新闻中心 NEWS
产品搜索 Search
·您现在的位置:首页 > 新闻中心 > 行业新闻
赛门铁克李刚:明日安全,今日塑造

 赛门铁克大中华区技术总监李刚在2012 RSA大会上的演讲:赛门铁克大中华区技术总监李刚

我们所探讨的所谓中国的这样一个背景,其实大家知道中国的经济在过去20年里面可以说是飞速的发展,迅速的成为世界第二大的经济体,中国的ICT产业的规模也是特别庞大,但是与之相对应的,中国信息安全产业的规模一直可以说,它的发展的速度,相对于刚刚我说的两个指标,一个是中国的经济规模,一是中国的ICT规模来说都是不够快的,具体的数字不用在这里讲,我们就看一下RSA大会,在美国的RSA大会和在中国的RSA大会的规模,实际上大家就会有所感触。但是信息安全有一点,跟IT行业相类似的,具有IT行业贡献的,但是特别突出的一点,信息安全行业可以说是非常的动态,也就是说挑战很多,但同时机会很多,信息安全行业的整个的挑战和机会来自于哪呢?来自于刚刚我的动态,除了信息安全本身技术的发展之外,还跟信息技术本身大的发展,威胁的发展等等有密切的关系,所以说今天我开篇先谈一下所谓整个的信息技术发展的重大的改变,这个重大的改变大家都知道,大家看到这个是传统的一个企业IT的环境,高度的浓缩和抽象的一个企业IT环境,到今天有了重大的发展,这个发展就来自于第一个云计算,企业计算环境已经被云计算所包围,而且我们在谈云计算的时候有一点,云计算从2012年1月1号开始云计算时代已经到来了,在我们身边。第二个大的发展是终端设备,也就是说企业用户区获取IT技术和IT服务,以及信息的手段发生了很大的变化,这个变化看似微小,实际是革命性的变化,其中有两点,第一点是说传统的企业在向它的员工,或者它的客户提供服务,提供信息技术的时候,访问这种服务和信息技术的设备的所有者,是这个企业,当然现在越来越多的企业员工,或者是客户在用个人的IT资产,IT设备去访问这种服务,这是一个很大的变化,这个变化带给信息安全什么样的挑战呢?我们先看一下这个变化本身的实质是什么?我们可以认为云计算可移动计算,或者移动互联网带给IT的变化是革命性的,只不过这次的IT的革命性变化没有伴随着这一次互联网改革一样,带着整体经济一个大的飞跃,那么引起注意和关注。但这一次的变化我们认为它等同于上一次的互联网革命,它打破了很多的边界,其中第一个打破了我们传统应用的边界,许多以前我们没有想到的所谓的IT技术所服务的场景,现在出现了,而且是大量的出现,可以说只要你的想象力能够到达的地方,就是IT技术能够触及的地方,我随便举两个例子作为引子,前些天我在我们公司楼下的餐厅吃饭,我对服务员说对不起点菜,服务员没有看着我,而是从兜里拿着一个手机,我说对不起我赶时间,你不要看手机,服务员说我就是在点菜啊。这是什么意思呢?就是说现在一个小的餐厅,现在通过这种方式马上可以信息化,所以说这种云计算和移动计算打破了应用的边界,第二个边界它打破了什么边界呢?打破了我刚刚说的资产边界,也就是说我们在去访问服务的时候,企业内部部客户访问服务的时候打破了资产的边界,很多是个人拥有的资产进入到了企业的内部,这对企业IT的管制产生了很大的挑战,第三打破了服务的边界,传统的企业用户在获取服务的时候只能从企业IT部门来获取服务,现在有一个概念叫引子概念,而是不经过IT部门,通过租赁购买的方式来获得这种服务,这三个边界被打破以后,显然第一个对业务来说是有巨大的推动作用,所以这三个趋势是不可阻挡的,但是对企业内部的风险管理的主要的责任承担者IT管理来说有很大的挑战,这个挑战主要是说第一个控制率变弱,第二个风险敞口变得很大,这个我相信大家很好理解。但是正因为如此,像刚才我说的变化很多,也意味着什么呢?我们站在新的起跑线上去追赶,这样的机会也会变得更多,所以我们经过长时间的观察、思考,长时间的分析我们认为对于我们中国的客户来说,对于中国的信息安全的厂商来说,对这个行业来说,对政府部门来说,以及对于客户来说,我们去快速提升中国信息安全的水平,我们有这么两点可以去重视,第一点就是我们说的应对基础架构的重大变化,或者叫应对整个IT信息技术技术发展方向的重大变化,在这里面有很多技术、挑战需要我们提供给我们的客户,第二个就是要有一个更优化的风险管理和信息保护的框架。

