常昊:我认为我们都在谈云计算、IDC、客户迁移到云上给客户带来的挑战,这肯定是有挑战,给客户的主要挑战是因为客户有自己的安全标准,就好像原来过惯了很舒服的日子,不能指望把我以前的生活条件砍掉去你那里住。客户可以选择自建。大家反过来想想今天这个会是IDC,IDC是靠客户的选择生存的,每个人都有这个概念,客户为什么选择你,其实安全是一个绕不开的话题,你肯定要先解决了安全的问题。客户现有的安全解决方案是不是在云上都能解决,你就会明白客户为什么会选择他的云服务,因为客户不会降低他的云安全标准。
王健:很多安全问题并没有百分之百地得到很好的解决,过去很多小企业买了好多IPS,但不知道怎么配,管理员也不知道怎么配,我们做企业用户的时候经常见到这种状态。很多问题很多产品都被传统厂商迁到云上基于SaaS化的东西,用户配起来简化了很多,自适应能力变强了,但上云同时有一个另外的问题,一个问题是大家信不信云厂商本身,这是信任问题,第二个问题是上了云之后会不会带来新的安全问题。刚才几位演讲嘉宾讲过,上了云之后,整个云的安全边界变模糊了,动态调整资源能力增强了,有可能业务部门调整了资源之后,安全部门的人根本得不到通知,根本就不知道,也会造成相应的疏忽,调整的速度越快,攻击面就越大,攻击面越大被利用的可能性就越大,被攻击的可能性就越大,上云之后比传统的IT架构要坏一点。有一些企业上了安全产品不一定能解决安全问题,还有个原因是因为制度问题,归根到底是人的问题,人没有完善的安全制度,安全制度没有贯穿在开发、运维的循环中,传统IT企业在上云的过程中可以顺道梳理一下整个IT流程中的安全环节,让安全也能动态调整,跟资源一样的动态调整,把过程变成申请资源的同时要能申请它的服务、申请它的安全,跟它相配套地一块配套过来。
主持人:几位说得都令我印象深刻,常总说的云计算时代的安全对于客户来讲变得越来越复杂,因为它的基础设施变了,但是对于整个行业来讲特别是对于IDC这个产业来讲,是不是能把安全做好,决定了将来客户对你的接受成为,这块是将来值得研究的话题。
第二个问题是这样的,大家都是安全行业的从业者,最近几年大家觉得安全行业有什么样的变化?未来大家怎么看这几年的安全市场,请李总先说。
李秋石:这个趋势有很多方面,最明显的是用一句话,专注威胁,情报驱动,和我们现在面临新的安全形势也是相关的,国内互联网安全形势和国际的不太一样,国外对安全标准的执行和把控是非常严格的,而且非常循规蹈矩,合作伙伴的安全评估也是多数非常严格的项目执行,因为它要保证数据生存周期的安全。前面分析的时候有一个朋友提到过如何防范信息泄露,其实这个问题很大但是也很简单,做起来会很难,它其实有三个准则,第一是我要有基础的防范措施,要有墙,要有一些安全工具和产品。第二我要知道谁在搞我,什么时候来搞我,搞了什么,哪些数据受威胁,这是一定要在第一时间知道的,这是事中控制。第三是事后控制,就算被搞了,就算数据泄露了,这些数据其实也是不可用的,这就会涉及到数据加密的标准执行。为什么说做到这三点很难?是因为国内的国情就是这样,互联网、云计算的发展形势是爆炸式的,各个企业以业务为重,安全往往不能影响业务发展,这反而影响了这三条基本准则的执行。
打个比方,加密算法,国内最多的是MB5,这些算法在国际已经被严格限制或禁止使用了,有一些说加严了,这个严在哪里,我们专注于威胁和情报驱动还有一点就是曾经处理漏洞的时候,当时有家企业评估内部网络非常复杂,我们自己的功能师都不一样能在几个小时内或者半天内弄清楚所有拓扑架构,入侵者怎么可能那么快把环境搞得很清楚呢?事实却完全相反,真正利用这些漏洞能攻入企业造成数据泄露的攻击者比你想象的要高级很多。国内算是第二起比较严重的APT事件,这个组织叫暗黑客栈,它使用的方法就是针对企业高管在所入住的企业里发起攻击,手段挺复杂的,用一些专用的设备在酒店的网络设备上,插入这个设备之后会提醒升级一个控件,比如你电脑上常用的控件,利用这些控件的升级直接把打包的文件安装,安装以后你就中招了。还有一种方法是利用word加临界漏洞来执行,一定要有情报的支持才能了解谁在盯着你,哪个团伙在跟着你,哪个团伙在跟着你的企业,对于调度你手里所有的资源,包括人力物力、该使用那些安全措施是非常有用的。打仗的时候所有导弹防御系统需要有雷达和预警机提供支持,这些支持是非常重要的,特别是战时。