日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
綠盟科技趙糧:找出差距優(yōu)化、保護(hù)我們的信息基礎(chǔ)設(shè)施

【.com 綜合報(bào)道】2010年10月21日-22日,RSA 2010大會(huì)在北京召開。不論是哪一位嘉賓,他們每個(gè)人的演講都非常出色,現(xiàn)在我們就來回顧一下當(dāng)時(shí)綠盟首席戰(zhàn)略官趙糧帶來的演講,題目是《保護(hù)重要信息基礎(chǔ)設(shè)施和云--從理論到實(shí)踐》作為特邀媒體,對(duì)大會(huì)進(jìn)行了相關(guān)報(bào)道。更多內(nèi)容請(qǐng)參閱RSA 2010信息安全國(guó)際論壇專題報(bào)道

創(chuàng)新互聯(lián)總部坐落于成都市區(qū),致力網(wǎng)站建設(shè)服務(wù)有成都網(wǎng)站建設(shè)、成都做網(wǎng)站、網(wǎng)絡(luò)營(yíng)銷策劃、網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站維護(hù)、公眾號(hào)搭建、微信小程序、軟件開發(fā)等為企業(yè)提供一整套的信息化建設(shè)解決方案。創(chuàng)造真正意義上的網(wǎng)站建設(shè),為互聯(lián)網(wǎng)品牌在互動(dòng)行銷領(lǐng)域創(chuàng)造價(jià)值而不懈努力!

正在接受采訪的趙糧博士

趙糧:我給大家?guī)淼脑掝}是保護(hù)信息關(guān)鍵基礎(chǔ)設(shè)施的從思想到實(shí)踐,不知道這個(gè)話題大家是不是很喜歡,或者說是不是很關(guān)注,希望能夠給大家?guī)硪恍┓窒砗退伎肌?/p>

今天圍繞的話題有四個(gè)小的部分,一是對(duì)于關(guān)鍵信息技術(shù)設(shè)施CII當(dāng)前一些威脅的回顧和總結(jié)。二是我們調(diào)查清楚了這些威脅有什么方法論來制定相應(yīng)的保護(hù)戰(zhàn)略。三是除了戰(zhàn)略之外,我們有沒有一些立即可以采取的行動(dòng)來保護(hù)這些關(guān)鍵基礎(chǔ)設(shè)施。四是一些小的建議供給大家參考。

我們現(xiàn)在說到互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全威脅,我個(gè)人認(rèn)為有兩個(gè)關(guān)鍵詞,一個(gè)就是“全球化”,再一個(gè)就是“工業(yè)化”。

全球化的意思,大家看到絲綢之路把東方和西方世界連接在一起,現(xiàn)在隨著網(wǎng)絡(luò)的發(fā)達(dá),我們發(fā)現(xiàn)網(wǎng)絡(luò)空間的攻擊也越來越有全球的特征了,不知道哪一天我們?cè)谀骋粋€(gè)局部的網(wǎng)絡(luò)癱瘓了,或許就是在東歐,或者是在與南美的一個(gè)客戶做服務(wù)。在今天上午的討論當(dāng)中大家也聽到了嘉賓講到在灰色市場(chǎng)當(dāng)中,甚至也都有相應(yīng)的SLA,有非常成熟的售前售后的體系,這個(gè)過程在全球化當(dāng)中體現(xiàn)的非常明確,事實(shí)上我們做網(wǎng)絡(luò)安全正面的防御領(lǐng)域也是全球化的,大家在日常的安全體系建設(shè)和運(yùn)維過程當(dāng)中用到了來自世界各地的技術(shù)。

工業(yè)化的意思,我理解有三個(gè)方面:一是大規(guī)模的批量制造,低成本的擁有,在網(wǎng)絡(luò)安全上使現(xiàn)在的攻擊因?yàn)榇罅抗ぞ叩囊?,這個(gè)工具威脅流水線的使用,使得攻擊的成本大幅度下降,所以有了威脅的工業(yè)化,作為非常普及的這么一個(gè)現(xiàn)象,被攻擊的后果也變得非常的嚴(yán)重,工業(yè)化使得網(wǎng)絡(luò)攻擊的威脅越來越普遍,攻擊的后果越來越嚴(yán)重。二是世界的扁平化,自動(dòng)化、工具化的特點(diǎn)會(huì)帶來目標(biāo)的扁平,就是并不做很智能的區(qū)分,只是在網(wǎng)絡(luò)上去尋找收益最大、最脆弱的一點(diǎn)發(fā)起攻擊,不會(huì)因?yàn)槲冶容^低調(diào),我這個(gè)地區(qū)關(guān)注的人不多所以會(huì)更加安全,這樣的角落在世界上基本上不會(huì)存在。三是從防御角度,當(dāng)你的攻擊方已經(jīng)成熟的使用了威脅的時(shí)候,你必須要有成熟的手段對(duì)抗這個(gè)威脅的工業(yè)化。現(xiàn)在講到網(wǎng)絡(luò)安全威脅,還有包括今天上午講到的,他們有非常成熟的組織,他們有非常成熟的流水線,他們甚至有組織,有SLA,但是作為我們防御一方,我在很多場(chǎng)合也在講,我們還在半科學(xué)半藝術(shù),我們?nèi)鄙俣攘?,缺少基礎(chǔ)的測(cè)度,我們?nèi)鄙僖?guī)模化。我們可以看一看專業(yè)化的公司在人員的規(guī)模化程度上還有很大的欠缺,還沒有實(shí)現(xiàn)從威脅的收集、漏洞的收集整理,一直到產(chǎn)品前面升級(jí)之間完全的自動(dòng)化和流水線。所以沿著工業(yè)化,其實(shí)給了我們不少的啟發(fā)。后面我還會(huì)通過一些例子把全球化和工業(yè)化給我們帶來的影響,以及我們采取的策略給大家做一個(gè)分享。

昨天的時(shí)候微軟的一位代表提到了微軟發(fā)現(xiàn)了一個(gè)很大的僵尸網(wǎng)絡(luò),其實(shí)僵尸網(wǎng)是把工業(yè)化和全球化融為一身的典型的特征,它采用非常自動(dòng)化的流水線方式發(fā)現(xiàn)、尋找、占領(lǐng)這個(gè)網(wǎng)絡(luò)上脆弱的節(jié)點(diǎn),將其控制,然后在上面部署非常完善的控制系統(tǒng),在上面進(jìn)行業(yè)務(wù)交易,發(fā)起攻擊,進(jìn)行收錢。所以說僵尸網(wǎng)剛才講到,是一個(gè)全球化和工業(yè)化非常有代表性的一點(diǎn),我們把它當(dāng)成一個(gè)例子,如果我們能夠很好的去控制和對(duì)抗這種僵尸網(wǎng),對(duì)于我們整體互聯(lián)網(wǎng)的安全有一定的改善。大家搜索蝴蝶僵尸網(wǎng)能夠看到相關(guān)的報(bào)道,這個(gè)僵尸網(wǎng)到現(xiàn)在為止是非常大的,按照?qǐng)?bào)道的話有1300萬個(gè)主機(jī),它的控制應(yīng)該說基本上形成了一個(gè)團(tuán)隊(duì)。

