下午好!我的普通话还在学习中,所以,我用英文来发言。因为有翻译,能够把英文翻成普通话,所以抱歉,下次发言的时候我用普通话吧。
南教授给大家介绍了很多技术方面的因素,怎么样保护我们的系统,以及很多的加密和深层的技术的知识,可以利用在我们日常的保护IT的工作中。但是安全只有技术还不够,它是更多有关于战略、流程、人、框架,所以这几个组成部分都是非常重要的。
今天我要给大家介绍的是我们的做法和战略是什么,从而构建一个更安全的IT的环境和IT的系统。
我会给大家讲的是“纵深防御保护”。大家可以看到,我虽然是一个人,但是我有不同的头衔,所以我介绍一下多重的防御设施。我既在ISACA工作,也在ISSA工作,也在微软工作。
在我们讲到安全的时候,首先我们需要了解安全的威胁是什么,今天是哪些威胁,未来会有哪些威胁。从这个幻灯片上大家可以看到,首先是身份的管理,第二是保护形势的严峻,第三单单发布更新是不够的,第四是有关于技术的。就是说攻击变得越来越复杂了,人们用越来越多的方法攻击IT系统。
从IT的角度来讲,从80年代的时候我们并不需要管理很多的身份,但是应用越来越复杂,我们现在用了越来越多的功能。人们让你用不同的功能应对业务的发展需求,比如说你进入财务系统的时候,你有很多的网关保护自己的数据。如果你需要访问数据之前,先经过身份的认证,所以身份认证的问题越来越复杂,我们怎么样更好地管理?
第二点,单单发布更新还是不够的。在过去的几年中,从过去的系统到现在的系统,我们仍然有一些弱点,所以需要更好地管理。我们想问的是,微软的软件或者是其他公司的软件,没有任何的弱点吗?这是不可能的,人们总是会范错误的。我们可以说,作为其中的一个软件,我们的弱点和别的软件比较起来会更少。
在美国,在他们设计软件的时候,比如说送人上月球的时候,他们必须要把错误降低到最少。所以,登月所用的软件,要比其他软件的弱点更少。大家这一点一定要明白,这是我们面临的威胁。除此之外,我们的行为方面也要适应,我们需要找到更好的办法解决这一问题。
几年之前,我们可以看到一个趋势,大家可以看到,从发布更新到漏洞被利用的时间越来越短。大家可以看到,这种之间的差别从331天降到了2天或者是1天。所以,如果我们没有非常好的技术来应对这个漏洞被利用的问题的话,我们将会面临很大的威胁。还有黑客的问题,几年之前我们找到黑客的时候,他们想做什么呢?只是想进入我们的系统,然后黑客就很得意,说我打败了你的系统,我就够了,我觉得自己足够成功了。但是,今天的黑客发生了一些变化。他们不是为了破坏你的系统,进入你的系统而进行黑客的系统,但是黑客是否消失了呢?没有,如果大家知道恶意软件,大家就知道黑客,他们更看重的是获得你电脑里面的数据,因为你的数据是最有价值的东西,他们也可以从中获利更多。
所以,黑客从过去的以技术为主导的目的,变成了以业务为主导的目的,所以我们需要找到办法保护我们IT环境中的数据。
最后一点,他们的攻击变得越来越复杂。ROOTKIT是一个软件包,它可以攻击你的系统,黑客的攻击越来越复杂。这是从主系统发展起来的,这是不同类型的攻击、身份管理和发布更新的频率以及保护的形式。所以,我们讲到安全,其实它是包括很多的因素的,所以今天做CIO的工作很艰巨,我们需要找到一个正确的战略、正确的方法,很好地管理这个系统。
刚才我也讲到了这方面的内容,给大家提供了这么多的词让大家记住,它是中文的,所以中国的听众都是可以看得懂,外国的听众都知道,所以没有关系。今天的CIO和CEO都知道这些挑战,他们知道如果不能面临这些挑战,公司和个人都会面临很大的风险。
我们讲安全的时候,我们都讲风险管理。他们需要进行一个非常好的管理的风险评估。对于业务本身进行评估,所以他们雇佣了专业的安全专家。像来自ISSA的专家等等,这些国内外的协会可以帮助他们。比如说ISSA、ISACA等等都是得到大家公认的专家。他们有足够的能力,帮助公司和CIO获得一个好的安全战略。
