孙铁：安全融合应用的管理话题

孙铁：大家好！非常高兴今天下午有这么一个机会来跟大家交流这么一个话题。因为在从事安全过程中大家一直在想在以前包括在今天上午和刚才，大家听到的更多的厂商才谈他的产品的解决方案，今天我想从我们信息系统的使用方包括我们的管理者如何来看待这个安全问题，如何结合我们的安全应用来通过安全的问题保障这个应用。刚才严所长也讲到应用和安全存在一定的矛盾，这是不可否认的，但是如何进行一些工作，使我们的保障更好的应用正常的运行，是我们目前深入研究的一个课题，今天我们想把我们最近研究的一些成果跟大家做一个汇报。

首先我们说以前大家谈到安全概念的时候，更多的是围绕着操作系统的组成，以前的现状是我们的业务，整个信息系统承载的业务并不十分重要，而且我们整个的业务并没有完全转到信息系统之上，在我们很多系统在承载业务的同时组织化也是可以完成信息系统承载的业务工作，在以前我们一谈到安全大部分都是说要具体，而跟业务相关的直到现在还没有更好的方法。

第二个，在我们十几年的安全实践中也发现整个安全的本质不是一个技术的问题，安全的本质是管理方面的问题，几十是实现更好的管理的保障。所以今天我们想从应用和管理这两个方面把安全整个的监管平台来向大家做一个汇报。

今天，汇报的内容有这样的几个方面，第一个是信息安全面临的挑战，第二个是以业务系统为核心的基线建设，我们说把安全重点转到业务上，安全需求上，如何通过业务安全需求的导出设计我们的安全优化。第三，是安全监管平台，也就是说我们这些建立以后如何对我们做的一切的安全活动做更好的管理和监管。第四，展望，我们要通过整个监管平台的建设，我们要达到一个什么目的，来对未来，对我们要达到的目标进行一些展望。

首先看一下我们行业信息化的现状，最近几年整个网络无论是从政府、运营商、金融，整个对我们的业务的开展，对IT系统的依赖程度越来越高了，但是以前整个来讲依赖毕竟是有限的，大家对信息系统的信息技术还存在一定的问题，在目前来讲，我们的电子政务包括金融，包括运营商对IT环境的应用，出现什么问题呢？出现对IT系统的依赖，IT系统的问题会直接影响多业务的开展。以前IT系统出现问题我们会有保障的手段，但是目前来讲很多重要的业务已经是独立的依赖于电信。IT系统的安全应该说是变得越来越重要了。

第二，随着我们说它的整个开放性的环境，我们业务这一块跟各个单位，各个环境互相的交互也变得越来越重要了。以前根本不会遇到的问题现在随着网络应用的拓展也慢慢的得以显现。

第三，我们的业务系统变得越来越庞大，整个信息系统的网络环境也变得越来越复杂了。需要我们进行防护的点也越来越多，我们说对安全管理者来讲是一个不可逾越的问题，如果做到点点都要照顾到的话是很难的。

再一个就是业务系统，刚才严所长也讲到了漏洞的问题，目前讲到业务系统所包含的漏洞非常明显，我们日常在做安全服务中，一些测试过程中，以前做这个的时候基本上要深入到整个操作系统层面上，现在目前已经不需要这么做了，业务层面基本上能够解决问题了，因为整个业务系统的开发，各不相同，在开发之初并没有想到安全的考虑。我们说换一个角度来讲，从整个信息系统的使用者来讲现在整个面临的压力也变得越来越大，因为我们刚才讲到的几点整个国家，整个行业对信息系统安装的要求现在变得越来越重视了，比如说各个行业的监督委员会，证监会、银监会都有相应的一些风险的管理措施，包括对安全的一些要求措施，整个来讲我们说安全已经变得不是说整个信息系统使用者本人的或者是本单位的执行了，已经上升为行业的意志，国家的意志了。

再有业务系统的安全性刚才已经谈到了，我们更多的从应用的角度来讲，对安全和性能方面考虑的相对减少，现在在多个运用系统中会暴露出越来越多的问题，包括安全和性能方面的问题。再一个由于这些问题的存在，使整个安全运维的工作对用户的管理者来讲压力越来越大。现在每一个单位就是那么多人，整个运维的工作量非常的巨大，所以整个来讲我们说由于业务系统多，参与的厂商多，使我们整个安全运维的工作变得不太现实了。这样给用户的感觉就是每天都在忙，每天忙完之后都感觉到问题的存在，问题解决了一个再爆发一个，这是我们重点要考虑的一个问题。