不知道大家是不是很熟悉企業(yè)當(dāng)中的運(yùn)維公司,當(dāng)大家管理幾千人到幾萬人的公司的時(shí)候,大家會(huì)對(duì)桌面管理產(chǎn)生很畏懼的感覺,我在30年前在聯(lián)想負(fù)責(zé)內(nèi)部基礎(chǔ)設(shè)施的運(yùn)維和安全,我有一個(gè)項(xiàng)目是把兩千多個(gè)員工的桌面機(jī)放到域里面,部署桌面軟件管理等,這個(gè)工程造價(jià)大概花了幾百萬,為期大概半年到一年。從這個(gè)角度來看,大家不能不對(duì)僵尸網(wǎng)絡(luò)產(chǎn)生一種非常神奇,甚至是一種很特別的感覺。它可以在你不知道的情況下,可以通過逐漸的蔓延,通過這種流水線去占領(lǐng)。在用戶不知情的情況下控制一萬臺(tái)主機(jī),在幾萬臺(tái)設(shè)備上同時(shí)做的也不過只是這樣一些工作而已,分發(fā)軟件,部署策略,產(chǎn)生報(bào)表,這些東西造價(jià)會(huì)這么高,所以大家有必要很好的研究它,對(duì)它的工作產(chǎn)生一種新的發(fā)現(xiàn),這是僵尸網(wǎng),把它當(dāng)做例子的話就是全球化、工業(yè)化給我們帶來的影響。

康邁這個(gè)公司在今年的華盛頓會(huì)議上發(fā)布了一個(gè)片子,是對(duì)美國(guó)政府一些網(wǎng)絡(luò)的攻擊,大家可以看到,實(shí)際上在攻擊當(dāng)天發(fā)生的數(shù)據(jù)流量是平時(shí)每一天流量的598倍,大家可以看到,過去將近一年半左右的流量在這一天全來了,對(duì)于我們來講是不對(duì)稱的,從安全的經(jīng)濟(jì)學(xué)的角度來講,事實(shí)上不可能通過自己能力的簡(jiǎn)單升級(jí)容納這部分能量,因?yàn)轭A(yù)算不可能被批準(zhǔn),這是不容易實(shí)現(xiàn)的。所以對(duì)于這種小概率、大風(fēng)險(xiǎn)的事件通常采用不同的手段,就像保險(xiǎn)一樣,保險(xiǎn)實(shí)際上是風(fēng)險(xiǎn)的轉(zhuǎn)移,依靠大眾,因?yàn)槭切「怕?、大風(fēng)險(xiǎn)事件,靠公眾的一個(gè)共同分擔(dān)風(fēng)險(xiǎn)的一種方法來解決掉小概率大風(fēng)險(xiǎn)的事件,事實(shí)上對(duì)于這種數(shù)百倍于平時(shí)流量的攻擊,假如說自己平時(shí)的流量是幾百兆,買幾百G的帶寬是不可以的,通常運(yùn)營(yíng)商可以是主導(dǎo)型的,通過公眾的分享達(dá)到分擔(dān)流量的目的。這種僵尸網(wǎng)絡(luò)依靠工業(yè)化的布局來發(fā)起工業(yè)化的攻擊,最終達(dá)成的效果是非常驚人的。圍繞著這個(gè)效果,我們可能會(huì)有不同的解決方案,給我們的啟發(fā)就是我們需要關(guān)注,不可能依靠能力解決,需要有不同的辦法來解決這個(gè)問題。

這里舉了兩個(gè)例子,其實(shí)還是剛才的一個(gè)延伸,在今年夏天的大會(huì)上有兩個(gè)演講,大家看不清楚,第一個(gè)是對(duì)于SCADA系統(tǒng)的攻擊,是電力系統(tǒng)經(jīng)常使用的分布式的監(jiān)控系統(tǒng)和數(shù)據(jù)采集系統(tǒng),通常這個(gè)系統(tǒng)以前是不聯(lián)網(wǎng)的,現(xiàn)在隨著互聯(lián)網(wǎng)技術(shù)大規(guī)模的普及,為了降低成本,很多的電力系統(tǒng)或者傳統(tǒng)系統(tǒng)里面的IT系統(tǒng)都和這個(gè)網(wǎng)絡(luò)做了連接,演講者也在現(xiàn)場(chǎng)做了演示,通過網(wǎng)絡(luò)的技術(shù),把這個(gè)SCADA系統(tǒng)就能夠攻占了,這也做了報(bào)道,專門深入的定向了SCADA系統(tǒng),它的弱點(diǎn)可能是硬編碼在里面的口令。

總之通過蠕蟲式的分布,可能會(huì)獲取更多相關(guān)的信息,可以有條件滲透SCADA這樣的系統(tǒng),SCADA實(shí)際上是CII非常重要的組成部分。這個(gè)演講者在現(xiàn)場(chǎng)做了一個(gè)演講,他花了6美元,通過一些點(diǎn)擊定向的向指定的站點(diǎn)發(fā)起了攻擊,攻擊效果按照預(yù)期也很驚人,基本上想攻擊哪個(gè)網(wǎng)站,那個(gè)網(wǎng)站就立刻消失了。這給我們的啟發(fā)跟剛才的僵尸網(wǎng)絡(luò)是一樣的,因?yàn)榻┦W(wǎng)控制的不僅僅是ADSL上網(wǎng)的桌面機(jī),在網(wǎng)絡(luò)上有漏洞的這些危機(jī)也同樣是僵尸網(wǎng)絡(luò)的一員。如果云計(jì)算中心里面的虛擬主機(jī)或者各種服務(wù)器被控制以后,它就會(huì)產(chǎn)生一種像水庫(kù)大壩的效應(yīng),會(huì)對(duì)下面低水平的目標(biāo)打擊,造成的殺傷會(huì)遠(yuǎn)遠(yuǎn)高于普通目標(biāo)之間的攻擊,在后面還會(huì)提到運(yùn)營(yíng)商的問題,這個(gè)只不過是又一次驗(yàn)證或者加深了人們對(duì)于云計(jì)算相應(yīng)安全問題的擔(dān)心。#p#