  我们先看第一部分,应对基础架构的重大变化,我们看整个IT环境的变化体现在两方面,一个是云环境,要在云环境里面建立信息,刚刚我们说的引子IT也好,我们所说的个人对信息的更多的访问渠道也好,事实上都是需要我们有一个新的思路去思考怎么样在一个云环境里降低企业的风险,来提升企业使用云环境,把我刚刚所谈到的,能大幅度提高生产力,能大幅度提高IT生产的渗透力的引入到我们的实际生活,这样来消除一些云环境产生的障碍,这样我们要把支持企业IT将治理和控制策略扩展到云环境当中,我们控制管理的对象产生了变化,之前我们在谈信息安全技术的时候,经常谈对整个IT的从最基础的基础架构到上面的网络、技术、应用等等统一的保护,到现在如果这些所谓的IT战略里面有很多部分不是你所能控制的,你将从何处着手,第一是人,人是我们可以控制的,第二信息是你可以访问和控制的,你在一个云的环境里,在你一个企业去自觉,甚至于自觉,故意或者不故意的采取外部云服务的时候,你能管制的一个新的控制点就是人和信息,人的行为和身份,以及信息本身,这样你就可以去建立一个真正的控制点,去立足,所以这是我们谈到的第一个部分。在云环境当中还有一点我们可以借鉴的,也就是说我们可以看到我们既可以自己去部署这样的一个新的控制点,我们还可以利用云来保护云,这样的技术我们事实上也可以去寻求云的保护,这也是我们未来,这是云带给我们更安全的一个环境。

  除了云这个环境以外,还有一个挑战,我们刚刚说的移动计算和移动互联网的大幅度的使用,移动计算里面很重要的跟传统的所谓的访问信息和信息服务的手段相区别的就在于我们谈到的就是这个资产本身是混在一起的,也就是说这个资产本身,这一部智能手机或者是PAD的属于个人,但是其上的信息和应用或者属于个人,或者属于企业,如同我们刚才所谈到的对云环境的保护一样,在这样一个环境里面,我们能抓住的,我们能去控制的控制点也就是个人的身份、行为以及信息,这三点是我们能去控制的,当然还有更多的挑战我们等一下会谈到,还有一些特殊的地方,这就需要我们有技术手段来把个人和企业的资产能够分开,能够分清楚,在这样一个环境里面能够分清楚这样的信息或者是应用。所以这里面牵涉到很多相关的新的控制点的建立。但这只是点状,要一个系统来支持的话,事实上我们面临的挑战还不止这些,就是我们在这里面谈到的应对快速增长的企业和个人应用,我们既然是控制信息控制应用,去管理信息管理应用,但是我们的管理对象跟刚才所讲的云有所区别的是在于说,一个企业它所需要去控制和管理的云服务基本上是有一定的数量限制的,比如说十个、二十个云服务,但是企业内部需要管理的应用来说是爆炸性增长的,这个很好理解,就像我刚刚说的,移动应用它以后所渗透的应用场景,只受制于你的想象力,只受制于你的创造力,有大量的企业、移动应用会爆炸性的增长,怎么应对这个增长其实才是本质,不仅仅是我刚刚说的点状的这样一种技术,所以这就需要有一个企业的安全的APP Store,来去做管理,这样有一个很重要的因素,它不会去妨碍到你的想象力,你的创造力,真正去创造企业移动应用场景的团队,不需要过多的思考安全性的问题,只是说我们可以把企业的安全策略,只要有技术、手段,集中的统一的部署下去,就能够去最大程度上的消除的安全的担忧。