就刚才谈到的这些地方，统一来讲现在需要一些什么东西呢？需要一个统一的安全的管理，统一的一个自动化的安全管理来帮助他们自动化或者是半自动化完成一些正常的运维的工作，一些安全管理的工作。同时，系统使用者，系统拿捏的使用者的角度出发，国家、行业包括国际上等等这方面的安全方面的要求也造成了一种被动性的压力，同时给它感觉非常的麻烦。而且这种安全的压力来自于各方面，目前各类的安全不规范，国际上的，国家的，行业的，整个监督委员会的，如果可以把这些统一的整理起来，可以更好的指导我们工作，这是我们要做的一项工作。

从以上的介绍，无论是从我们现在的正常的业务安全的需求，包括我们的一些合规性的要求，整个使我们的安全管理者变成救火队员的角色，救火的同时还不知道在哪个地方另一个火灾正在运行，所以压力包括整个的负担是越来越大了。整个来讲，在我们做安全服务中，包括整个调研过程中，对我们的安全厂商不仅是产品的考虑，还有业务的考虑。前几年做业务的时候谈我们的解决方案和产品，但是目前来讲在跟用户做沟通的时候，当你不了解业务环境的时候，现在越来越少的客户能够接受这种考虑了，我们说在我们整个的平台来讲，对我们的安全服务人员有这样的一种要求，就是说你既一个技术专家，同时也是一个业务的专家，整个安全管理者主要明确的标准就是要进行规范。要解决我们系统的整体的安全问题，也就是说从业务安全的需求，怎么能够保证业务安全需求，来达到合规性的满足。

再一个就是对业务系统来讲，业务系统已经不满足于通过我们的安全厂商的一些代码审核，代码测试等等，更需要交付的同时还要交付安全。就是你在业务系统开发的过程当中要有一定的考虑，而这些安全的考虑需要我们协助来共同完成。同时，业务的升级也应该伴随着安全的升级，而不仅仅是功能型的升级。再一个就是说发现和解决问题不仅是靠人，更不能仅仅靠外人。我们系统对安全性的判断，对风险，对脆弱性的判断大部分还处于主观的想法，虽然很多公司开发出工具，但是整个来讲基础上还是建立在定性的基础上。基于这样的观点，我们在想能不能基于我们业务的安全需求，开发出一种自动的工具来降低我们的运维成本，同时要保证我们安全检查，安全配置，安全的整个的产品的部署达到更好的，更有效的一个效果，这个是我们解决的一个重要的问题。

我们现在面临的问题对信息安全的使用者面临以下的问题，比如说对安全要求高，无论是安全的经验，看安全的一些角度等等这块，再有一个是标准多，大家通过介绍也会发现有很多标准在约束。整个管理者目前有越来越大的责任。再有一个我们呼吁通过这些能不能开发出一个自动化的工具，来减轻我们的管理的应用，整个的工作的压力包括减少我们安全的风险。

第二，刚才介绍的都是一些我们的需求，下面谈一下我们的思路，我们的设计方法，这个方法包括移动、电信已经初步的在使用了。在鉴定过程中我们借鉴了面向对象的方法，以前我们说安全产品的设计，包括安全方案的设计，我们大家都在谈怎么样做的，但是大家中间会看到整个存在两张皮的过程，咱们现在拿到等级保护大家都比较了解，而且是大家比较热衷这个事情。这个是按照系统的重要性来做的，等级保护的利益是剥离平台的，跟业务系统是毫无关系的，只是根据你承载系统的重要性来判断的。等级保护的整个的基本要求大家会发现等级保护的基本要求没有必然的因果关系，这也暴露了一个问题，比如说我们现在我们大家在谈解决方案，但是真正要跟我们服务系统的服务对象是不是有相应的因果关系，大家没有很好的做研究。因为有业务对象，所以我们才有这样的安全的设施，安全的解决方案。也就是说把剥离平台的业务安全需求转换成和平台相关的，IT的战略需求，是这样的。

下面再详细讲一下，我们首先要把业务进行分类，建立业务安全词，我要保护，当你这个类建立了以后一定要有相应的属性，这个就是安全属性，要有相应的方法，围绕着这种属性建立相应的操作方法，方法就是我们采取的措施，而针对不同的业务系统采取安全措施也是不一样的。比如说对双认证的事情举例，对我们来说我们可能曲线的业务系统我们可能是会采取动态口令的方式或者是再加上一个其他的方式，这样我们就应用到面向对象中的一个多态。这些概念我们就不详细展开了，但是整个来讲这样做就是说把业务系统进行适当的划分，围绕着业务安全职能进行安全的设计。同时我们把这个变成一个与现有安全产品，包括现有的系统进行结合要通过两种工具，现在这两种工具一个是ULM，通过动态的格式来做出业务流程，包括需要保护的数据进行一些描述。通过XML变成一个可编程的方案，对这样的业务系统进行一些绑定，对我们整个的安全的设施包括安全的产品进行相应的定制化的一些调整，这样就可以成功了。