我們講到云計(jì)算歷史的時(shí)候,中國(guó)移動(dòng)研究院的張先生寫了一個(gè)《云之初,本無奈》里面還提到,在云計(jì)算發(fā)起的時(shí)候用的是非常低端的計(jì)算機(jī),最后交付出來的Google的服務(wù)可靠性很高,當(dāng)然這是另外一門學(xué)問,如何在低可靠性的組件上面建立到可靠性的服務(wù),我們看到這種基礎(chǔ)設(shè)施不僅僅是一個(gè)經(jīng)濟(jì)和SLA的問題,這是我們講到CII和企業(yè)安全非常不同的一點(diǎn)。我在上面放了幾個(gè)大字,就是CII系統(tǒng)的可用性不僅僅是一個(gè)錢的問題,有可能會(huì)帶來社會(huì)的動(dòng)蕩,還有金融系統(tǒng)各方面的不穩(wěn)定。所以一方面我們需要對(duì)我們整體的系統(tǒng),當(dāng)前的可能性,組件的安全進(jìn)行調(diào)研,另外一方面我們需要把當(dāng)前的關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的影響能夠提煉出來。一方面是SLA在經(jīng)濟(jì)方面的問題,另一方面還有更大的意義。中間的數(shù)字大家可能不一定很關(guān)心,這里面是Meta  Group對(duì)每小時(shí)的服務(wù)中斷測(cè)試的結(jié)果,每個(gè)行業(yè)和地區(qū)不一樣,不一定對(duì)大家有什么參考意義。

在關(guān)鍵基礎(chǔ)設(shè)施里面,我們的關(guān)鍵信息基礎(chǔ)設(shè)施里面,現(xiàn)在傳承了互聯(lián)網(wǎng)的設(shè)施,成為我們最薄弱的環(huán)節(jié),因?yàn)橐郧安皇菫榱斯I(yè)化設(shè)計(jì)的,也不是為了關(guān)鍵基礎(chǔ)設(shè)施設(shè)計(jì)的,一開始沒有當(dāng)做自己的使命,所以我們需要在更深層次上考察這個(gè)問題,怎么樣考察這個(gè)關(guān)鍵技術(shù)的使命。

剛才講的主要是圍繞著僵尸網(wǎng),全球化、工業(yè)化,對(duì)可用性帶來的殺傷,其實(shí)對(duì)于我們最大的還有一個(gè)影響,就是對(duì)于大規(guī)模的信息竊取,在今天上午通過賽門鐵克和McAfee的報(bào)告,大家看到信息是有標(biāo)價(jià)的,這是從經(jīng)濟(jì)學(xué)的角度。大家如果搜索一下的話,就會(huì)發(fā)現(xiàn)有一個(gè)指標(biāo),叫做CSPI,大家說物價(jià)指數(shù)是CPI,他們創(chuàng)造了一個(gè)CSPI,我剛才有些討論,我說這個(gè)物價(jià)指數(shù)在什么程度上能夠代表安全性做得好或者是不好?比如說安全物價(jià)上升是好還是不好?當(dāng)然這是很有趣的嘗試。

數(shù)據(jù)泄漏保護(hù),其實(shí)對(duì)于企業(yè)來講,數(shù)據(jù)泄漏保護(hù)和對(duì)CII的數(shù)據(jù)泄漏保護(hù)完全不是一個(gè)概念。對(duì)于一個(gè)企業(yè)來講考慮的是商業(yè)機(jī)密,對(duì)于CII無來講是整個(gè)公民,整個(gè)社會(huì)上大批量的數(shù)百萬、成千萬數(shù)據(jù)的丟失問題。后面還有數(shù)據(jù)支持,在CII上面考慮數(shù)據(jù)保護(hù)是什么方式,這個(gè)時(shí)候通過防水墻的措施,通過簡(jiǎn)單的網(wǎng)關(guān)已經(jīng)不再有效了。還有對(duì)于這個(gè)片子的思考,沒有一家我們中國(guó)的公司,我不知道是喜還是憂,沒有一家中國(guó)公司上榜,說明我們安全性做得很好,憂的一點(diǎn)是我們沒有很好的信息披露之后,后面我還會(huì)講到相關(guān)的策略和國(guó)家政策方面的考慮,也許我們已經(jīng)發(fā)生了一些事件,而只是沒有把它放在臺(tái)面上,沒有得到相關(guān)的報(bào)告。

數(shù)據(jù)的丟失下面引用了一個(gè)數(shù)據(jù),95%的企業(yè)Web應(yīng)用是有嚴(yán)重的安全問題,Web系統(tǒng)上線以后在4.5秒就被入侵了,就跟剛才講的工業(yè)化非常有關(guān)系的,全球化和工業(yè)化,全球化任何一個(gè)地方都可以發(fā)起,通過購(gòu)買的工具或者免費(fèi)的工具可以發(fā)起,造成窗口極度的縮小,而這個(gè)漏洞又普遍的存在。我們后面可以整理一下基本原理的假設(shè),我們其實(shí)還有一個(gè)假設(shè),這個(gè)漏洞永遠(yuǎn)不可能完全消除。

美國(guó)一個(gè)著名的運(yùn)營(yíng)商每年發(fā)布一個(gè)報(bào)告,其實(shí)引用的很廣,大家如果感興趣的話,在網(wǎng)上搜索就能夠下載。我把一些數(shù)據(jù)下載下來,支持我剛才的一些觀點(diǎn)。第一個(gè)數(shù)據(jù)是98%,這個(gè)98%的意思是在大規(guī)模丟失的數(shù)據(jù)里面,98%是在服務(wù)器那里丟失的,包括剛才講的Hotline,1.3億的數(shù)據(jù)全部丟失了,所有丟失的報(bào)告里面98%的數(shù)據(jù)是這樣丟失的。這是他們聯(lián)合數(shù)千個(gè)全球分布式的數(shù)據(jù)獲得的,這里面包含中國(guó)的數(shù)據(jù),98%是從服務(wù)器端丟失的,在CII數(shù)據(jù)保護(hù)方面給我們一些啟發(fā),就是我們從哪里開始保護(hù)。

