杜旭晖：整合提升能力 能力落实等保

杜旭晖：各位领导、专家，尊敬的沈院士，各位尊敬的来宾大家上午好！很荣幸能有这样的机会能够把我们最近天融信公司在安全保障体系的设计，安全能力提升的考虑以及公司在如何保障能力，如何保障安全技术落地，如何保障安全体系的实现这些角度上我们所展开的一些思考以及我们的做法跟大家做一个共享，希望能够引起一些共鸣。

我今天演讲的题目叫整合提升能力，能力落实等保。实际上就是这个里面有三个要素，第一个就是等保，因为等保我们知道是国家强制性的标种，是一套完整的安全保障体系的思想和方法。如何去落实等保呢？我们认为归根到底要正确的落实等保，并且把等保发挥出真正的作用来，它主要要求的是能力的保障。能力的保障又来自于哪个方面呢？对于厂商来讲能力的保障我们需要去整合，在我演讲之前，我今天大概去共享两个方面的问题。第一个是整合是大势所趋，第二个是我们如何整合。我们从安全状态上看，我们说现在网络风险很多，问题很多，那么各种威胁，各种的风险也是非常多的，我们大致总结一下好比跟用户相关的非法用户的恶意访问，合法用户的越权访问，还有用户的非法介入，还有安全审计的事项，这个都是从用户层面上所提出来的。还有跟数据相关的，数据的泄露问题，数据的篡改问题，跟系统相关的，系统有补丁的问题，跟网络环境相关的，恶意代码的传播，还有跟安全管理相关的安全策略的统一的问题。这些问题林林总总，感觉到非常的杂，非常的乱，沈院士刚才所讲到的我们要保障是非法访问进不来，进来了也拿不走，拿走了也看不懂。

这一系列问题我们如何去形成一个整体的解决方案？如何从这个整体上面来提升网络的抗攻击能力，抗违法访问的能力。在说明这些问题之前，我们先大致讲几个案例，因为今天时间有限，我只是简要的去讲几个。

第一，阿根廷总统的个人税号遭黑客恶意修改的问题，实际上我们可以看到这个事件我就不再回放了，从这个事件上可以看出非法用户的非法访问导致账户的数据被篡改。

第二个问题政府丢失公共保密资料的风波。这是英国政府一个低级的公务员在处理一张光盘的时候，他把这张光盘简单的进行了处理就通过一个邮递公司给邮递了出去，这张光盘最终没有到达目的地，而且这张光盘上有很多人的社会保险的信息，引起了大面积的恐慌。这个我们可以看出这个是一个明显的安全管理方面的，什么样的人应该接触什么样级别的信息，能够处理什么样级别的信息，对于重要信息怎么样去进行保护的问题。

第三个事件就是希腊总统手机被监听的事件，这个不是管理方面的问题，也不是安全防护做的不好的问题，而是由于中间商他们是通过一个中间的运营商的中央服务器被安装了木马程序，导致了希腊总统的手机被监听。

从以上的这些案例，当然类似这样的案例很多，我就不一一展开了，对案例的思考我们可以看得出安全的威胁从目前来讲已经从影响到社会个体蔓延到社会群体，甚至威胁到国家的利益，所以我们要讲等级保护是一个国家性的要求，同时也是国家为各个职能部门，各个用户做安全保障体系建设的一套完善的指导方法。为什么要这样去做，做这件事情，安全威胁已经不再是一个个体来考虑，不再是某一个组织来考虑，而是国家考虑的问题。对抗安全威胁，以前我们说要搞安全建设，上安全设备，买服务，现在我们可以看出在等级保护里面提出的是一种系统的方法，更多的是一种体系化的方法去考虑的。可以看得出，从安全系统的建设已经逐步转向成要提高能力，用能力来保障我们的安全。

北京奥运的安全已经证明信息安全已经上升到国家层面，从以上三点我们可以看得出整合能力已经是国家信息安全发展的一个趋势，也是用户需求驱动的一个必然的结果。当前信息安全建设存在哪些问题呢？这些问题是天融信公司根据我们多个项目以及我们多个案例总结而看到的，就是当前的国情因为有经费的问题，技术壁垒问题，导致安全建设周期很长，安全建设周期长了以后很难适应，信息化的发展是不断的变化的，那么相应的安全保障的建设也应该是随着信息化的发展不断的演变的。但是正因为由于经费的问题，由于技术壁垒问题，那么导致安全建设总是很难跟上信息化发展的脚步来进行。

第二，正因为我们很难做到这一点，所以当前安全的建设只能头痛医头，脚痛医脚，就是出现问题以后我再想办法去解决它，更多的是亡羊补牢，而不是事先防御。事先看到了存在的风险和威胁，我们在事先进行规划和考虑。

第三，虽然有系统性的规划，但是如果没有保障能力的前提下，规划虽然很完善，我们可以做三年安全建设规划，可以做五年的安全建设规划，如果没有相应能力的保障这种规划是很难以落地的。还有一个体系化建设明显落后于新概念和新理念。通过以上问题我们也可以看出在当前的环境下面，在当前的这种国家安全保障形式的大环境下面也是提出了要整合来提升能力，然后用这个能力来保障等级保护的具体的落地。

