出处:CIOAge 文: CIOAge 评论 ( 0 ) 条 ( 0 ) 砖 ( 0 ) 好 论坛 博客

我想说的是什么呢？在过去两年或者三年里面，好象作为我们安全防护者的我们好象没有做出太了不起的事情，因为我们的对手攻击者在不停的颠覆我们对于安全的控制、理解、保护能力。随着网络建设不断的扩容，现在很多客户开始建第2张网络、部署第3张网络，今年还有4个新系统可能要上限，可是或许安全的维护人员连5个都不到，技术与人的比例开始逐渐的失调。

再来看一下，我在3、4月时间里面我都在出差，我问我们的理工，我们有没有定期，每天上午、下午或者下班前看那些安全产品系统的布置，因为安全问题被越早的发现就会被越早的解决。我想如果问大家这个问题，有没有去看一看这些日志呢？我想在座的有95%的人都会摇摇头。但我经常反过来问，今天我们不做是因为我们自身的能力也好、我们的工作压力也好，是因为各种各样的原因，但我想问的是我们这辈子是打算不打算做这些事情？如果我们打算做的话我们是不是要想一种方法、手段去做到，而不要每天抱怨说没有时间、没有精力，我想这些应该是我们思考的。

现在的安全管理团队，我这些天走过很多单位，我说你们的安全团队到处解决问题，但是风险意识跟控制意识不太好，我觉得在01年的时候出现了无数次的信息安全的报道上的问题，我们都说3分技术、7分管理，管理是重中之重，但是很可惜在过去这5年时间里面，我们的信息安全管理领域没有什么了不起的增长，没有什么真正有效的信息安全管理，我一直在思考这个问题，终于有一天我领另五到了其中一个的道理。
作为今天的技术人员，我们解除了很多技术的标准，尤其是安全领域的标准，这里面分为两派，技术的一派、管理的一派，技术的标准拿来升级是很容易的，我们只要把美国、老外最新的芯片买来就可以实现升级；但是管理的标准呢？我们好象很难把老外管理的标准拿到中国来管理中国的人。在2001年我参与了埃森哲7799，但是我发现我们很少有人是按照7799去做的，我也没有看到做的是很成功的。我发现原来老外经过了4、5百年文明的发展，他们总结出来的管理标准想来管我们今天5、6千年的中国文明、想管我们中国人，几乎是不可能的。我们说3分技术、7分管理，管理应该一定是要有我们中国特色的，而不是仅是直白的把这些拿过来到中国做，因为那些细节要点你会发现既没有生命力、又没有执行力，我们说一个电信运营商的日志仅是一台机器的日志就有1个G，你拿什么去分析？不要说分析，你用什么工具把1个G的日志把它打开都是一个问题。我曾经遇到一个用户，原来每天的日志里面的细节是这样复杂的，原来在每天8个G的日志中可以看出这么多的问题。

好了，我想对信息安全说什么？它过去是一种对抗，那么这就体现着一种东西。在过去这几年时间里面，两年到三年时间里面，刚才给大家讲的一些案例，这些都是我06到08年我所实际经历过的，而且我们所看到的攻击者的技术、进步都是非常快的，而对于我们作为安全的防护者，我们一定要在这方面有所增长，那么我们东软在08年连续第三年攻防实验室规模增长超过150%。站在另外一种角度上，用一种技术去对抗一种技术，这种驳议的双方其实都很累，双方都在不停的变化，永远是今天他好一点、我们今天好一点，很难达到一种平衡。所以我要写我的第二本书，就是《信息安全的博弈》。那么我们如何增快我们在安全领域实际的效果？由于时间有限，我只举两个小例子。

第一个就是我们公司，我们公司跟所有公司都一样，有一个小规定，在上班时间不允许员工随意访问Internet，但是结果我们发现在IT的公司里面很难做这件事情，如果你卡的很死总是有些人想去百度、Google搜索一些资料会很困难，但是领导又很为难，如果真的放开了，就无法控制这些人上跟工作无关的Internet。那我就给老板提了一个意见，为什么不放开？但前提是，你什么上都可以，但是公司每个月要把监控你日常所登录的内容反馈给你一份，后来我们发现这样做非常有效。

下面讲风险管理，我想说风险管理在过去几年时间里面我们一直做的是不好的，为什么是不好的？第一，大量的报警信息、威胁信息，我们很少有人去察看它，我们很少把弱点把这些关联在一起分析它，我们很多时候就像救火队一样，是事后的去解决这个事件的发生。但是如何让安全的意义真正发挥出它的供销呢？并且我们不能让每个人每天看几万条日志，今天东软在我们推出的安全管理体系平台框架上，通过我们找出所有的资产类别，把类别进行区隔，每天我们不要就事论事的去看这些，把这些都关联一起去看我们，我们看到有所谓高风险的攻击是跟它的攻击类别不匹配的，如果每天我们很忙，忙到了我们累死了也做不到所有事情，那么我们好，我们把最重要的10个事情做好，那么这10个，重要事情是什么？我们就要通过这些分析找出我们最需要做的事情是哪些。

我想不管到什么时候安全都应该是一种责任，安全的合作身后应该有深厚的友谊，今天的安全产品也不应该再是传统的安全产品延伸，我们不应该一再买很多安全产品，而不去注重它们，而导致自己依然瘫痪。安全管理平台应该是面向未来非常好的管理方向。对于厂商来讲，对于东软来讲或者在座的有商来讲，我们必须要承担起这个责任，我们在过去十年时间里面走过了国外厂商所走的路，但是我们说拐点应该出现了，我们必须要走出具有中国特色的信息安全的道路。

最后也预祝今后几个月要举办的和东软将要参与的奥运顺利圆满的举办，另外我还希望在09年的时候我还站在这个舞台上，在那时分享我们在信息安全方面的努力、工作，我相信所有的人都举起手来，说我们真正的做到了！

谢谢大家，我就说到这里。

共2页: 上一页 [1] 2

【内容导航】

相关 用户口令  系统维护  加密手段 的文章  更新时间：2008-04-28