在服務(wù)器端另外一個(gè)數(shù)字就是54%和92%,54%就是在所有丟失的數(shù)據(jù)里面有54%是因?yàn)閺腤eb應(yīng)用去丟失的,這個(gè)其實(shí)跟我們現(xiàn)在直接的感受是相當(dāng)?shù)模覀兇蟛糠值男畔⒑头?wù)都是通過Web來進(jìn)行的,大家都習(xí)慣于在淘寶上面買東西,在網(wǎng)絡(luò)上面我們?cè)絹碓揭蕾囁?,所以說很多的脆弱性也來自于Web。在54%里面是事件總量,92%的數(shù)據(jù)在這里面丟失,所以給了我們一個(gè)很大的啟發(fā),就是我們要關(guān)注服務(wù)器端的保護(hù),這是從CII角度來講。從企業(yè)角度來講可能有不同的理解,企業(yè)關(guān)注的是IP知識(shí)產(chǎn)權(quán)的問題。在CII數(shù)據(jù)保護(hù)方面,Web服務(wù)器是重中之重。

在最近一年到兩年之間云計(jì)算得到了非常大的曝光,在前不久參加的若干個(gè)會(huì)議當(dāng)中,我們很多政府機(jī)構(gòu),大型國(guó)企集團(tuán)很多民企都表示出了濃厚的興趣,各地政府也都在主導(dǎo)建立大量的云計(jì)算中心,把很多的應(yīng)用有計(jì)劃在未來三年或者五年里面遷移到云計(jì)算中心里面去。云計(jì)算的出現(xiàn)會(huì)不會(huì)改變剛才講的這種現(xiàn)狀?我們看到云計(jì)算大家一開始先是對(duì)它有猶豫的,云計(jì)算帶來的是相當(dāng)于IT外包的形式,相當(dāng)于虛擬化之后對(duì)于控制層面進(jìn)一步抽象化,可能大家會(huì)對(duì)于它的安全產(chǎn)生一種疑慮。從技術(shù)角度來看,大家知道安全最脆弱的部分通常是在最弱的企業(yè)里面存在,云計(jì)算會(huì)進(jìn)一步拉平這個(gè)保護(hù),大家可以設(shè)想一下在幾百人或者幾千人的企業(yè)里面,通常他們沒有自己獨(dú)立的IT部,沒有獨(dú)立的安全運(yùn)維人員,安全水平?jīng)]有辦法跟一個(gè)成規(guī)模的云計(jì)算安全中心的防護(hù)水平比較。

在這個(gè)意義上講,從社會(huì)角度、基礎(chǔ)設(shè)施的角度戶普遍的提高整個(gè)平均的水平,當(dāng)然還考慮到工業(yè)化和全球化,大家一直注意這兩個(gè)關(guān)鍵詞,在這個(gè)角度上會(huì)改變,會(huì)提升安全。但是并不會(huì)改變特征的分布,大家可以看到,在這里我在前面幾次會(huì)議上跟大家一直介紹了一個(gè)CSA云安全聯(lián)盟面臨的危險(xiǎn),跟我們提到的有一些是有關(guān)系的,一個(gè)就是服務(wù)的惡意使用,其中包括拒絕服務(wù)攻擊,濫用服務(wù)是非常重要的,云計(jì)算的出現(xiàn)不會(huì)改變這個(gè)現(xiàn)狀。在數(shù)據(jù)丟失和數(shù)據(jù)泄漏方面,剛才講了,云計(jì)算實(shí)際上促成了一次新的數(shù)據(jù)集中,把很多小型企業(yè)或者中等企業(yè)的數(shù)據(jù)轉(zhuǎn)移到了一個(gè)大規(guī)模的云計(jì)算中心里面去,這個(gè)數(shù)據(jù)進(jìn)一步的集中,如果我們沒有辦法做到,就是剛才看到的數(shù)據(jù),我們相信這個(gè)數(shù)據(jù)會(huì)進(jìn)一步惡化,就是因?yàn)樗菀准惺降墨@取。云計(jì)算不會(huì)改變當(dāng)前的整體面貌,所以說拒絕服務(wù)的問題,數(shù)據(jù)丟失的問題依然會(huì)是關(guān)鍵信息基礎(chǔ)設(shè)施需要解決的兩個(gè)威脅。#p#

我們?cè)诳搓P(guān)鍵信息基礎(chǔ)設(shè)施面臨的威脅中提到了工業(yè)化和全球化的問題,我們是不是有些措施和方法論來制定相應(yīng)的保護(hù)戰(zhàn)略,并且能夠有一個(gè)實(shí)現(xiàn)的路線圖,后面做一些嘗試,有一些是個(gè)人的觀察,有一些是我自己親身參與的一些研究項(xiàng)目,有些也是我個(gè)人的一些設(shè)想,歡迎大家批評(píng)和討論。

對(duì)于我們來講最重要的,就是我們首先要定義什么是CII,這里面列舉了若干的行業(yè),這個(gè)行業(yè)里面包括我們非常熟悉的能源行業(yè)、制造業(yè)行業(yè),包括金融和貿(mào)易、物流、教育、水電這樣的系統(tǒng)?,F(xiàn)在大家知道,我們?cè)趪?guó)內(nèi)實(shí)行等級(jí)保護(hù),等級(jí)保護(hù)里面有兩條最重要的原則是誰主管誰負(fù)責(zé),誰運(yùn)營(yíng)誰負(fù)責(zé),從落地和執(zhí)行層面上是正確的,是非常好的,但是它還缺少?gòu)目傮w戰(zhàn)略層面上的指導(dǎo)。首先哪些是關(guān)鍵基礎(chǔ)設(shè)施,它們之間可能是互相依賴的,他們之間可能是互相相通的。我們知道在做DCP或者DRP的時(shí)候會(huì)考慮到,當(dāng)你認(rèn)為關(guān)鍵的系統(tǒng)去做了回復(fù)以后,會(huì)發(fā)現(xiàn)一個(gè)很小的組件不存在,實(shí)際上整個(gè)業(yè)務(wù)無法提供服務(wù),需要在國(guó)家相應(yīng)戰(zhàn)略層面上定義去澄清哪些是國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施,它們之間的相互依賴關(guān)系是什么。這里我想還有一個(gè)基本的假設(shè),不可能保護(hù)所有的數(shù)據(jù)和資產(chǎn),也沒有必要保護(hù)所有的信息和資產(chǎn),只需要保護(hù)最重要的一部分。這里給了一個(gè)信息,所有IT關(guān)鍵信息的部分組合在一起,就形成了關(guān)鍵信息基礎(chǔ)設(shè)計(jì),是我們后面談?wù)摰闹饕裹c(diǎn)。