从国家政策来看，在十一五也提出了国家重要基础设施的安全保障体系，提出了六个要点，我们来看第一个要点就是首先作为一个完整的安全保障体系，从国家层面去考虑安全保障体系。首先是有一个全面的网络安全状态的知晓和控制，就是我要很清楚的知道我网络中发生的活动，我网络中所处理的信息，我网络所面临的一些风险，各种各样的活动我要能监控得到，我要能控制得住。所谓进不来，拿不走，看不懂，这个所凭借的基础在于什么呢？就是对全面的网络安全状态要有知晓和控制。有了知晓和控制之后，那么接下并不是说我们有了前面的监控就不需要防护手段，防护手段还是依然存在的，还是依然有效的，对于基本安全机制的建立和互联互通，其中最重要的就是互联互通，我们各个层面的安全防护并不是孤立的，而是相互联系的，我记得天融信在2001、2002年的时候就提出了安全联盟，安全联动协议，它指的是防火墙跟监测进行联动，防火墙更多的是一种防止的手段，监测是对网络中的活动进行监测的手段，这两者应该打通关系。还有就是防护跟审计的关系，防护跟管理的关系，所有这一切就是要求我们的技术和体系相互之间是可以打通的。

在这个基础上还提出了有一套完整的技术工具作为支撑的安全管理制度规范，好比安全用维的管理，对网络中的活动有怎样的审计的方法，通过怎么样的工具来探测我网络的现状、态势，还有基础平台。并且还要形成相对完整的安全服务应急队伍，通过应急，就是在发生问题的时候能够快速的定位问题，能够快速的分析出问题来，并且对问题形成快速的响应，来防止问题的扩散和进一步的恶化，还有相对完整的安全监控体系，就是管理和技术要并重。在管理和技术并重，一方面是小环境的我们这种安全管理体系，另外一个方面是大环境的，国家层面的，国家测评认证机构和安全中心的一个大的环境的支撑。自主的安全产业的支撑，有自主知识产权的，像天融信我们所有的安全产品，我们所有的安全软件都是有自主知识产权的，因为这个是支撑安全保障体系，支撑国家安全落地的一个必要的基础。

从国家政策上来看也要求促成了技术、服务、产品的全面整合，促成了信息安全产业链的全面整合，从奥运经验来看，我们也参与了很多的项目，在奥运之后我们认为安全特别是对于大型赛事的安全保障是国家层面的，是全民的一场战争，是国家对抗的。在奥运经验中，我们得到六个方面的经验，第一，花钱是解决问题，而不是买产品，真正在大型赛事活动，而且这种受国际关注非常高的这种活动里面真正保障安全的是如何去提升能力，用能力去进行保障。而并不是说我把产品买进来堆在那儿，只是静态的，要用起来，得有人去响应。

第二，管理和服务，在整个保障体系它实际上是真正发挥作用的，所谓产品只是说我的一个工具，我要依托这样的工具来完成我的监测，完成我的防护和响应。另外还有一个企业能力与体系建设，要有可管理性，然后多视角，多企业，多技术的配合是解决大型系统安全的必由之路。也就是说在类似于奥运保障这样的项目里面，实际上更多的是多个层面，好比国家层，厂商层，用户层，多个系统，多个企业，有各种各样的企业或者是厂商，有服务的企业，有产品的企业，共同来配合，来形成一套完整的以对抗高风险的安全保障的体系。

在这里面我们也可以看到他同样提出了整合的要求，我们再来看等级保护实际上它的建设更需要全面的合作，等级保护是一个政策标准，那么等级保护的建设需要广泛的技术合作，而在这种广泛技术合作的背后实际上就会促成了产业之间的联盟，我们来看从等级保护的实施流程里面分成定级、评估、方案、集成、测评五个阶段，在定级阶段需要主管部门，标准单位，技术支撑单位，服务商和集成商的全面合作，准确的定义信息系统，分析信息系统，做一个客观的评价。在评估阶段和方案阶段也需要集成商综合安全的厂商来进行信息安全的风险评估，信息安全整改的方案的设计，在集成阶段也需要服务商和厂商进行配合，在测评阶段需要主管部门、技术支撑单位来协助完成。所以等保的每一个环节也提出了整合的要求。

那么怎么样去整合呢？整合第一个方面是整合提升能力，提升哪方面能力呢？天融信公司根据我们很多的项目体验出来，刚才我们所讲的两个概念，一个是整合，一个是能力，那么能力主要体现在哪几个方面呢？我们认为体现在三个方面。第一是防护能力，所谓进不来，拿不走，更多的体现在我防护能力达到一个什么样的防护能力，防护它非法的访问我是进不来的，越权的访问不能进行的，防护体系所带来的是防护能力乐观提升。

