压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

金融企業互聯網安全的再思考

今天這個事情又出來了，我今天演講是個人的觀點，我今天可能6年前的一些想法在今天拋出來，今天發生一些很重要的事情，我覺得呢，也恰恰說明了這些觀點還是有一些可取之處的，這個就是今年在紐約周刊上面的新聞標題的副標題，這家銀行每年耗費是250個比利被攻克了，第二個報道也是針對這件事情的，這個是華盛頓的政策集團的一個負責人，他是打敗了行業的系統和最好的防衛者，這是彭勃（音）對這個事情的報道。黑客是從正門進來的。這件事情也引起了奧巴馬和普金的個孔對話，從6月份開始，到8月份的發現，就是7600萬的客戶資料和700萬的小型客戶的數據被泄密，現在沒有公布原因。

每周向奧巴馬匯報的，就是說確認是不是俄羅斯干的，就是記者問這個普金說了一個胡扯，這個過程就是像我們剛才說的摩根大通（音）全球26萬員工，世界上最好的防衛系統和最好的防衛者，他對整個過程就是這么一個過程，我察了一下我們現在知道，我們現在比較的安全，察一些資料比較的慢的，所以整個的過程，基本上大概的描述一下，6月中旬，黑客就進來了，到了8月份中旬摩根大同關閉了自己的服務器，然后向媒體報告這個事情，實際上這個事情攻擊了兩個月后摩根大通才知道，這個月也出了相關的事情。我們看一下摩根大通的背景的資料，他的每年的網絡安全預算是2.5億美金，這個不是他的IP預算，是他的網絡安全預算，在我國和美國說網絡安全預算有很多的差別，美國說就是我們中文的網絡安全，就是這種新系統安全，基本上是傳統的網絡安全，他對互聯網的網絡安全通過都叫（英文）所以2.5億是花在互聯網安全的不是所有花在安全網上的運算。我對照一下國內信息安全就是數一數二的公司，就是前五的公司，他去年的年報，2013年的營業收入是9億元的人民幣，拋出他的3億人民幣，就是6億。…這樣的話，你說他是不是最強的，然后從專業的團隊上來講，有一千多人，這個一千多人也一樣，指的是專門的互聯網安全的專業人員，不是說他像我們國內，通常說安全，內網什么網的安全都含里面了，像他的團隊里面總共3500IT人員里面也有安全人員，在他們的很多的部門里面都有安全的人員，在各國的辦事處有他的安全的代表，他的安全的管理體系，也是像他的評論一樣的，就是最好的防衛者。

作為一個對比，骨骼（音）的安全只有400人，所以外界為什么說最強的防衛系統，在看背景資料，最好的防衛者，我從美國的招聘的網站上，摘錄一段信息，搜索在這個招聘的網站上，搜索互聯網安全，摩根大通的職位的話，職位的描述，就是我是前幾天，周二搜，他安全的職位的光哪天就是17個職位，他和任何一家其他企業都很難做到，我特定摘了一個，就是互聯網上面有一個勢智能分析的團隊，主觀任職要求，第一10年以上的數據挖掘經歷，第二點是數學統計協會的金融物理的碩士的學歷，這兩點招很難招，這兩年搞大數據，有那么幾年好招的。安全方面的要求，第四第五點的任職的要求，第五點就是編程的要求里面，我不知道大家熟悉不熟悉。就是這里面有一個爾語言的要求，我去年關注過，我關注爾語言也是前年吧，關注這個語言是2011年，到去年這個語言在國內才興起，這個是做數據分析的語言。第五個任職的要求，要熟悉（英文）這個我到后面說一下，STS這個東西，從這一點來看，我覺得可能很好的體現了摩根大通安全人員的，就是為什么人家說他們是最好的，這有一個直觀的，這周吧，摩根大同從第三季度的一個財務報告，他的對這件事情的一個相應，我覺得有一些東西和中國一樣，他的CEO說，互聯網安全是像長期的戰爭，第二點是最一樣的，未來五年八2.5億美金安全預算再加倍。這個是國內也一樣，不出事錢都不給你，出了事再花錢，這個沒有任何的區別。

從這件事情里面，我們不得不想，怎么了，我們的互聯網信息安全，花這么多錢，有這么多人，做的這么好，還是被黑客攻擊了。我說了我一直不想談安全的問題，因為我對這些安全對這些東西，就是有一些伊蚊，一就是原有的安全的思想，我說一下，代表我個人的看法，在這里有一些東西和前面的一些講的有一些沖突，安全思想，現在安全思想是這個里面就是邊界的防御策略，我們做安全的比較的關注這個，在互聯網業就是說是，互聯網的時代，這個邊界越來越難找了。除非你去細化，除非我縮小，你要確切的把網絡的邊界劃出來越來越難，現在有人開始說，互聯網邊界防御策略并不是非常的有效的，第二個觀點，剛才正好以前也有一位講了這個網絡安全的三分技術和七分管理，我以前也在網絡安全的專門的公司在討論這個事情。