我們看到在國(guó)際上有很多的機(jī)構(gòu),有很多的興趣小組,有很多民間的社區(qū)有些熱烈的討論,我這里舉的都是一些官方的例子,這里我把幾個(gè)關(guān)鍵詞做了一個(gè)黑體的標(biāo)識(shí),識(shí)別風(fēng)險(xiǎn)、減少損失、減少恢復(fù)時(shí)間、識(shí)別根源。作為大家相對(duì)來說比較熟悉的ITUT,國(guó)際電聯(lián)在這個(gè)方向也做了非常好的定義,最上面是目標(biāo),保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施,這里面有四個(gè)組成部分,要想保護(hù)這個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施需要做四件事:一是阻止早期的告警,要有監(jiān)測(cè)能力。二是當(dāng)發(fā)生攻擊和大規(guī)模數(shù)據(jù)泄漏的時(shí)候要有能力發(fā)現(xiàn)。三是要有能力做響應(yīng)。四是CII是面向公眾服務(wù)的,公眾不是一個(gè)個(gè)體,要有非常好的情緒和信心的問題,需要有危機(jī)管理。

貝爾實(shí)驗(yàn)室提出了一個(gè)非常優(yōu)美的模型,把安全問題分為三個(gè)緯度,包括一是安全平面緯度,二是最終用戶平面,三是控制平面。還有管理平面,還有三層,應(yīng)用安全層、服務(wù)安全層和基礎(chǔ)設(shè)施安全層。大家知道這個(gè)背景是專門針對(duì)通信行業(yè)的,在社會(huì)上你的號(hào)碼為什么有人給你打電話?是因?yàn)殡[私問題,運(yùn)營(yíng)商把有些號(hào)碼賣掉了,在通信過程當(dāng)中如何保持信息是保密的也很重要,這個(gè)我們不再講了,它已經(jīng)變成一個(gè)國(guó)標(biāo)了。作為下面的大家提到的很少,在Google或者百度里面可以搜索到,國(guó)內(nèi)介紹的很少,一個(gè)月前在一個(gè)年會(huì)上面,這個(gè)模型的作者提出來,這個(gè)模型跟傳統(tǒng)的模型相比做了一個(gè)擴(kuò)展。

第二和第三層是軟件、硬件和網(wǎng)絡(luò)負(fù)載,這是我們講傳統(tǒng)的可靠性,或者是安全的時(shí)候最關(guān)心的四個(gè)組件,對(duì)上和對(duì)下分別做了擴(kuò)展,往上加了人和政策,他們做的報(bào)告是第八元素的崛起,指的是這個(gè)政策。從現(xiàn)在東西方因素的角度來看,認(rèn)為國(guó)際上政策的方面是嚴(yán)重欠缺的,比如剛才提到的什么是我們的CII?我們CII的保護(hù)戰(zhàn)略是什么?這就是相當(dāng)于政策層面的,我們?cè)谶@方面做得還是不夠的。在下面又往下拓展了,一個(gè)是環(huán)境問題,一個(gè)是電力問題,我們不再往下講了,因?yàn)榭紤]到比如云計(jì)算中心,下面部署在云計(jì)算中心在什么地方?周圍的電力供應(yīng)問題都是一些問題,不知道大家是不是對(duì)數(shù)據(jù)中心比較熟悉,如果對(duì)數(shù)據(jù)中心比較熟悉的話,供電是非常重要的問題。這里給大家介紹了四個(gè)不同組織,不同性質(zhì)在這方面的一些嘗試。

Safe Code在代碼領(lǐng)域是由若干個(gè)大的軟件廠商做的聯(lián)盟,我也寫了一個(gè)帖子講Safe Code的模型跟我們傳統(tǒng)的CIA模型的不同,在這個(gè)模型里面還是三個(gè)圈,中間是保障,左下角是真實(shí)性,最右邊是安全性。我們糾結(jié)到底安全是什么,完整性是什么,它們中間聯(lián)系是什么?誰對(duì)誰錯(cuò)意義不大,我們對(duì)我們熟悉的CC公共準(zhǔn)則,CC大家知道有若干個(gè)PP和ST,在密碼審計(jì)方面定義了什么功能,在通道上定義了哪些功能,是軟件在功能設(shè)計(jì)層面上做了哪些考慮,這是我們通常說的安全,識(shí)別了威脅,在軟件里面實(shí)現(xiàn)了對(duì)于威脅的防止。Integrity,業(yè)界沒有一個(gè)廠商可以從頭到尾完成一個(gè)軟件或者IT產(chǎn)品,涉及到大量的事實(shí)上的外包,比如可能會(huì)采購(gòu)芯片,可能會(huì)采購(gòu)編譯系統(tǒng),這時(shí)候會(huì)涉及到大量的供應(yīng)商的管理,考慮到云計(jì)算的環(huán)境下面,我們都知道云計(jì)算是講究開放的時(shí)代,涉及到很多SOA面向服務(wù)的架構(gòu),涉及到很多Cloud API的調(diào)用,事實(shí)上把系統(tǒng)里面加上了很多非自己的因素,在這種環(huán)境下面怎么保證他們這些組件還是你想要的,這是一個(gè)完整的問題。

真實(shí)性要搜索一下供應(yīng)鏈安全性的話,在這個(gè)標(biāo)題下面,看到某一個(gè)港口在運(yùn)行某一個(gè)路由器的時(shí)候,發(fā)現(xiàn)路由器的板卡被人家替換了,這是從物理真實(shí)性的角度來看待這種你買到的東西是不是被人修改了,你買的華為牌的路由器是不是就是華為牌的。實(shí)際上給我們不同的思考,華為的劉先生提到了一個(gè)說法,我們說深度防御,其實(shí)還有廣度防御,在這個(gè)方面很多權(quán)威機(jī)構(gòu)也做了很多的嘗試,你不可以獨(dú)善其身,必然會(huì)涉及到大量的外包和采購(gòu)問題,涉及到大量的合作伙伴的問題,怎么樣在一個(gè)更廣的領(lǐng)域上面做到一個(gè)相對(duì)都比較完善的防御?因?yàn)閱吸c(diǎn)防御再?gòu)?qiáng)都不可能單點(diǎn)存在,當(dāng)周圍的生存環(huán)境消失的時(shí)候這個(gè)單點(diǎn)也會(huì)消失掉,這是一個(gè)假設(shè)。