  刚才我们谈到两个今后值得重视的投资领域,值得重视的安全防护的重大的领域。

  第二个话题就是我们要优化风险管理和信息保护的框架,这个中英文互译有点纠结,我们讲的不应该是一个框架,而是一个方法,这个话题我们一直在谈,可以说并不是一个今天才提出来的话题,但是我们认为这个话题有必要在中国的RSA会议上再次提出。因为第一它确实是我们中国的信息安全发展的一些关键性的问题,一些需要真正去突破的问题,第二事实上现在的技术和发展使得这些问题的解决有了新的思路和想法,当前的方法有哪样的一些差距呢?最重要的差距,在座的如果都是信息安全方面的专家和业内人士的话,我们都会有一个很大的困扰,刚才的演讲嘉宾也谈到一个脱节的问题,我们很难有办法,这是一个长期的问题,去把信息安全的投入和业务目标结合起来,也就是说我们总是在安全的圈子里面去谈安全,怎么样把我刚刚所说的,我举一个反利,如果我们谈云计算,谈移动互联对业务的推动的话,我们只要说一句话就够了,就是我刚刚所说的那句话,移动计算对整个业务的发展的促进,只是受制于你的想象力,只有这句话就够了,但是我们倒过来想安全呢?所以这是一个很大的问题,就是说这个问题我们需要去在我们整个思考企业信息安全建设的时候,需要去着力去解决的问题。第二个问题跟第一个问题是相关联的,就是风险视图,事实上我们一方面往上难以把信息安全风险和业务风险紧密的关联起来,很有趣的是往下我们去思考信息技术风险的时候却又缺乏有效的手段,把这个风险视图完整的展现出来,在这个风险视图里面有很多所谓的死角,这个死角有两个概念,不够详尽,第二个死角是时间轴上面,是静态的风险描述比较多,刚刚我上来就说,信息安全最大的吸引人的地方就是动态,它总是在变化的,在这方面我们觉得是存在有差异,第三部分是缺乏明确的指引,所谓缺乏明确的指引里面,跟第二类有关联的就是说我们讲过很多年的合规,在中国市场我们讲过很多年的合规,但是我们所发现的大多数对合规的理解不正确,其中最重要的不正确就是为合规而合规,其实合规这个词我都觉得翻译的有问题,造成了国内在这方面工作的脚步比较慢。事实上合规是给信息安全建设一个很好的指引,所以我们觉得翻译成指引是可以避免很多的误解的很重要的方面,所以我们希望今后我们多谈指引。这是第一个缺乏指引。第二就是指引不明确,指引不明确不明晰的问题就出现在我们所谈到的,一个很好的指引方法就是企业和企业之间的类比,做得好的企业和做得有差距的企业,到底他们之间的差距在什么地方,这是真正的值得企业和我们所谓的产业界、学术界和政府无去花时间推动的事情。第四部分比较战术性或者技术性,修复能力目前有限,这些我们是一条一条,这四个方面是一条一条有涵盖的,一条一条是有逻辑安全在里面的,不完整的风险视图,然后模糊的指印,这个也是很有意思的事情,有限的修复能力,这个本身是脱节的,这两个是紧密结合的方式,但是在这方面经常也会出现脱节,这个脱节是说有效的努能力就变得比较弱。