所以,通常而言,在美国我们找到这样的一些专业的安全人才,他们就不再是一般的数据库的管理人才,他也不再是一般意义上的管理员。所以,我们可以看到,他们可以赚到更多的钱,因为他们个人的责任也更大。他是帮助CIO解决这些重要的问题的,比如说数据问题,这些都是公司的资产,保护公司的资产不受到侵害。所以,这里面有许多的本地的协会也可以给出帮助,可以帮助我们找到最好的操作规范,来获得相关的信息,来应对在中国的情况。我相信你们也正在不断地推进这一工作,你们也会出现这样一些专业的人士来帮助中国的公司解决这些问题。
再简单地讲一下ASICA的情况,在微软我们都讨论这个情况,它是一个机构,它是1969年建立的,我们有几十年的经验,我们有很多的成员来自很多的国家,我们主要帮助他们理解和了解他们的风险有哪些,怎么样应对这些风险。我们还有一些认证的工作,帮助人们实现他个人的事业的发展。我们即将在北京和上海举行一些活动,希望大家参加。
那么CSO的任务是什么呢?给大家讲一个故事,在中世纪的时候,有一个人想进入到这个城堡里面去,偷国王或者是王后的财宝,那么他需要怎么做呢?他如何跃过这些障碍呢?首先,他必须要跃过护城河,在护城河可能有鳄鱼等等,所以他必须和它们做斗争,所以他必须游泳或者是找到一条船。他首先必须进入城堡,那么进入城堡的时候有人检查他的身份,所以他有的时候需要伪造自己的身份。那么这个城堡没有地图,你不知道到哪里去,他要不断地摸索才能找到藏宝藏的房间,而且在藏宝室还有保卫,跟他们打架才能把这个宝物偷走。有的时候你打开藏报箱可能什么都没有,这可能只是一个陷阱而已,所以到底有多少的保护的层呢?
首先是护城河,然后是伪造身份混到城堡里面去,然后在城堡里面找到藏宝室,并且和看守的士兵和保安打斗,然后获得藏宝箱,但是也许藏宝箱是空的。那么在IT领域我们业面临这一系列的问题,建立系统保护我们的资产,这些资产是我们的数据和信息,这是存储在我们的数据库里面的。所以,这就是我们叫深层防御的战略,可以帮助你们达到这一目的。
我们将怎样来保护呢?我们有一个物理的分层,还有应用的层,还有主机层,然后还有内部的网络以及周边的层面。数据是最为重要的一部分,我们要建立起正确的防卫的层面来保护它们,使得这些资产得到合理地保护。
我们需要确立一个战略,明确我们将面临哪些危险。那么对于数据本身我们可以加密,我们有ACL、RMS进行保护,至于应用程序我们可以进行强化或者是防病毒等等,也可以改变你使用的习惯。你还可以应用一系列的解决方案,来解决信息的传递的安全问题。对于主机,我们可以进行许多对于主机的增强的措施,你可以下载一些防御的程序,建立所有的这些部件,可以让你更好地保护你的主机。
比如说你可能使用一个网络服务器,当你用这个IAS(音译)服务器的时候,你可能不会用到所有的部件,在这种情况下,你要非常好的来保护这些服务,来实现风险的最小化。这意味着你化解了这些风险,保护了网络的功能性。
另外,网络层面我们可以用NIDS等等保护网络的安全,我们还可以用防火墙和VPN等等的措施,来防止侵入者进入到你的内部网,以保证我们给正确的人正确的授权。
同样地,对于物理层面的保护,我们可以数据中心前面安排保安,可以安装闭路电视,还可以门卡管理等等。
还有一种事情也是同样重要的,不是关于技术本身是关于应用的,安全最重要的问题还是人本身。人永远是最薄弱的一个环节,我们必须教育我们的公司员工,让他们有足够的知识来理解这些防护措施。否则,我们依然会面临很大的风险,我们就无法保护我们最为昂贵的资产。同样地,我们还要要一个相关的战略各实施的方案。
我们如何来实行某一项解决方案呢?我想请大家来思考一下。首先,给大家这样一个公式,安全策略=安全管理流程+实践中的深层防御。这就对于数据层、主机层等等都是适用的。我们必须要有这样的一些流程和深层的防御,我们要有一个非常好的流程来确保它得以实现。那么它包括哪些成份呢?
