轩晓荷:打造统一、集中、标准、便捷的信息安全管理模式
流媒体网| 2014-10-23

  【流媒体网】消息:“2014钱塘论道·中国广电云服务暨构建高度安全的下一代广电融合网产业高峰论坛”今天(10月23日)在杭州之江饭店召开,亚信科技(中国)有限公司安全咨询规划部总监轩晓荷发表了题为《打造统一、集中、标准、便捷的信息安全管理模式》的演讲。

 

  以下为轩晓荷演讲速记全文:

  我介绍的内容跟刘总的内容可能有点像,但是更多的是我们偏信息安全的想法,亚信本台是BSS厂商,在业务支撑,无论在广电移动还是电信都有一个很大的市场份额。我们的安全软件也是亚信的四个公司之一,主要是负责生产管理、房屋管理的审计这样的方面,我今天想给大家介绍一下我们在移动、联通电信帮他们大作的在安全管理方面的做法和实践。

  整个安全来说涉及到的面很多,就是有终端安全、内容安全、网络安全等等。广电这块的解析我就不再多说了,我针对传统的安全,这个IT系统来说,实际上会很多的安全威胁。举个简单的例子,比如说在2013年大概10月份到11月份的时候,有一个1700万客户资料泄密的时间。这些客户资料泄密之后,会卖给一些房地产厂商,这样的一些违规的操作。另外还有一些业务的运维,比如说一些运营商后台负责运维的人,通过业务系统的接口,然后进入到业务系统里面去改自己手机卡的余额,最后改了大概100张卡,加起来的钱可能是上千万的样子,里面还改了积分,积分大概改了好几个亿。这个事件是告诉我们运营商这块面临着很多的信息泄密和异常违规操作的安全的风险,这些风险来自于各个方面都有。最重要的是第一个那就是价值利益,因为有钱啊。前两年价格比较贵,大概一条可以有十块钱,最近比较便宜了。这里面是涉及到我们广电这块也好,会有大量的家庭客户的住址的信息,会有客户的电话等等一系列的这样的敏感数据。针对这些敏感数据,这些产业链已经非常的稳固,只要你去买基本上是可以买得到的。

  今天上午下午无论提到云计算还是三网融合也好,都会涉及到我们新的业务模式,这个新的业务模式是把更多的人往互联网上推,这样的一个情况,这个时候面临的安全问题是泛化了,原来的时候你只需要守住自己的家门口就可以了,现在等于你家里面的财产都在人家家里放着呢。这个会涉及内外部环境变化对我们的安全带来的不确定性。第三个是攻击这块,攻击技术也在层出不穷,我大概从98年做安全,当时是给银行写安全方面的应用安全的软件,那个时候你要去软上找一个扫描器是很难的事,大概做黑客的人,或者是做应用安全的人都知道,那个软件用了三四年,那个是评估的标准软件,但是现在不是了,加了一些专业的工具。第四个就是业内的创新,这个会导致我们管控的难度的加大,但是这整个的分析并不是说我们不做业务了,我们不去发展了,我们还是想做发展。我们还是想去看一下,就是说从大概两千年左右开始,到2013、 2014年,关于信息安全系统,我大概分解了四个阶段。第一各阶段就是设备化阶段,在2002年到2006年,可能大家不断买设备,不断买防火墙。我是中国第二家做防火墙的公司,然而做出来的防火墙到处都是。当时是设备化的阶段,在2006年到2008年左右,当时有一些大的、好的行业,比如说像银行、石化、中国移动这几个公司做了一个边界隔离。截至到2008年2012年左右,这四年他们在做一个统一化,就是说去构建自己统一的安全基础设施,包括统一的身份证,统一的安全中心,统一的运营管理,做了一系列的标准化和统一化的工作。到现在他们在做什么呢?到现在是在做安全方面的一些分析、挖掘以及提高可视化监控,然后访问的这种全流程跟踪,去做这个很深层次的安全管理技术。那么这四个维度可以说是中国移动、中国联通他们在走的四个步骤。

  那么作为我们拿出来秀一下,主要是我们广电可以参考这个做的方法,可以构建自己更安全的管理体系。当然比如说我们去考虑构建这种一个集中化、标准化的安全体系的时候,需要考虑的方面有很多。