屏幕下面大家看到一個(gè)金字塔,這個(gè)金字塔是我畫的,來源是今年5月份在達(dá)沃斯召開的世界安全峰會(huì)上面,一個(gè)Workshop的成果,比如印度會(huì)對(duì)中國(guó)廠商的產(chǎn)品不相信,美國(guó)對(duì)我們不相信,歐盟可能不相信,但是畢竟要做生意,那么怎么辦?現(xiàn)在我們有一個(gè)CCRA,在中國(guó)沒有簽署,還要做很多的工作。這里做了一個(gè)嘗試,怎么樣從技術(shù)層面上解決掉這些擔(dān)心,這里劃分了四個(gè)不同層面的保證,比如說對(duì)于運(yùn)營(yíng)商或者對(duì)于一個(gè)大型的組織機(jī)構(gòu)來講,他們采購(gòu)IT產(chǎn)品,比如采購(gòu)路由器或者防火墻都是他的供應(yīng)鏈系統(tǒng),他怎么樣保證這個(gè)供應(yīng)鏈里面他買到的防火墻就是他的防火墻,買到的路由器就是他想要的路由器,所以這里劃了四個(gè)等級(jí)。最下面的一個(gè)等級(jí)是我們最熟悉的等級(jí),我們依靠一些內(nèi)部的流程,大家知道以前我們有一個(gè)假設(shè),包括CC的假設(shè),高質(zhì)量的過程產(chǎn)生高質(zhì)量的結(jié)果,在流程上面的安全就會(huì)得到一個(gè)安全的產(chǎn)品,我們跟用戶講,我們通過了9000認(rèn)證,這是自己內(nèi)部流程的優(yōu)化,但是沒有發(fā)展到整個(gè)的用戶,所以對(duì)于第二層是第三方的。大家知道我們測(cè)評(píng)認(rèn)證中心提供一些認(rèn)證,實(shí)際上就是在這方面做出努力,由第三方來看待這個(gè)產(chǎn)品,要把代碼拿過去做檢測(cè),這是很好的,但是到現(xiàn)在為止我們還沒有看到更高層面的認(rèn)可。

再往上一層,即使做了這一層以后,其實(shí)還會(huì)有很多的擔(dān)心,我們做了一些嘗試,就是怎么定義再往高層的保障和完整性。第三層這個(gè)名字是我起的,是架構(gòu)層面的安全,架構(gòu)層面的安全實(shí)際上是把我們運(yùn)營(yíng)過程當(dāng)中所推崇的SOD職責(zé)分離的體系放到IT系統(tǒng)當(dāng)中去,通過不同供應(yīng)商所生產(chǎn)產(chǎn)品的制約,比如說在一個(gè)路由過程當(dāng)中,在一個(gè)包的轉(zhuǎn)發(fā)過程當(dāng)中,如果有一個(gè)單一的廠商做手腳的時(shí)候,會(huì)在另外的地方得到檢測(cè)和反應(yīng),事實(shí)上是一種容錯(cuò)的機(jī)制在里面。最上面的一層是敵意環(huán)境,物理和電磁上是無法保證安全的,這是一個(gè)有益的嘗試,明年6月份在倫敦還會(huì)有世界網(wǎng)絡(luò)安全空間的會(huì)議,這個(gè)話題還會(huì)進(jìn)一步的討論,如果大家對(duì)這個(gè)問題感興趣的話還可以進(jìn)一步的參與和討論。

我們考慮要定義CII,哪些是我們的關(guān)鍵基礎(chǔ)設(shè)施,我們要看到圍繞這個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施,我們有一些可以借鑒的方法和框架供我們參考,讓我們開發(fā)保護(hù)戰(zhàn)略。我們?cè)偻驴匆幌略趺礃影阉兂梢粋€(gè)可以操作的東西,這里面舉了幾個(gè)例子,第一個(gè)是威脅樹,我們通常這樣做,我們27001有133個(gè)控制,我們選擇哪個(gè)還是不選擇哪個(gè)?或者我們請(qǐng)咨詢公司做了一次風(fēng)險(xiǎn)評(píng)估,前10個(gè)安全風(fēng)險(xiǎn)是什么。但是作為CII來講這樣的操作涉及到的范圍非常大,涉及到的重要程度非常嚴(yán)重,通常我們希望從更全面的角度探索,所以說有必要去識(shí)別,從人的角度和非人的角度識(shí)別,能把這一套威脅的樹完整的畫下來,能夠比較完整的識(shí)別所有的威脅。大家可以搜索這方面的文章,在物聯(lián)網(wǎng)RFID方面可以搜索到很漂亮的對(duì)于一個(gè)網(wǎng)絡(luò)架構(gòu)的關(guān)于威脅樹的研究報(bào)告,那個(gè)畫的很漂亮,我覺得值得借鑒。威脅一定是利用某種漏洞以某種形式發(fā)起攻擊的,我們傳統(tǒng)的只是說找到一個(gè)漏洞,這個(gè)漏洞是一個(gè)溢出,但是我們知道有一個(gè)原理,你不可能消除所有的漏洞,因?yàn)槁┒从行┦悄阒赖?,有些是你不知道的,所以在這里第二步,你把對(duì)方有可能對(duì)你發(fā)起攻擊的所有方式盡可能的窮盡下來,大家知道,研究漏洞是一個(gè)學(xué)問,怎么去利用漏洞是另外一門學(xué)問,這兩個(gè)沒有誰高誰低的問題,因?yàn)樵谇懊鎺讉€(gè)演講里面嘉賓都在強(qiáng)調(diào),信息安全或者網(wǎng)絡(luò)安全最重要的是人對(duì)人智慧的一種斗爭(zhēng),跟我們對(duì)立的那一方他們非常聰明,非常有組織,他們非常有創(chuàng)造性的發(fā)揮作用,還有比較好玩的是跟云計(jì)算如何結(jié)合在一起,怎么樣用展示的方式繞過測(cè)試。我們通過威脅樹得到盡可能全的攻擊方法,我們想回避的問題大家知道,你已經(jīng)知道的不知道不會(huì)對(duì)你無所傷害的,所以你會(huì)小心,能夠殺死你的是不知道的,你不知道它的存在,當(dāng)它發(fā)生的時(shí)候你根本沒有準(zhǔn)備,所以會(huì)殺死你,所以這樣的方法也是我觀察的一些很好的事件,尤其對(duì)于CII這樣最為關(guān)鍵的機(jī)構(gòu)需要做這樣的嘗試。再往下可能需要在政府層面、行業(yè)層面、企業(yè)層面、政策層面和技術(shù)角度各自分別做一些工作,我們開發(fā)出相應(yīng)的保護(hù)策略。#p#