第一,要有一个监控的层面。我想问大家一个问题,哪一部分是最重要的呢?第一步是什么呢?第一步是开始利益相关方的安全项目。为什么呢?如果一个CIO或者是CEO,或者是相关的利益方,他不能够认识到保护数据的重要性,那么他们会怎么做呢?他们可能只希望花10美元来用于这方面。但你如果告诉他,我们需要100万美元,他会告诉你没有那么大的预算。如果你不了解这个情况,那么你很难说服他们,他们不会投入足够的资源来用于解决安全的问题。比如说微软,那么微软最为重要的资产是什么呢?哪些是能够推动它业务的发展呢?也许有一些人有不同的理解,我认为我们最重要的资产是我们的源代码,这是最为重要的。有的人要侵入我们的忘了,想偷我们的源代码。那么如果把它放到网站上,任何人都可以自由下载,会发生什么呢?第二天,微软的股价将会下跌。对于可口可乐的配方被黑客偷走的话,在全世界会出现和可口可乐同样口味的饮料,那么可口可乐的股价也会下跌,这都是和商业直接密切相关的,和这些股东的权益直接相关的。所以,这些都是安全问题,我们必须要采取一些措施太投入足够多的钱和资源来解决这些问题。如果这一步解决之后,后面的环节就比较容易了。
我们要进行商业的风险评估,为什么呢?在我们进行下面的环节之前,我们必须知道我们面临哪些风险,我们需要保护服务器还是桌面机,这些都不是正确的,我们要保护我们的商业。我们要从我们商业发展的角度来看,什么是我们最重要的东西,我们如何来保护它们。那么从各个不同的角度来看,在进行评估之后,我们就知道我们要保护什么,哪些是公司最重要的资产,然后我们进行安全战略负能的阶段。我们要制定策略和公司的流程。微软依然不是有关于技术的,技术只是后面的东西。
那么我们讨论的安全的组织架构,这都是如何实施这些战略的基础。我们可以组成一个虚拟的团队,包括安全团队。我们希望动员各个部门的力量参与进来,包括人力资源部门和营销部门,让他们都理解安全性与重要性。
下一步,我们就是要找到安全的架构和控制,它是有关于公司的政策和流程。那么安全管理方面,包括了防火墙等等。此后,我们我完成这一部分的工作之后,CIO和CEO都比较高兴,而利益相关方也比较地高兴,认为我们得到保护了。但是,我们如何来确保这一切都能够功能正常呢?我们要进行安全的确保,来确保每一个部分运转正常,我们要进行一系列的测试,看它是否可以防止黑客的侵犯。
那么进行这个环节之后,我们要进行安全的监测,通过监测的过程来确保我们整个的流程是有效的。我们进行一年一次的测试,对于大的公司我们有可能需要每季度进行一次,或者是每月一次,来确保我们整个的网络每天都是安全的。
那么最后一步是什么呢?是安全的评估。当这一切发生之后,所有的东西都得到了安全的保护,那么一年过后,我们要进行一次回顾。我们到底有多少成功呢?我们要给老板汇报,给CEO汇报,我们花了1000万美元来建立这样一个非常好的网络。那么,我们进行了一系列的硬件和软件的建设。我们怎么可以看到我们的结果呢?没有看到什么事情发生,这是一个非常具有挑战性的任务。我们安全主管需要知道如何来和领导进行沟通,来展示一下这个系统它的功效。这就是最重要的一部分。
除此之外我们还有ROSI,这就是安全投资的回报,我们通过这个向领导人介绍安全投资的回报和业务表现。我向大家介绍一下泛泛的办法,告诉大家怎么评估安全管理的效果。当然,我们可以改善安全的水平,来保护我们环境的能力。那么接下来如果你又问我,在技术的角度我能够做什么?需要做什么呢?
