刘恒:广电网络安全的四个阶段五个步骤
流媒体网| 2014-10-23

  【流媒体网】消息:“2014钱塘论道·中国广电云服务暨构建高度安全的下一代广电融合网产业高峰论坛”今天(10月23日)在杭州之江饭店召开,中电长城网际系统应用有限公司副总经理,教授级高工、信息安全博士后刘恒做了演讲。

  以下是他的演讲速记:

  各位领导、各位同仁下午好!很高兴有这样一次机会跟大家再做一次安全的主题的汇报。对于广电行业来讲,安全的情况可能会比较复杂。我们先从四个方面一起串一下。

  第一个先看一下国际国内的信息安全动态趋势,我们广电网络面临的攻击来自于哪儿?来自于内部、外部、国内国外,所以我们先把国际上的情况给大家看一下。第二个是整个广电网络的现状,第三是目前大的风险在哪儿。最后针对这个风险我们有什么样的对策和建议。

  第一个问题,我们整理了非常多的内容,主要想说什么样的才是一个国家战略,实际上有一些国外的敌对的势力,几乎不是简单的从互联网的攻击。从斯诺登报出来的东西不是简单的从互联网来的,是从芯片,数据库等等。这个未来国家到底采取什么样的战略,这是第一个。第二个我们也有美国的同事,实际上美国信息安全大的战略非常好,广电作为基础设施,一定是国家信息的一个部分,美国在做他的广电体系的时候,九个大的数据,十个承包商,所以产业界的力量对国家的安全起了很重要的作用。在中国我们要保障广电网络的安全,绝对不是一个企业可以搞定的,需要的是产业的力量,共同来保障。美国从他的国家战略来讲,他的国家战略安全体系就是靠这种核心的产业力量来支撑的。想强调一下国家的战略不是一个文件,从国外的发达国家可以看出,他的信息安全战略有非常详细的分割,什么时候干什么,底下谁来做这些事情。我们中国的信息安全战略在哪儿呢?这个是一个值得去探讨的问题。实际上世界已经进入到第三次浪潮,强调的是整个的更大的创新,这个整个大的环境已经产生了变化。在中国信息安全面临着什么变化,互联网的攻击,几个黑客实际上不是最重要的。斯诺登报出来的是重要的基础设施,重要的信息系统面临的攻击,最后的组织是什么?是组织是国家,因此威胁的对象产生了变化。我们觉得有很大的挑战性,当你的对手非常强大,处心积虑几十年的时候,我们要保护重要客户非常的无力,这个地方就是想强调安全的道路,这个安全的路非常的难走。所以为什么咱们习大大自己当这个小组的组长,他特别把这个信息安全强调得非常的高,但是当了组长以后干什么呢?每个省他去做哪些事情来保障这个事情,怎么去保障呢?我认为这个是一个问题,但是并不代表不能解决。一些发达国家信息安全战略是非常完整的,而我们现在的对象环境中国已经在风口浪尖,这样就是如何走出一个信息安全强国的道路,是一条艰难的路,但是我们一定要走下去。

  第二个部分就回归广电网络,广电网络信息安全现状。最重要的是一个问题,是可能目前的这种广电网络和以前的电信还不太一样,现在广电网络更多的是一个相当于不仅仅是运营商,是一个媒体。这种媒体在新的环境下成为一个很重要的点,所以前一段时间发生的几个事件,已经证明在广电网络发生的事件,不是普通的信息网络安全事件,是一个政治事件。既然是政治事件,所以我认为在座的各个网络公司,包括各个同行都应该有清晰的认识,对手非常的强大。包括早上讲的智慧城市,在讲智慧城市之前要讲智慧的安全,你安全没有解决风险会更大,这个是全球的经验。因此看似是一个机遇,同时我们面临的挑战是非常巨大的。第二个从广电网络来讲,有很多的一些应用,它潜在的风险也出来了。第三个是我们网络的延伸,我们的网络变化也非常大。我们很多广电网络的负责人,有没有非常清晰的把网络的现状能够实时的掌握,这个网络的延伸,这个边界的扩展风险也会进一步拓展。第四个是今天在吃饭的时候,励总还在说终端的问题,终端也快成为一个攻击的目标,因为终端在每个人手上,这样的话等于把攻击延伸到了每个人手上。除此之外还有一个技术问题,互联网的攻击技术全部可以用过来,这个可能就是我们面临的风险,就广电网络发展的时候打开一个口子,所以这个新的技术也会让我们面临一些新的威胁。原来500强企业,在96年的时候80%没有做安全。实际上就是四个阶段,任何一个企业做安全,第一个阶段是不干活的阶段,就是盲目的做。中文是盲目乐观,就是说很幸运的忽略了安全,没发生事件我完全可以不做,80%是这样是不做安全,没发生事申请钱我都不好申请。第二个阶段就是开始认知到安全有问题,可能要评估,制定政策,然后建立团队,启动安全战略项目。上次曹总给我们大家的一个任务,华数现在有可能是刚开始在这个阶段,但是华数要走向第四个阶段,曹总说我们要做最安全的网络。第三个阶段实际上是改进,不断地改进,你制定出很多的项目,很多的流程管理。最后一个阶段是专业运营。我想说目前的广电网络没有统计,如果统计下来,可能第一个相交的数字会更大。但是为什么会出现这个原因呢,我总结了六条。第一条就是一把手重视不够,第二个我觉得个人的安全意识,很多的各层级的人对安全的认知意识非常重要。第三个就是战略,第四技术手段,第五管理,第六个是整个的安全能力薄弱。