我們做了一個(gè)綜述,我們有哪些方法論,我們有哪些操作的框圖,坦白說這個(gè)過程可能會(huì)曠日持久,可能會(huì)很長(zhǎng)時(shí)間,對(duì)于我們來講,我們作為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者我們可以采取的行動(dòng)是什么?我們剛開始談到了兩大威脅,一個(gè)是對(duì)于服務(wù)的可用性方面,一個(gè)是對(duì)于數(shù)據(jù)的方面,立即可以采取的行動(dòng)是什么?比如對(duì)于拒絕服務(wù)的攻擊,在今年5.19的事件當(dāng)中大家也再次的知道了這個(gè)問題,DNS相當(dāng)于傳統(tǒng)的網(wǎng)絡(luò)電話號(hào)碼,它的失效造成了一種事實(shí)上的拒絕服務(wù),雖然網(wǎng)絡(luò)存在,但是服務(wù)已經(jīng)被拒絕了,所以就是要保護(hù)DNS服務(wù),還有就是保護(hù)關(guān)鍵基礎(chǔ)設(shè)施里面的Web服務(wù)器。

一個(gè)拒絕服務(wù),在拒絕服務(wù)攻擊里面涉及到幾個(gè)相應(yīng)的角色,我們可以看到發(fā)起方控制了若干的系統(tǒng),他向目標(biāo)系統(tǒng)發(fā)起了攻擊,這里面可能是對(duì)稱的,也可能是不對(duì)稱的。我們的防護(hù)大概也有兩種不同的辦法,一種是在最終被保護(hù)的地方,假如說這是Web服務(wù)器,我在它的前面加上保護(hù)拒絕服務(wù)的設(shè)備,在它的前面,在運(yùn)營(yíng)商或者更上一層的節(jié)點(diǎn)做一個(gè)保護(hù),當(dāng)然還有對(duì)DNS系統(tǒng)可能會(huì)發(fā)起攻擊造成拒絕服務(wù)。對(duì)于CII來講,我們考慮到第一個(gè)要保護(hù)的拒絕服務(wù)攻擊,我們可能需要更全方位的部署。我們可以看到,我們這里舉了一個(gè)例子,不管是電力或者是FSI,就是金融方面,可能會(huì)在分支的地方部署一些專業(yè)的抗拒絕服務(wù)的問題,也可能是在線的,就是當(dāng)成一個(gè)危機(jī)管理,出現(xiàn)問題的時(shí)候可以拿上來。但是我們可能還更需要跟我們上層的供應(yīng)商合作,在更大的層面,大家知道,小概率大風(fēng)險(xiǎn)事件,需要通過分享,通過更大的范圍解決可能效率更高,對(duì)于我們最重要的CII,運(yùn)營(yíng)商國(guó)家的骨干網(wǎng),這里面可能更有意識(shí)的部署區(qū)域一級(jí)的和骨干網(wǎng)一起的對(duì)于DNS的防護(hù)。僵尸網(wǎng)絡(luò)作為全球化和工業(yè)化的特點(diǎn),可以發(fā)起拒絕服務(wù)攻擊,我們做流量?jī)A斜,相對(duì)應(yīng)的我們把500多倍的流量也變成普通的流浪,這是一種思路。其實(shí)我們還有一種思路,CII是國(guó)家層面的問題,能夠把這個(gè)僵尸網(wǎng)絡(luò)的不管是控制節(jié)點(diǎn)還是僵尸網(wǎng)絡(luò)的僵尸,又找出來清除掉,也可以在很大程度上能夠抑制這種攻擊,如何發(fā)現(xiàn)僵尸進(jìn)一步清除掉僵尸的原理,也是一個(gè)思考,事實(shí)上我們國(guó)家主管機(jī)構(gòu)在這方面也做了很大的努力。這個(gè)HoneyNet里面已經(jīng)裝了一個(gè)僵尸,能夠檢測(cè)到Control  Server跟他發(fā)生服務(wù),他發(fā)送給IDS系統(tǒng),這個(gè)系統(tǒng)會(huì)分析所有跟這個(gè)Control  Server進(jìn)行通訊的節(jié)點(diǎn),通過這樣一個(gè)節(jié)點(diǎn)來發(fā)現(xiàn),相當(dāng)于一個(gè)誘餌,可以發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的情況,進(jìn)一步找到這些僵尸,把它們清除掉。在這個(gè)企業(yè)級(jí)坦白來說效果并不好,不可能孤立存在,會(huì)在更大范圍上,在一個(gè)行業(yè)或者一個(gè)國(guó)家層面上操作會(huì)更有效一些。

在這里做了一個(gè)DNS系統(tǒng)的簡(jiǎn)單示意,不知道大家是否熟悉,這里面包括主服務(wù)器、緩存服務(wù)器,還有幾個(gè)主要的操作,包括關(guān)鍵數(shù)據(jù)文件的傳輸,包括查詢和緩存。實(shí)際上在每一個(gè)操作當(dāng)中都會(huì)有相應(yīng)的安全出現(xiàn),這都是被證明過的安全威脅。于是我們需要在每一個(gè)相應(yīng)的威脅點(diǎn)上面部署相應(yīng)的安全產(chǎn)品去做相應(yīng)的防護(hù)。我們把DNS的安全作為一個(gè)專門的系統(tǒng),需要幾個(gè)層面的安全防護(hù),DNA專有的安全問題,大家搜索一下13個(gè)Server的攻擊的話會(huì)發(fā)現(xiàn)很多的媒體報(bào)道,首先對(duì)DNS有一個(gè)專門的防護(hù),另外專門還有一些對(duì)于DNS方面的一些攻擊,需要相應(yīng)的進(jìn)九識(shí)別和進(jìn)行預(yù)防。下面還有對(duì)于DNS的Cache方面相關(guān)的保護(hù),包括備份問題,災(zāi)難恢復(fù)問題等等,甚至包括對(duì)于整個(gè)基礎(chǔ)設(shè)施里面涉及到所有的域名的相關(guān)服務(wù)的監(jiān)控問題。

對(duì)于基礎(chǔ)設(shè)施拒絕服務(wù)的攻擊問題,對(duì)于基礎(chǔ)設(shè)施很關(guān)鍵的一部分,DNS的防火墻,對(duì)于Web服務(wù)器的攻擊目標(biāo)也是數(shù)據(jù)竊取的重要目標(biāo),通常作為在架構(gòu)層面上我們需要考慮一些問題。第一個(gè)大家都知道的是我們需要部署防火墻和抗拒絕服務(wù)的能力在前線,作為第一線,能夠把很多一些面上的攻擊,包括服務(wù)、假冒包括掃描都能夠防止。大家還知道在第二步我們需要一些檢測(cè)能力,還有針對(duì)特定的一些攻擊,這里特意提到了一些,包括像已知的漏洞,比如一個(gè)漏洞本身沒有辦法去修補(bǔ),可能虛擬補(bǔ)丁的能力等等需要在這方面做一些部署。最后作為專門的Web服務(wù)器,大家也知道,最近像Web應(yīng)用防火墻這樣的產(chǎn)品,這也許是一個(gè)產(chǎn)品,也許是某一個(gè)特殊的定制,在部署的時(shí)候可能大家會(huì)有不同的考慮,包括昨天下午在第三會(huì)場(chǎng)有嘉賓講到的各種各樣的攻擊。這個(gè)縱深架構(gòu)大家可以看到,不一定在實(shí)際工作當(dāng)中一定這么做,這么做的話可能性能會(huì)有問題,可能需要做一些調(diào)整,如果是Web型的中國(guó)的IPS也許不需要了。