  第一个方面就是人,今天也提到了就不人的问题一定要管好,这个人是统一的一个最基本的东西,这里面会涉及到你的岗位的管理,人的流程,就是同样一件事,比如说一个IT系统,他正常上线,在上线的过程中,是不是要做评估。我一个新员工的入职,我的账号的创建是不是有一个统一的创建的方法。这里面会涉及到一个组织、人员、岗位和流程方面的统一。在集中这一块,这里面是涉及到集中的监控和集中的维护。这个和传统我们的运维模式不大一样,传统的运维模式你可能去管理,你是这个播放系统的管理员,你是那个系统的管理员你就直接上去了,这里面可能就涉及到我们要把里面所有的主机,所有的网络设备,所有的数据库要有一个集中的管理的地方。在便捷这块,目前我们做安全实际上是为了应用,而从感知上面来说,一般都会做得很好。防火墙大家都知道,这个对后面的安全不大好的,目前我们可以去做这种动态的展现,实时的看到来自于不同的安全设备告诉我的一些安全的状态。

  最后一个是标准化,这里面涉及到管理的标准化,什么样的系统是可以满足要求可以上线的,事实上在各个行业都没有标准,我们也在帮一些运营商去树立一些安全合规,帮他们去检查是不是能够满足这个要求等等,这些里面会涉及到一系列的标准化的问题。在考虑您的安全模式的话,可以从这四个方面来着手。那这里面就是说我们反过头来看,我们来看这样一个集中的统一的标准的便捷的这样信息安全管理模式,和我们现有的IT系统的关系,现有的IT系统很简单可能是我们的浏览器,后面是数据库服务器,顶多是放在云上面,这个不管采用什么架构都是一样的。在这种架构下你要考虑的因素有这及方面,第一个就入口层次上来说,我们考虑把所有人的入口,包括你的管控,包括你的认证,包括谁能进来访问控制的策略,这个有一个统一的访问管理的需求。我们需要把每个人做身份的认证。在顶层我们所有的主机,或者是数据库里面,这里面可能会涉及到数据的安全,这样摆出来的架构,目前是一些比较大的行业,基本上是大家比较认可的一种模式,我不是说广电不大,我只是说我们广电特别是在安全上面走得不快。中国移动全国所有的系统每个省都做了集中的身份访问和集中安全管理一系列的安全的体系。

  另外一点就是从技术上来说,我们还需要考虑自己的人和组织方面的问题,就是人管不好,什么都是白说的。我们需要有一系列的考核、监督等等一系列的管理的要求。有些运营商他们每年会做各种各样的检查,这里面会有一些检查方面、技术方面的安全的模式。最终的结果可能是说我们在同意的安全技术服务基础上,我们可以把资产、人和流程集中起来的管理模式。刚才提到了就是我们要构建统一的基础设施也好,还是什么也好,我们规避了一点就是IT的条状化建设,现在在广电这块是这样的现状,在2008年在开始的时候,我们开始做这种项目的时候,他们每个省都有40多套系统,他们每一个都有自己的账号,自己的权限。然后这是第一点,第二点所有的主机都是单独的,每一个主机都有番号。就是每一个都是条状化建设,在集中的安全化管理模式下,第一个就是统一身份,所有的系统只有一个账号,可以访问你的权限范围的任何一个系统,这个就要统一身份管理,这个是可以做的。我们现在在全国做了20多个项目,都是这样实现了。另外一点就是说我们要加强集中的审计,然后通过审计来追踪和可控,来提升整个集中安全管理。

  除了向上面的之外,我们还要在主动安全管理,和安全关的工具上面进一步的加强。比如说这里面会涉及到安全设备安全事件的集中化管理,这个在传统化里面也有这样的管理。安全运维的自动化,这里面会涉及到大量的基础工作,我们要做扫描,要做配置的检查等等,然后要启动任务。这里面我们可以做的是所有的主题全部是自动化的来做,可以定一个任务,可能是明天晚上12点做,第二天早上上班的时候你就可以看到报告了。以前我们要去单独的去配策略,我们我们可以在一个界面上去配。