  现有的问题,我们的网络现在有什么问题,我们不动行不行?这个大家可以看一下目前存在的风险,第一个可能就是说我们从安全广电这个特殊的安全来讲的话,第一件事情就我们要做出稳定的播出,第二个内容一定是安全的内容,这两个大的东西是和其他的行业有大的区别的。我们在内容上不能出错,我们在跟华数合作的时候,已经采取了一些措施,如何在这个过程中保障我们内容的安全。在这样的情况之下,目前有几个途径,大家可以看一下几个途径。第一是我们对象,任何一个在座的各个网络公司可以看,谁来破坏我们的网络,从头到尾一定要看看是谁来破坏第一个是可以从外部网络,办公网络发起攻击,这个路径是存在的。第二个是从单项的广播网中间也可以去发生,这个是可以做到的。从单项广播网中间可以篡改相应的内容,包括进行一些非法的信息的发布。第三个从双向传输网的中间发起攻击,第四个就是机顶盒,第五个家庭网络发起攻击,第六个可能从家庭网络的终端发起攻击。这个就发起攻击的途径非常多,到目前来看,为了保障播出的安全,从我们内部的系统来讲,我们各个层面都存在一些风险。完全可以通过机顶盒测试发现对核心系统进行攻击,而且进行篡改,进行控制,包括相应的信息。从一个小的案例证明攻击来自于全方位的攻击,全方位的攻击不是一个概念,它是可以做到的。而且我们的对象来自于五花八门,黑客不是最主要的。特别是你要变成一个政治的平台的,最最怕的是组织和国家的力量,这样的话麻烦就大了。我们怎么做?这么重要的一个西东,攻击那么多,我们用什么样的方法才能解决呢?所以回头来讲四个阶段是少不了的,首先我们要认知到安全问题,做好规划,建立好团队。

  那我再说一下这个怎么解决的问题,它不是一个简单的技术问题,英语说的就是攻击者是你安全的一个部分,所以我们要提供一个安全系统的时候,你一定要知道这个攻击者,如果不知道攻击者你的方案是没有用的。所以一定要看谁来是我们的攻击者,到目前为止,中国的很多的安全方案里面,并没有把攻击者作为安全方案的一个组成部分,这个太重要了,等于说没有针对性,这个是值得去思考的一个问题。

  所以假设我们攻击对象是一个国家来攻击你,事实证明你的核心的路,你的操作系统,主板上别人都可以放东西,你怎么保障你的安全,甚至还采用了各种发出设备。这些我们的对象,攻击者决定了你的安全该怎么走。

  首先安全问题不是技术问题,全球最厉害的黑客,别人都问他你到底用了什么技术,他说我没有用技术。人是最大的薄弱点,我刚才看的时候,2014的最新的报告,要以技术控制,转向人的控制,以人为核心的安全控制才是最重要的,所以印证了这个人是最薄弱的点。所以在座的网络公司在做安全的时候,一定要加强自身的动力,以及我们的人的培养,以及看一下这个关键点的人是否有问题。

  安全到底怎么做,可能就五个步骤。这是全球的经验,第一你想保护什么,第二个就是你保护的这个东西,如果我不做的话有什么风险。第三我们怎么转移风险,第四转移了风险会不会有新的风险产生。最后一个是如何保持平衡。我们现在自己的现状又是安全基础非常的薄弱,那你怎么拉做一个均衡,大量的投资到安全上又不太现实我们也非常的头疼,第五个步骤我们非常的难做到,你花钱多了又和网络的发展不配套,这个麻烦就大了,我觉得唯一的解决办法还是要共同商量把这些风险,特别是要加强管理,我认为买东西,大量产出东西还不是解决办法,一定要把管理的分量大大增强。利用我们的人,利用我们的管理去减少这样的风险。

  这五个步骤就是全球怎么做呢?我简单说一下,就是我们要有一个大的管控体系,两个支撑,四个大的工程,从内容、网络、系统和终端多个方面来保障广电网络的安全体系,这个还得再改。就是这样的架构还得去改,这个只是部分的实践,从大的工程来讲的话,我们可能主要是第一可能是网络安全,我们保障这个网络的安全,第二我们有一个要把最核心的系统,最核心的应用要保护住。第三我们要保护内容的整个过程,不能播出去的东西就困在那儿,那就麻烦了,我们华数也有很多的思想要逐渐的去发布去实现,就是保障内容的安全,要多一些创新的东西。从终端方面也要采取一些,保证这个终端的内容的安全。在管理上有一系列的管理的制度,同时建立几个最重要的基础设施,广电总局已经要求了我们网络对发生的事情可追查可监察,但是我们现在都做不到。

  不是说你了一个工程就能解决问题,必须经过一个周期,两个周期来完成,所以世界500强企业在经过这么多年的建设,还只有一小部分达到了卓越运营,我认为广电网络的安全道路是更加艰难的。但是我们也愿意与各位同仁一起来解决广电网络的安全问题,谢谢!

责任编辑:lmtwadmin

版权声明:凡本网注明来源“流媒体网”的所有内容,版权均属流媒体网所有,转载需注明出处。凡注明来源非“流媒体网”的所有内容,其目的在于传递更多信息,并不意味着流媒体网赞同其观点或证实其内容的真实性。