我們看到了威脅,看到了一些框架,也看到了幾個(gè)具體可以做的事情,我們做一個(gè)總結(jié)。這里面我們目標(biāo)是想開發(fā)一個(gè)CIIP的保護(hù)戰(zhàn)略,從國(guó)家層面或者從某一個(gè)大的行業(yè)的角度來指導(dǎo)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的這些項(xiàng)目和行動(dòng)。我們最終需要交付一個(gè)東西,這個(gè)東西可能會(huì)像什么,首先是政府,是在公共領(lǐng)域做的事情。下面是像電信、銀行、水利、電力這些方面,大家可以分別做什么。我們先看在技術(shù)方面,這里舉了幾個(gè)例子,我們是一個(gè)設(shè)想,不一定是現(xiàn)實(shí)的,從剛才的分享這幾個(gè)方面可能都需要考慮到,包括預(yù)警,包括中央的Webside的監(jiān)控問題,還有在國(guó)家的安全情報(bào)系統(tǒng),因?yàn)槟阈枰来罱ňW(wǎng)絡(luò)發(fā)生什么事情,哪些事情最你的威脅最大,這是安全情報(bào)系統(tǒng),跨國(guó)家領(lǐng)域的大型的數(shù)據(jù)庫(kù)系統(tǒng)。在企業(yè)領(lǐng)域部署這些系統(tǒng)的時(shí)候,需要跟國(guó)家層面部署的系統(tǒng)做一個(gè)比較好的集成,因?yàn)镃II大家都知道是互相關(guān)聯(lián)的,需要把自己的業(yè)務(wù)層面的邏輯做一個(gè)很好的調(diào)研,可以看到有些漏洞不是通過簡(jiǎn)單的工具可以做得出來的,但是攻擊方卻有非常好的創(chuàng)造力,所以說需要在業(yè)務(wù)領(lǐng)域,我們?cè)谥翱吹降牟还苁请娦诺臓I(yíng)業(yè)廳還是網(wǎng)銀系統(tǒng)都可以看到是業(yè)務(wù)邏輯方面發(fā)起的供給。在政策方面我們看到電信相應(yīng)的立法還沒有出臺(tái),對(duì)于信息的竊取我們還沒有足夠的法律。CII的運(yùn)行方、廠商、用戶相關(guān)的責(zé)任問題還沒有很好的保護(hù)。我們還沒有審查和督查的方法,審查是要有成本的,需要有低成本的手段來做。我覺得趙司長(zhǎng)就像美國(guó)的總統(tǒng)特使一樣,是一個(gè)提醒者,告訴大家要非常重視,國(guó)家在更高層面也是重新有了一個(gè)信息安全的協(xié)調(diào)小組,這些都是非常好的舉措。國(guó)際層面相關(guān)的協(xié)作也是很重要的,大家知道因?yàn)槿蚧膯栴},中國(guó)互聯(lián)網(wǎng)是全球互聯(lián)網(wǎng)的一個(gè)組成部分,現(xiàn)在我們很難閉關(guān)把網(wǎng)絡(luò)切斷,這個(gè)攻擊有可能在東歐,有可能在南非,怎么樣跟國(guó)際刑警組織打交道,在相關(guān)司法方面進(jìn)行協(xié)調(diào)這是很重要的問題,我本來還有一個(gè)片子介紹現(xiàn)在正在進(jìn)行的一些國(guó)際的協(xié)作,由于時(shí)間的原因就不展開了。

作為今天演講的總結(jié)我們做幾個(gè)推薦:

第一我們來回顧一下當(dāng)前哪些是我們的CII,我們的CII當(dāng)前已經(jīng)部署了哪些控制措施,我們有哪些的政策和技術(shù),找出我們大概的差距在哪里。

第二我們把當(dāng)前引用進(jìn)行中的,或者是計(jì)劃進(jìn)行中的相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)或者相關(guān)的項(xiàng)目進(jìn)行一個(gè)相應(yīng)的優(yōu)化,能夠把抗拒絕服務(wù)的問題,包括數(shù)據(jù)竊取的問題在必要的時(shí)候盡快加強(qiáng)。

第三能夠建立在行業(yè)或者政府國(guó)家層面的相關(guān)智能和情報(bào)企業(yè),能夠把信用問題、威脅問題能夠在全局層面進(jìn)行協(xié)調(diào)。作為單一的行業(yè)或者企業(yè)來講應(yīng)該具備這樣的抗拒絕服務(wù)或者抗數(shù)據(jù)丟失的能力,可能需要跟國(guó)家相關(guān)的機(jī)構(gòu)進(jìn)行配合,能夠在更大范圍上面確認(rèn)當(dāng)前CII的安全配置問題,符合安全策略。比如說現(xiàn)在最簡(jiǎn)單的就是一個(gè)密碼的問題,造成了很大的問題,但是又沒有辦法通過掃描看到這個(gè)問題,需要一些安全自動(dòng)化的檢查工具。下面就是能夠讓現(xiàn)在已經(jīng)部署的安全系統(tǒng)知曉當(dāng)前的安全狀態(tài)是什么,漏洞的狀態(tài)是什么,能夠調(diào)優(yōu)。

【編輯推薦】

  1. RSA2010中國(guó)大會(huì)的亮點(diǎn)和遺憾之處
  2. RSA中國(guó)大會(huì)鄭緯民:云存儲(chǔ)安全
  3. 用社工對(duì)抗社工——RSA身份認(rèn)證總監(jiān)Uri Rivner談釣魚
  4. RSA中國(guó)大會(huì)鄭弘卿:云安全和法規(guī)遵從挑戰(zhàn)云安全解決方案

本文名稱:綠盟科技趙糧:找出差距優(yōu)化、保護(hù)我們的信息基礎(chǔ)設(shè)施
文章源于:http://www.dlmjj.cn/article/djoiseo.html