这样做同时也解决一个用户管理的问题，今天上午沈院士介绍了一个标准，我们这个业务安全是什么概念呢？在这一块解决一个重要的管理问题，就是当这个安全词下发到整个等级性质的时候，我们只是局限于省级进行研究，划分出安全词，划出安全属性，定义好安全方法，我们照着做就可以了。换一个角度来讲，我们很多单位现在有这样的做法，通过这种帮助分析再有业务系统规定了业务安全词，我只要告诉他在哪个点，怎么去做，整个我就保证你安全达到了一定的程度，这是我们的一种方法。因为整个来讲我们从业务安全追求的角度来进行细化和设计的，我们整个的过程走了这样的三步。一个是面向对象的分析，面向对象的设计，最后是面向对象的实现。

我们具体拿一个范例来讲一下，刚才严所长谈到了一个管理方面的问题，我们说我们根据行业的需求，我们各类行业的标准，包括国家内的安全的管理的规范，我们来具体化，将脱离平台的一些安全需求落实到跟平台相关的业务系统上。规范具体到一项执行的配置的一些方面，整个来讲我们说我们先生成一个安全规范，安全规范下发以后过一段时间我用自动工具检查你到底按照没有按照我的要求来实施，整个来讲这么去做实现了安全的管理，包括安全监管的管理。

针对业务系统举一个简单的例子，从脱离平台的需求到下面和IT相关的IT的需求，最后落实到具体的一台台的设备，这样就保证我们整个安全的实施是围绕着我们的业务安全做的。只有把安全基线的建设建设完，只有把一些水平不一样的业务系统达到安全基线才可以达到后期的调整，而且对我们后期的安全部署也可以打一个非常好的基础。通过刚才介绍的方法首先实现行业内的安全基线的建设，后期就能够稳定的支持一些安全的策略，安全的部署，这样就对后面的实现落地打下了一个非常好的基础。

我们拿烟草行业做一个例子，我们在烟草行业做了一个试点的项目，卷烟供应链包括应用的供应链，按照他的流程确定整个业务的需求，通过这个需求对现有的程序进行定制化的调整，这样的话这个的安全部署了以后，运维包括刚才介绍的安全基线包括安全的工具进行一些辅助的工作，现在烟草的安全的运维变得相对的简单，通过自动工具定期的向烟草这一块进行配置和检查，它的做法是先把这个下发下去，做了一段以后利用辅助工具进行检查工作，最后把发现的问题上报，然后进行规范，进行调整。

整个体系建设刚才谈到安全和管理的问题，我们围绕着技术这一块，围绕着我们业务需求这一块，我们整个安全管理体系和安全运维体系是相关的。不是现在几张皮，政府对这些进行了相关的连接，有相应的技术我们就有相应的办法。这一块我们说现在目前电子政务这一块也希望我的观点来进行一些实践，围绕电子政务来进行相应的安全的一些建设。

我们只有建了我们的基线才能建立安全监管平台，因为基线达到了一定的基线我们的安全监管才可以进行统一的部署。刚才谈到了从业务需求中导出我们整个IT的需求，包括基线的管理，包括这个管理的过程，安全的生命周期和准备预防、检测、保护、监控这方面谈到了安全的具体的实现。整个分成三个阶段，包括评价阶段，响应阶段，监控阶段等，围绕着一块通过产品，通过服务，通过解决方案来使各个阶段达到一定的满足，同时安全维护逐步的深化，逐步的完善。最后达到自主、自动的风险管理，围绕着需求来完成这样的目标。

最终我们说有一个终极的目标是这样的，更好的把安全是一个管理的问题更好的在这张图上表现出来，首先我们要的是业务系统，业务安全资产分成区域，比如说外部内部区域，外部区域和功能区域，从业务出发，从合规性标准出发，导出我们业务系统的安全要求，使业务系统的安全要求得到保障和满足。最后是面向对象的设计，面向对象的实施和面向对象的交互，同时也是做了一个面向对象的运维，运维包括很多的方面，我就不详细的讲了。我们通过配置包括这个基线的建设来达到这个目的，最后达到的目的是达到人的认知，达到政策的合规和达到业务系统的满足，保证业务系统存在的业务价值。使人能自动的从被动到主动，从自发到自觉这样的一个过程，从而使安全真正做到能够融入到业务系统当中，可以始终的进入到每一个人的脑海中，今天我就介绍到这儿。

下面我介绍一下我们绿盟公司，绿盟公司是国内不多的以技术见长的公司，成立于2000年，目前来讲有员工600多人，它是以安全服务见长的。现在目前有咨询的服务，管理安全的服务，包括产品的服务等。今天我讲到这儿，谢谢大家！

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。