  所以这四个方面我们是可以优化的,针对第一个方面的优化,我们需要第一个从思想上尽力的把IT风险和业务联系起来,使管理者清楚了解所谈论的风险是指什么业务流程。这里面有一个很重要的就是工具,刚刚我们前面几位演讲嘉宾都谈到人才的问题,对信息安全来说有一个比较大的挑战,就是对人的依赖性比较大,但正因为这样,我们才需要更多的去发展相关的技术和工具,在这方面我们需要做努力做工作,使得这种流程,这种方法能更好的更多的更深入的工具化,能工具化的话,就使得我们刚才谈的很多问题就变得相对容易了,能够拿到很清晰的视图,很有说服力的,很动态的,很及时的连接。

  第二个不完善的风险视图的话,同样的除了我们所说的在整个的建设思路方面有所改进以外,还有一个很重要的是引入相关的工具或者是开发、研发相关的工具。这是我们讲的实时的风险管理,这个风险管理就是我们提供动态的展示,能让企业明晰我所处的环境,目前的风险程度如何。

  第三部分基于最佳经验和指引,我们刚刚所谈到的安全很多是基于知识的,基于智能的,那么这些知识和智能怎么样去快速的转化成为我的应对手段,这个很重要。也就是说我们需要把安全知识怎么样的通过工具把它变成一种产品,来去提供相应的服务给客户。

  第四就是我刚刚谈的,有相应的技术性的和战术性的手段,来帮助我们提升对安全的缺陷的自动化修复的能力,我们讲尽可能采用自动化手段,但其中比较纠结的是在这个前提下,我们还要保持一定的人工技能,至于这个人工技能是保存在企业内部还是企业外部,这是大家在探讨的问题,我们是否在企业内部去保存足够应对于严重的安全问题的手段,还是说放在企业外部,这要看这个企业所处的行业,以及IT的相应的投入。

  在我结束我的演讲之前,我希望跟大家有机会分享信息安全体系成熟度这样一个指标,这个指标实际上是我们去衡量一个企业对信息安全建设保护的一种综合的评价体系,在这个当中,我们可以看到很多都是很基本的,但是很有效的一些概念,比如说对主要安全要求的遵从,也就是你是否采纳了,已经被业界所证实的,证实有效的相应的安全体系建设,这是一个最基本的要求。

  第二个要求就比较有意思了,你是否能走在威胁到来之前,我相信这个成熟度指标有很多企业达到都比较困难,直接问一个问题,你是否知道什么是最新的安全威胁?我相信这个是对很多企业内部的信息安全管理团队的一个挑战,你更别提怎么样走在威胁到来之前。我曾经做过一个小试验,如果我们把一个企业过去五年的信息安全建设的路径抽象出来,抓住一些关键性的指标抽象出来,我们再把相类似于很多厂商和机构都会提供的年度的互联网安全威胁报告和分析拿出来,看一下过去五年真正的安全趋势威胁的变化是哪些,我们把这两者做一些比对的话就可以看出很多很有意思的结论。

  第三点这是一个重要的能力,大家知道安全是高度变化的,你有没有能力去抓住当前一个特定的企业它所需要关注的最优先事项,关注最优先事项本身这句话是废话,但是什么是最优先事项,这才是焦点,第四个部分是更难了,要建立可持续的风险管理体系,刚刚风险我说了动态一个体系,怎么样有一个机制能够跟随它走,走在他前面当然更好了。

