以制訂策略統(tǒng)一管理,所以,造成了很大的困難。那么,針對這個情況,微軟是先做了一個框架,對于消費技術(shù)。那么,我們這個框架是分了4部分。主要識別風險,基于風險這樣一個框架。這種技術(shù)是公司鼓勵的。跟公司戰(zhàn)略配合,公司會鼓勵這種消費技術(shù),讓IT拿出預算,拿出人力來做策略,要正式地支持。

       左下角,員工可以用,但是,IT不支持你。比如說,安桌,你可以用,我IT部門不來支持你。有一些技術(shù),IT可以作為一定的試點做支持。比如是Iphone,是一些單位標準,是要投入一定的力量先做一個試點,看一下以后放到里面來。這個技術(shù)對于企業(yè)安全危險太大了。IT一定要想辦法禁止,我們可以從IT的策略,還有從技術(shù)角度,把它給擋住,可能是有一些風險很大的應用,我們不可以在企業(yè)里面用的。

       微軟最后一個,是叫做可視化的報告,對于業(yè)務決策者。對于這些義務的領(lǐng)導,它是會安全做的好還是不好,他們沒有什么感覺。剛剛給大家講了,安全好比是一個健康,健康到底好不好?可能是IT安全員自己有感覺,你很難跟領(lǐng)導講清楚,你就可以采用這種可視化報告形式,把你的安全的健康的指數(shù)你呈現(xiàn)給你們的領(lǐng)導,呈現(xiàn)給業(yè)務決策人員。比如說在微軟,健康指數(shù)。包括了補丁,包括了對于病毒的情況,還有數(shù)據(jù)中心,還有終端,各種各樣的情況,我們用可視化方法呈現(xiàn)出來。未來,我們可以利用安全大數(shù)據(jù)衛(wèi)星情報,生態(tài)感知,我們把這個做的更好,可以做成實時的。

       那么,對于小企業(yè)來講,我講的微軟這個方法并不一定使用。因為中小企業(yè)員工數(shù)量比較的少,你叫他拿很多的資金和這個不現(xiàn)實的。在美國比較好的實踐,盡量地的采用云計算技術(shù),有一個小公司,人是非常的少,他沒有能力來做很多安全的事情。是采用云服務,把IT基礎(chǔ)設(shè)計,還有很多管理交給云廠商只負責本身應用安全就可以了。這個公司成長很快,兩年時間成為一個獨角獸,從今年開始不可以算中小公司了。這個安全通過云服務的方式由企業(yè)可以低價獲得。我在第二篇講過云時代低成本。包括安全,在座這些企業(yè)今后都是可以低價通過云服務方式獲得。亞馬遜,華為,企業(yè)云,云服務商,它他們就是有義務為中小企業(yè)提供安全服務。把恐怖安全給中小企業(yè)解決掉。亞馬遜,它是把安全已經(jīng)打造進了公司的文化,從研發(fā)測試,就是研發(fā)和運維,他們是一體化的。就是團隊和產(chǎn)品團隊,實際上都是一個整體。另外,這個云是目前安全功能最多的,亞馬遜不僅業(yè)務是領(lǐng)先,安全也是領(lǐng)先的。當然,其他的廠商,比如說,阿里云,微軟云,華為企業(yè)云,可能很快就可以學習他們的先進經(jīng)驗,可以追上來。亞馬遜還建立了生態(tài)體系,安全不是一家可以做的。亞馬遜把業(yè)界所有的安全廠商,比較好的安全方案整合到自己的生態(tài)體系里面,客戶可以根據(jù)你的需要服務少量費用,可以加不同的安全功能。因為亞馬遜安全合規(guī)是做的最多,剛剛大家看到了微軟是30多個,亞馬遜是拿到了50多個認證。之后亞馬遜雖然本身沒有測試團隊。雇傭了大量全球領(lǐng)先的乙方、第三方安全測試團隊,對于它的安全做最后的那個。

       最后講一下中國企業(yè)特點,我回來了一年多。我感覺到了一個差異,不一定對,不對的化歡迎大家指出來。美國的員工非常的遵守安全規(guī)章制度,你企業(yè)定了一個安全政策,他一定是執(zhí)行。中國的員工是什么?不是這樣的。我舉一個例子,右面這個圖,我親身的體會,這個圖是在西雅圖研究院,我經(jīng)常開會,做會議培訓??匆幌律线厡懥艘粋€,不要把吃的喝的帶進來,因為我在門外面都是放了食品、飲料、讓大家吃飽喝足聽這個會議。美國有一個標志,非常守規(guī)矩,吃的喝的扔了進來。有一次交代了一下中國來的代表團成員參加會議。中國員工不聽,吃的喝的都帶到了會場,所以,企業(yè)IT安全策略我感覺是對中國員工是沒有什么效率。中國并廣告非常多,美國是非常非常的慶幸。中國的惡意軟件非常多。還有美國黑客情況很厲害,攻擊造成的后果是非常的大。但是,中國因為人口數(shù)量大,從事黑產(chǎn)人感覺很多。還有信息化,美國高度依賴信息化,中國感到信息化的程度還不高。另外,安全防護上,美國政府,不管是政府,大中企業(yè),安全防護比較得到慰。在中國,我感覺防護不太到位。大家也是知道很多網(wǎng)站出了事情。實際上是很多厲害的黑客,并沒有對價值不高的這些網(wǎng)站系統(tǒng)沒有花力氣攻擊,要真的攻擊,大家會有更多的問題的。

       還有一個是法制的問題。我國法制環(huán)境還不盡完善,還需要其他相應的法規(guī)相應出臺。這樣對于企業(yè)有幫助。還有企業(yè)決策者,對于安全要有重視,拿出一定比例的預算來做安全防護工作。這些建議我就不仔細讀了。謝謝大家給我機會分享一下美國企業(yè)的安全實踐,預祝中國的企業(yè)安全能夠盡早地趕上超過美國。


 
 

上一篇:聚焦移動安全熱點,全球大咖齊聚[GSMA 2016世界移動大會]

下一篇:2016年06月28日 聚銘安全速遞