亚信轩晓荷:如何打造统一集中标准便捷的信息安全管理模式

12月12日,全球首个探讨产业互联网的大型会议,2014 CVW﹒产业互联网大会在北京亦庄召开,并通过纽约时代广场大屏幕同步呈现。大会由亚信集团、云基地和亦庄经济技术开发区联合举办,汇聚超过5000名关注互联网和传统产业发展的全球IT和传统行业领袖和精英,探讨“互联网进入传统行业”、“传统行业互联网化”的演进以及产业互联网的技术模式和业务创新。

在下午的“网络安全@互联网”主题论坛上,亚信集团总监轩晓荷带来《打造统一、集中、标准、便捷的信息安全管理模式》的主题演讲。

以下是他的演讲全文:

轩晓荷:刚才刘紫千说的非常好,我们提的这些问题实际指的很清楚,产业互联网无非把更多企业对外开放,相互更多合作,更多一些新的业务模式,更多的小微进来可以做很多事儿。这个过程中,安全是无法回避的问题。作为亚信来说我们侧重信息管理模式一些好的实践和经验。刚才公安部三所的汪博士提到身份管理,包括宽带接入认证,包括咱们去10086.cn,亚信都是帮助用户提供比较好的服务,在访问控制方面也帮助用户提供比较好的经验,今天我主要从这些方面给大家介绍产业互联网过程中,站在亚信的角度来说我们认为比较好的模式是什么样子的。

最近一段时间,大家如果关注安全并且经常看电视可以看到很多的事儿,最典型是暴露三大运营商虚拟做假业务的问题。可能是因为到年底冲冲业务,这个是很简单的事儿,但是这个就是违规帮助用户做订购,你本来没有订,他给你订了,但是订了之后立刻退,但是费用已经收了。不仅仅是运营商,包括他们的违规查询,咱们去网上可以买到,去钓鱼可以买到自己的通话记录或者客户资料包括银行的家庭住址都可以买到,这里存在内外部的合作以及内外部的违规的窃取查询这种东西,但是整个驱动因素很简单。目前这里面存在价值利益的显性化,这里面特别提到黑产。比如DNS告诉我们运营商里面的DNS,大部分里面种的有东西。但是这个可能是吓我,我认为也有可能是真的。他也做了另外一件事,包括用34分钟入侵了一些运营商比较重要的系统。他们本身很少直接去改,去做事儿的,除非碰到有利益的情况。

刚才说的比如说域名这块,他们做黑产的时候很简单,他会把你原来一些流量引到自己的广告上面,根据自己的广告再收钱。目前我们做产业互联网,把更多企业往互联网上放,这里面的价值利息很楚的需要考虑,如何规避这些信息。另外就是新技术和新业务,新方向,这里包括刚才提到的虚拟化环境之后,这里的虚机之间无法控制,这里面大数据也是面临这样的问题。像大数据,咱们上网之后觉得对于业务有用,分析的比较快,信息更准。但是面临更大的问题是你信息的安全集中化,原来的时候可以依赖数据库方面的控制,以及防火墙控制。不同的业务系统隔开,现在不是了,整个公司在一块,后面都是文件。而文件是没有办法控制的,文件所有的防护控制只能依赖于操作系统帐号,操作系统帐号开发人员、维护人员每个人都有,像这种新的技术对于我们内部维护带来更多的问题。

我认为这个在互联网化过程中,可能安全威胁需要防范的因素和考虑的方面比较多。我们看看这种情况下我们到底怎么做?实际上可以回顾一下我们整个安全的过程。我这里拿的四个阶段是拿运营商来说,运营商在04、05年处于买设备阶段,买防火墙、买IDS,当时卖的防病毒。后来08年左右运营商启动安全域,09年开始这里提出来做统一的项目,包括张滨部长提到的金库模式,这个本身就是在做统一管控,把访问集中起来,做一个非常好的产物。这个是统一化,现在大家考虑怎样把安全做到可感知?提高效率。这里有一些量化指标或者数据分析,这里有一系列要做的东西。这里面这几个阶段可以认为是一种,发展到第三阶段和第四阶段可以认为是一种统一、集中、标准和便捷信息安全的管控模式,我认为大企业都可以考虑这样做。我们也需要考虑这几个问题,第一就是人员管理。其实中国移动一直在安全的组织上面没有的,一直到张滨部长带领,在两三年之内建立了自己的安全室安全部,这是一个很难的工作。在其他的企业可能是说提的很凶,但是真给安全配人很少,这里有组织、人员怎么管,然后流程怎么处理。

到底什么是统一、集中、标准、便捷的管控模式?我大概罗列一下。从整个产业互联网,无非分四个层面。第一是人方面的防护,这里面最外层怎样把它的内部人员和外部人员的接入,以及自己的访问管控起来。再往里面其实是一些平台层,再往后面是数据层,再往后面还有云的防护。从产业链互联网分成四层,那么四层下面的话我们可以考虑到几个点。第一是统一的访问管理,这里面把咱们的运维管控,包括敏感数据的模糊化这一块可以在统一的防护管理里面去考虑,还有统一的身份管理。从安全方面来说,我们可以考虑集中化的安全管理,包括它的全网的监控、合规管理以及智能分析,分析一些安全事件,这是整个比较大的图,从技术来说,包括身份、认证、防护数据安全、云桌面的防护等等。从管理来说有些策略、作业、合规这几个方面。

这是亚信总结的,自己在运营商这块认为比较好的模式。这个模式可以帮助我们解决很多问题,第一可以规避我们的条状化建设,靠一个系统考虑它的认证,通过这个可以提供统一的防护标准和要求。另外可以实现集中管理和分析,针对全网考虑这个问题。那么第一点,我这个里面重点提四点,第一点就是面向业务和运维人员,我们考虑安全支撑,可以考虑帐号权限认证,这里面考虑几个方面。我这里大概列了一下,它能够给我们带来什么好处?第一个就是说,可以让我们的工作效率更高。原来的时候可能大家访问一台机器或者数据库也好,要一个一个登陆。现在基本上是说,只要你有权限,你进了第一个门,后面点一下可以走了,很快的。在内部的安全监控来说,可以实现安全管理的集中化、可视化,这几个方面,以及安全管理制度,成体系的IT化这几个方面,大概有十几个因素需要考虑。

针对运维人员来说,运维主要的后台特别容易出事儿。最近这几年无论是非运营商还是运营商,在内部运营去卖客户资料,后面偷偷改自己的帐户,这些事儿层出不穷。文件导入下载的时候,同样也有控制,不是随便把客户资料可以拿走,这个可以考虑针对内部运维管控上面有一些手段。最后一点就是大数据,大数据这块没有好的解决方案,针对这块他提出了加密、DRP这几种方式,但是这集中在大的环境很难落地。我们现在亚信结合自己的经验,探讨了新的解决方案方式,这种把原来操作系统的模式给大家规避掉,提供比较好的控制机制。上面的基本是面向内部和业务,那么我们现在还在跟AWS合作,提供新的解决方案。这个解决方案把我们的一些产品能力,包括帐号、权限、认证以及我们的网关放在AWS云上,这个可以复制,在任何行业里面的IDC或者云公司可以推这种模式,通过这种模式我们可以面对于中小企业给他们提供统一的,类似于运营商的管理服务。

这个就不介绍了,这是亚信总体产品的情况,大家在咱们的桌子上白皮书里面都有,可以去看一下。最后说一句话,亚信本身是在大的平台以及服务方面,会做的比较好,我们做的都是类似运营商,像运营商这种比较大的软件平台,以及对应的交付服务。