  在制度这块,我们在近十年帮运营商做安全项目的时候,帮他们出了一系列的安全管理的细则或者是管理的办法,这里面会涉及到各个方面比如说他的账号管理方面、审计方面的一些安全的制度。其实一个制度的标准和执行是要相对的,就是说我们可以把制度上做得可执行的话,对于安全的提升会有很大的好处。在监控分析方面要提到的可视化,我们做安全做了很多的方面,但是列车看不见,或者是出现了安全的事件之后,我们还要在后台一点一点的去查,这些都不方便。那我们可以通过这个分析,帮你自动化去分析这个方面,做进一步的提升。举个简单的例子,我们碰到很多的例子,他们只做业务查询,不做业务办理,这是在卖客户资料。我们曾经做过这样的统计,你把来自系统里面针对查询的市民的人,你会发现普通的客服人民他们的查询量可能是好几千笔,但是帮用户去缴费这样的操作非常的少,这个比例非常的不协调。这个情况下你单独的看,你是很难去发现问题的。通过我们一系列的安全审计的策略就可以帮用户自动化的去找出来这样的违规行为。

  在技术方面,我一直觉得就是说一个好的技术实际上对于管理方面的作用提升是很大的。以前是讲三分技术七分管理,我个人觉得在技术上提升对管理的能力这个应该是去做的一件事情,并不是说所有的人,你把他定好了就一定行的,现在的人都是不可信的,因为我们曾经发生过一件事情,这件事是一个技术经理在做,但是这个技术经理在偷数据或者是违规的行为,但是真正公安过来协助调查的人是谁呢?还是这个人。然后作为每一个公司来说,他维护的肯定是自己的人,作为业务支撑,一旦出事之后,领导不见得就把这个人供出去的。所以技术对于安全管理方面的作用是非常大的,并不是所有的东西要靠管理来做。我就现在就向有些方面,有些管理可以提升效率,包括这些分析和预见,这方面对于管理方面的提升是非常重要的。

  上面基本上是我大概介绍了,一个是目前我们在其他运营商这块做得比较不错的标准,这样的一个管理的模式。作为亚信来说我们在做安全这块的人是有1300多人,因为每年的产值刚开始5个亿左右,我们做的东西比较少的,我们不是全线去做。我们主要是涉及到账号权限管理这方面的解决方案。我们在给用户做服务的过程中,更多的希望提升用户在自己的支撑,自己的运营上面的主动、可视这样的能力。

  这是我们就是整个产品方面的一些和服务方面的一些内容,第一个是身份管理,我们在中国移动这块,他们有的省有6万多人,他的生产管理都是在我们的平台上,中国移动10086都有好几个亿的账号在我们的管理上,然后审计、设局安全的运维管控这些方面,我们有一个叫4A产品,就是帮助用户解决这个权限管理,数据管理和自己的运维管理,一系列的解决方案。国家这边或者是其他的部门,会对我们发一些检查的要求,我们这些可以帮助用户去做合规的集合,自动的下发,以及安全管理的流程等等一系列的方面。另外我们还有安全智能分析的这样的解决问题,今天下午有专家也提到过,这里面就是基于大数据的基础来做安全行为的挖掘和分析,实际上很多的省都在用,我们有些的数据量,现在有个省的数据量已经达到了30个T,我们针对30个T左右来做智能化的挖掘。

  这个是我们整个产品的能力和框架,我们也可以帮用户去做这个安全的咨询服务和安全管理的服务。从产品最主要帮用户解决问题来说,我们可以帮助用户做实时的感知,集中的呈现,就是我可以自动化的帮你实行自动化的监控和态势的分析在身份宽度这块我们可以避免条状建设,我们可以实行全网通行,防止越权操作和异常的违规操作。另外大家也都在做大数据,我们有一个创新的解决访问,这个在移动端也在做部署,可以防止大数据情况下的数据的安全,这个我是拿出来做一个简单的解析。

  最后就是说整个亚信的安全,实际上我们是做定制化软件的公司,我们可能是对产品平台本身,我们是有自己的,但是我们基本上是按照用户的需求和需要去做大量的定制,这样的一体化的服务。我们也希望和广电,和华数去长期合作,去共同研究在广电这块,在他的身份管理,数据安全这块的解决方案。在大的系统的交付的运维上来说,我们做过超大规模的项目,包括全国的联通总部的项目,这样的一些情况。

  我整个的分享就是这么多,谢谢大家。

责任编辑:lmtwadmin

版权声明:凡本网注明来源“流媒体网”的所有内容,版权均属流媒体网所有,转载需注明出处。凡注明来源非“流媒体网”的所有内容,其目的在于传递更多信息,并不意味着流媒体网赞同其观点或证实其内容的真实性。