首先我介绍一下微软的支柱,一个原则就是可信赖的计算策略。大家可能都知道TWC,从2002年的时候微软正式宣布的。因为世界上很多的用户使用我们的技术,所以我们希望用户可以有一个安全的使用技术的环境。比如说,什么叫做可信赖计算策略呢?怎么能够最好地理解呢?你回到家里,然后你看灯,你在开灯之前,你根本不会想那个灯安全吗?我应该开吗?我是否有什么东西不应该碰吗?你很自然地回家开灯。我觉得笔记本电脑、PC机都要有开灯的心态,你打开之前不需要担心,因为安全已经内置在了电脑里面,这就是可信赖计算的总旨。
从安全内置来讲有一个可靠性完整。不同的词,但是我们是要帮助你们保护你们的数据,如果没有认证,没有经过身份的认证,没有授权,没有人使用你们的数据。
现在介绍一下微软在过去几年在安全方面的进步,我们在技术、安全方面都投入了很多。我们去年在安全相关领域投入了70亿美元,我们希望大家使用我们的技术的时候都是安全的。除此之外我们介绍了一些开放的标准,告诉大家以后怎么样做安全的环境。我们有安全的伙伴,比如说ISACA,还有一些当地的协会,提升公众对安全的认识。
再看一下技术,这个图画得非常好,让大家知道微软怎么做到安全。如果大家想把这个技术带回家,可以把这个图拿回去看一下分解,比如说在安全认证方面我们有加密的产品,如果你想确保人们进入你的网络之前,我们有安全安全的异地书。我们有ISP,如果电脑没有这个补丁,他们就没有办法进入网络,在进入网络之前你需要获得这些部件。
然后讲一下沟通,外部和内部的沟通,我们有服务器帮助外设的安全和内部的安全。不光是对微软如此,我想任何人都会把这个拿回家,用在自己的IT的网络中。但是你用的是微软的平台,就应该参照这个体系,了解安全是什么。
我们讲了安全,讲了管理,我们和IDC做了一个很快的调研。如果IT的投资是100美元,70%是运营,30%是支持一个新的应用。比如说SOB或者是新的业务的运营,让你的企业成长。我们觉得当前的比例是这样的,我们怎么样能把IT更多的预算比例拨到应用这个层面上,我们有这样的一个模型来帮助你们。从解决方案来讲,为了更好地管理你的系统,我们使用System Center,它里面帮助你监管自己的资产和服务器。我非常喜欢方法和战略,但是你为了这么做,必须要通过MOF,大家可能都知道世界上最重要的管理框架。微软的使用技术的方法,利用的是一系列的解决方案,如果你需要变化,就需要有变化的程序,在IT当中进行你的变化。最后我要感谢大家,因为我的发言时间毕竟不长,我希望大家从较高的层面,了解到安全方面需要做什么。如果大家想了解更多的细节,我还会在这儿,大家可以和我聊天、探讨一下,看你们面临什么样的挑战,看微软能够为你们做什么保护你们的环境,非常感谢!