可以說這樣的，2001年我在跟公安部，參與公安部寫安全管理標準的時候，我在會上也說這個概念，三分技術七分管理，后來我發現這樣的一個問題，后來我回憶談安全的事情，三分技術七分管理有很大的問題在里面，看上去就是技術不重要了，就是作用信息安全，就是管理很重要了，這個管理是推賢自己的管理技術，因為管理永遠存在漏洞，我們沒有100%的管理的體系，第二在中國的管理企業來講，可能說完全的嚴格的按照西方的那種流程化的管理是很難執行的，就是最好的（英文），這套東西都是英國販賣過來了他們依靠標準來掙錢的。

所以我在更傾向于美國的標準，因為英國的標準他有培訓認證審計一套的商業體系全部的出來了。這是從這個觀點的，第三個就是體系的結構，后來很多做安全的人，也再處理信息安全的時候，也覺得很多的問題處理不了，所以把責任歸到體系的結構有問題，就是這個結構就是把指令和數據放在一起，必然要出安全的問題，那哈弗結構就不會有了，這個他試圖把數據和指令剝離開來，這個就是互聯網的開放性導致的，這個更是廢話了，還有一個是編程的漏洞，我沒有辦法仁厚的就是化被動為主動就是這個安全的問題，從理論上來講是這樣的，我們打仗是這樣的，踢球也是這樣的，但是有一個前提我要知道我的對手是誰，我不知道我的對手是誰？怎么化主動你永遠是被動的地位。

再有一個這里就是一個在互聯網安全上重要的是，大家可以知道就是（英文）曲線，這個現象越來越嚴重了，就是關于電力的時候要慎重一些，作為金融來講，就是IT公司來講，他的就不一樣這樣考慮了，他一定是在技術過熱期向市場兜售這些東西，我們做企業隨著IT的運用越來越普及，深怕落后捱打，所以我們選擇的時候就是在技術的過熱期選，而這個技術的過熱期沒有成熟有很多的問題存在，這個漏洞是我沒有辦法逃避的。這個是我說的。我們現在做的就是被逼迫的癥狀，就是我大數據不用不行，我用了就是他漏洞，他從設計開始他就沒有考慮安全的問題，現在開始就是打補丁，我用的過程中肯定有很多的漏洞被別人使用，我認為這是逃不掉了的。

我們拿這個來看，對互聯網的安全來看，我們拿這個六個原則分的時候就是清楚幾，就是方法論，就是為什么要來。那可能我知道了，可能我不知道，他為什么要黑啊，我結仇了，是我的商業的競爭對手，他來干什么，我知道，他拿我的數據，這個我清楚，然后他在哪我也不知道，他是誰我也不知道。他什么時候來我更不知道了。他怎么來，我還是不知道。那按這個方法論來講，我們面臨網絡信息安全的時候，就是感到非常的無能為力，至少從企業來講。剛才說的是我的一些困惑，困惑到現在，這次我講一些我的觀點是為什么？因為這一年信息安全領域發生了很多的變化，第一個這個是美國本土安全局，就是奧巴馬建設技術安全的問題，本土安全局，就是讓ST起草一個東西，就是國內的翻譯是國內網絡安全框架，就是把這個針對互聯網的這個東西隱含掉了。

我簡要的說一下，第一大功能組織上來講，他這幾快，識別、保護、檢測、響應、恢復，沒有很大的區別，關鍵是實現層級上，第一局部，第二風險知情，第三可重復，第三自適應，這實現起來的難度，可以說在他的報告里面講，他第一層局部是為了一個讓現在所有的企業有一個過渡，所以上他認為，美國本土所有企業做的安全只是處于局部的這一層的。為什么是局部？就是Gartner大會上的主要的觀念，到2018年超過半數的企業選擇安全的服務公司，以增強他們對安全的保護措施，這個數據現在看來，大家可能會覺得現在還有5年，現在看這個事有這樣的一個趨勢，是不是我們看下面還有一個。

這是2015年信息科技趨勢，對安全有一個要求，基于風險的安全和自我保護，這個跟老總剛才進的基因。他們在落實自我保護上面已經做了大量的工作了。在一個就是跟我們很關注很密切的跟金融的行業，這是第二套周一剛發布的，這是（英文）組織，這個組織相當于中國的證券業協會，他是由美國的債券也和證券業何必的組織。他在2號發布了一個互聯網安全監控有效的原則，十個原則第一點安全美國政府在把互聯網安全和所有的商業活動，在商業活動扮演重要的職責，第一點強調的是政府，第二要識別到公司合作的一個價值，在他的正文里面，他的公司尤其他的工強調的是誰，我們強調的是互聯網安全框架的NIST，就是美國網絡安全局下面的一個公司，中間有30幾條，我覺得還好，他對監管就是原則要改變，就是監管的機構對金融機構監管的原則要做出調整，比較有意思的后面兩地，第九和地十項的原則，第九就是信息的共享強調，這個信息的共享在我們以前就是都有這條，這條但是說這里有一個必須限制在以互聯網安全為目的的信息的共享，就是以危險信息的共享，以前的話，（英文）他指的是我要共享，實際上我們國內也在做，但是怎么能做到有效的共享。在美國本土安全局在2012年啟動一個項目，就是摩根大同招聘的時候最后一條要求，他要建立一個危險信息描述的語言和交換的標準。他基于這兩點上，要實現的，有了這兩點，就是做風險的分析，就是我們反過頭來看這個，第二就是風險的知情，沒有這一條你的風險的知情是達不到的。