  最后一部分和业务紧密连接,这是一个最高的状态,真正的把风险和业务连接起来,使得我们取得一个最佳的平衡,但是在最后结束的时候我要说的是,事实上我们需要看到的是我们的行动计划不必跟随这个成熟度模型,现在最急迫的是对主要安全要求的遵从,这两点是最急迫的,因为没有最后一点就得不到重视,就像我们刚刚所说的,举一个很简单的例子,一个国家的军事开支应该占国民生产总值的多少?这实际上是有根据的,是可以说出来的,对吧?包括你面对的威胁,包括你这个国家对外的依存度,还有你所谓的国家的防御战略,这都可以作为你军事开支占国民生产总值的比例,但是一个企业IT的信息安全开支,应该占一个企业的开支的多少?我相信行业和行业不一样,这是对的,但是一个行业内部规模相类似的两个企业为什么会有很大的不一样,这就是不对的,这就说明什么呢?这就说明我们在这方面还缺少很多的工作要做,作为赛门铁克在中国的整个安全市场上十几年的工作当中,我们强烈的认为,刚才我所说的这两个方面是促进我们整个中国信息安全建设的两个重要的环节和重要的因素,我们也希望通过我们大家在座各位大家的共同努力,使得我们的整个信息安全的发展发展得更好,今后的RSA中国大会规模越来越庞大,会有更多的厂商、更多的研究机构,以及政府部门,还有我们的客户们,大家更多的更积极的参与讨论。


原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/234/12416234.shtml


关键字:

相关阅读:
·互联网时代,企业将面临的问题与挑战
·研究人员称更多木马将目标锁定Linux系统
·未来,病毒攻击更精准!
·僵尸云:成长中的僵尸网络如何提供犯罪服务
·2012年全球三大重要信息安全事件大盘点
·企业面临的新安全威胁:自带网络BYON
·微软Skype出现账号大漏洞 人人都可以当黑客
·Windows 8系统安全性的预期效果和风险
·赛门铁克:数字技能是多数美企招聘新员工的标准之一
·服务器虚拟化考虑因素盘点
·Windows 8升级常见问题终极解答
·为您排忧 正版Win 8从购买到升级过程详解
·服务器虚拟化 多操作系统考量
·存储管理在服务器虚拟化环境中的作用
·Liunx系统探秘:真安全还是假忽悠?
·SQL Server 2008 R2十大新特性解析
·甲骨文继续采取措施 进一步将MySQL转向闭源
·三种东西永远不要放到数据库里
·微软Surface平板:美梦 or 噩梦?
·Outlook 2013采用Exchange Active Sync协议
·Oracle数据库通过Red Hat企业级Linux 6认证
·惠普微软双认证计划 驱动企业及个人共同发展
·西数4TB黑盘实测:真的比日立差很多
·桑迪飓风过后引发出的思考
·桌面linux的生死,谁又能说得清楚?
·从Amazon停机事件说起:故障不可避免 风险管理常备
·云计算拖累VMware增长 大比投入打水漂
·VMware更新vCloud Suite 扩展云管理功能
·把企业数据搞丢的七大捷径
·虚拟服务器的备份之困
·业务连续性中的有效数据保护途径
·全方位防护 赛门铁克展现移动安全完整版图
·Rose 原厂关于所谓“代理商服务版产品”的声明
·Rose 积极响应国家打击侵犯知识产权行动
·Rose 正版产品包装更新说明
·审查思科:把持中国信息系统中枢 程序留后门
·MSN坠落记:用户数量跌回10年前 在华虽存犹亡
·赛门铁克适用于中小公司至大型企业的3种备份解决方案
·Symantec System Recovery 2011 Virtual Edition
·赛门铁克升级备份产品NBU7.5提速100倍 
·VDI之争:微软为桌面虚拟化加大筹码
·微软新品发布会:Surface Pro 2隆重登场
·Surface产品参数对比
相关产品:
·System Center Operations Manager 2007
·LANTC 1000
·LANTC HOTEL-30
·LANTC ISP
·LANTC 100
·LANTC 300
·LANTC 200
·LANTC 500
·LANTC 50
·LANTC 30
·LANTC 10
·LANTC HOTEL-50
·LANTC HOTEL-100
<< 返回
联系我们 CONTACT US
咨询热线:
400-777-8286
售后服务热线:
400-777-8286
明星产品 STAT PRODUCTS
版权所有:郑州雷安泰克科技有限公司 豫ICP备12005620号 关于我们 | 加入我们 | 合作伙伴 | 网站声明