第二，进来了以后，行为是什么样子的？好比不能拿的，拿不走，他在网络中的所有的活动有记录，这就是监控能力。也就是说有防护，有监控。第三个还有一个就叫保障能力，有了防护，有了监控以后，我们在面临的问题已经发生的事件，还有可能会发生的事件，在发生了之后，我们如何去进行应急，如何对在日常的安全管理的活动中如何去进行一个阶段，一个阶段的这种保障和相应，对事件的相应，对问题的分析，这是保障能力。

那么这三大能力我们认为是安全保障体系核心要解决的，核心要提升的，也是通过这三大能力来去建设安全保障的一个基础。从等级保护来看，能力怎么样落实等保呢？我们看等级保护更多的是作为被保护对象的系统有一个运行，那么面对我们的被保护对象，我们要也防护的措施，我们这种防护的措施我们分为有策略类的、技术类的、运行类的、组织类的，实际上我们来看策略类的通过策略，好比我们通过访问控制策略，通过认证策略，通过授权的策略来防范非法的访问，防范越权的访问，防止拿不走，进不来。我们要提升它的这种防护能力，监控能力。

有运行和组织，更多的是什么呢？就是我的运行维护怎么去做，我的组织如何去保证程序，这是我们的保障能力的要求。实际上我们来看正是因为防护能力、监控能力还有保障能力我们才能有效的支撑起一个安全保障的一个系统，通过安全保障的系统来实现我们的安全保护能力，能够支撑我们的定级所提出的保障要求。

天融信是如何去做整合的呢？首先我们把整合分成四个层面：第一是基础防护层，好比我们在防护能力方面我们根据计算环境，根据通讯网络，我们在计算环境里面会采用普及加固，服务器加固，在边界方面我们会采用防火墙等，我们也可能会采取加密等措施。经常我们用户跟我们抱怨这是一种产品的对接，如何实现有效的整合呢？打通壁垒，就比如说防火墙跟入镜检测的联动，这是一种最基础的联动，还有审计跟防火墙的联动，就是审计到什么行为的时候，防火墙给阻断掉。审计跟安全网关的联动，还有我们的桌面安全系统，就是主机防护跟防火墙之间的联动。这一系列产品之间的联动形成了我们的基础防护层，这就是第一层面的整合。

每一个系统都需要管理的平台，好比防火墙有防火墙的统一管理平台，入镜监测有入镜监测的管理平台，桌面有桌面的安全管理平台。在管理这个层面上，因为管理的这个层面上是针对具体的技术和具体的产品配置相应的策略，在这个层面上又实现第二层的整合，就是策略的整合。我举一个很简单的例子，我防火墙已经对某一类的行为已经进行了限制，并且在策略里面已经有这一条的时候，好比我们禁止访问一些端口，紧接着配合的入镜监测的策略里面就会对这一类的事件的监控的策略相对来讲会降低监测力度。

另外好比我们有网站，我们在防火墙或者是边界网络控制里面必然会开放80端口，因为这种已经实现了策略的整合以后，那么IDS会把策略重点放在基于80端口的访问上面。第三个层面就是说是以安全保障这个层面，安全保障这个层面我们就说是在每一个系统之间都有监控，是不是有一个总的监控呢？我们形成了三个方面的整合，一是以资产和配置为中心的，第二是以安全事件为中心的，第三是业务应用为中心的，就是说事件可以监控起来，资产可以管理起来，业务应用可以有效的监控起来，这三大体系来驱动每一个监控平台之间的策略到底怎么去整合。好比以安全事件为核心的，这是我刚才讲的80端口开放了，我们的资产里面我们可以看到有外部服务器，这里可以体现防火墙如何保障外部服务器，桌面如何保障，安全审计如何保障，这是第三个层面的整合。

第四个层面就是说从总体的安全策略又回到了这个策略，我们通过等级保护来实现整体的等级保护的策略体系。从上而下是通过等保来深化整合，从另外一个维度来看从下往上，通过用户需求来驱动了整合，这就是天融信在整合方面所形成的思考和考虑。通过整合这个层次，我们会看到分成三个层面，技术的整合，系统的整合，产业链的整合。技术和系统的互联互通，整个产业链之间的保障，最终我们会形成什么呢？更广泛的合作与协同，就是厂商之间的合作与协同，用户的协同，监管部门的协作，标准部门的协作。天融信就是以整合为核心，我们提出了一个全方位的能力保障体系，这个能力保障体系就是对应的，我们以应用为核心的，实现了一个应用系统必然有用户、网络计算环境和数据组成，我们在用户方面更多的是在整合方面以用户为对象来进行一个层面的整合，以网络计算环境为对象，以数据保护为对象进行第三个方面的整合，最终我们会形成整体的安全体系框架，在这个体系框架里面我们可以看到包括管理框架和技术框架，在技术框架的时候我们整合的技术就包括间接认证，访问控制和荣誉恢复，在整个服务方面，我们是通过集成服务、评估服务立即响应安全咨询来实现不同体系之间的管理的整合。

我最后再用我们今天的主题就是我们的安全保障体系建设一定是能力提升来作为保障的，而能力的提升不管是对于厂商来讲，对于用户来讲，对于国家的层面来讲，背后的驱动力就是两个字，就是“整合”，谢谢大家！

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。