而且這兩個要打破所有的廠商，就是這個廠商能拿到這個東西，但是廠商和廠商之間不共享了，所以說，這套體系下面有一個就是真正的聯防聯動，這套體系也有領導在這，我也不清楚國內有沒有做但是這套體系國內必須做，你抄不來的，你必須要有自己的體系，你有這個，可能剛才老總的愿望就是基因的免疫，你沒有這個基礎的話，那些都實現不了的，2018年有一半的公司就是請第三方的專業的公司在這個20號出的指南里面，他對金融企業就是講這個是必須的，就是請第三方的公司。這也充分的說明，你靠一個企業來解決互聯網安全的問題，已經是非常的有限的了，你只有動用外部的專業的力量，對這個情況，我自己的一些想法，這些可能就是說，我們當前作為企業來講，可能關切的是危險應對能力的建設，就是不是傳統意義上的安全，只針對互聯網安全的問題。

如果說要把這個來自互聯網的危險化成五個等級，我個人認為對于危險的難以程度就是危險最大的，就是一個企業的IT部門的力量只能應對一級的力量，二級危險就是整個企業的力量，企業力量就是給你錢給你人，這樣的話，你要怎么面對，處理更多的危險，你必須要依賴于第三方的專業的公司，而且一定要是真正的專業的公司，應對世界的危險必須依賴于行業的力量，到最后最高級的危險就是要摩根大同遇到的這種，他是這么強，他完全是頂級的行業了，從他的數據吧，他26萬的員工，就是在證券行業的從業人員大概也就這個數字。然后他一個部門我剛才說的就是CTM技術部門3600名員工，整個證券行業的員工人數也是這個數，摩根大同這個技術的力量和我們國內證券行業的數據力量太少，整個國內證券行業的IT的力量要強，他也對付不了，所以這樣的話，到了最高一級必須依靠國家的力量才能夠應對。針對這個可能就是說，確實要解決這個事情，就是在前面的應對機構趨勢的話，我們要解決，包括我們前面談的，我們要做自主保護，要做免疫基因的應用程序，你在封閉的環境里做沒有太大的價值的，你不知道別人勉勵的危險是什么，都有什么危險，那么你怎么應對危險。

第二作為企業，現在可能個人，這里要做的工作很多，我是個人的觀點，雖然是有效，但是按照什么等報的要求和管理體系還是要做重點了方面現在有一個，我們現在做的一個是架構，架構的重要性大家知道，外面在我們人員資金是優先的，問題很多，我邊界會越來越做越大，我把邊界縮小，我以保護我的數據為中心，我不能擴大我的邊界，我要縮小我的防護的區域。

第二層這個是最要命的一層，我們很多的東西，像前面對摩根大通的報告也是，我來自正門的黑客。自主適應，自我保護也是對應用程序的要求，這個層面的東西，可能在國內，我現在可能到自我保護還差一段，但是要做到基本的保護，我起碼已經應用了，尤其在互聯網上的應用，我用的東西存在很大的漏洞，就是編程的漏洞會形成大量的，各位老總和你們合作的企業都是這樣的，來的編程人員都是一兩年，工作年齡大了他不編程了。寫編程已經不錯，你讓他有安全的保護意識，幾乎是不可能，我隨便的問一下，然后看了一下東西，有一些網站的漏洞真的是輕而易舉的，就是你告訴這個方法，你怎么做，就是高中生就把這些數據，就是能夠獲得，這個漏洞可能現在在國內非常的姚明的一點。如果說自主的開發還能控制一點，如果采取外包開發這個事情，至少像我們這個公司的規模也不大，就像工行這種大規模的，你不可能自主開發，就是外包，一外包這個事情總是非常要命的。

還有就是在大家對摩根大通的猜測的時候，有這么一種說法，因為以前大家可能都知道，大家應對黑客的時候，黑客對付呢有一個階段，前期有一個階段，就是摸索你的漏洞在哪，然后發動攻擊，前期的工作是在另一個國家做的，這就要看，你的大概的系統的結構差不多，然后在網站做所有的前期的實驗性的工作，就是面對這個攻擊是零的，你一進來就是知道你的問題在哪，然后進行滲透和攻擊，你前面要想通過網站的異常發現是不可能的了。

所以這可能是最為關注的事情，還有其他的漏洞還好說，但是應用的程序來講，這個安全的補丁幾乎沒有，所以這個是必須要關注的東西。基本上我講的就是這些內容，非常的感謝，我講的這些觀點僅代表個人的觀點。謝謝各位。