• 关于我们 联系我们
当前位置:CIO新闻中心 → 正文

企业(云)安全方面的困扰和思考

责任编辑:jackye |来源:企业网D1Net  2017-07-20 14:40:28 原创文章 企业网D1Net

2017 CIOC全国CIO大会7月20日在青海·西宁盛大举办,来自全国的300余位CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

主持人:我们今天请到三花控股集团CIO叶根平先生为我们分享《企业(云)安全方面的困扰和思考》。有请!

三花控股集团CIO叶根平

叶根平:早上听了两家企业苏宁和南航的方案,他们都是高大上的,我们作为企业来说,我们在工作当中碰到一些困难和困惑,每年在这里讲的都是我们工作当中的一些困惑,今天我跟大家分享几个最近困扰我的几件事情,我分享一下,我相信对其它企业和乙方也是有一些共鸣的。

我的题目是《安全方面的困扰和思考》,困扰之一是病毒的侵入,5月12日我也有幸“中彩”了,实际上这不是我第一次“中彩”,我们公司2013年12月份也中过一次彩,勒索病毒。关键这两次中彩有一些重要人物,技术部的部长的电脑都中了彩,问题比较严重。因为电脑上有一些重要的技术文档,而且有一些文档可能是没有备份出来的,可能在一段时间里面一个团队的研究成果就会丢失。后来就提到一个比较高的高度来提这个问题,我们也就跟防病毒的一些厂商做了一些交流,他们都说暂时没有办法。特别是5月份这一次是全球性的爆发,我也不纸知道为什么。

这里是一个图,这个图是全球爆发的情况,实际上是大面积的。也有一张图是讲我们中国中毒的情况,主要集中在华南、华东和北京的一些地区,那么华东地区就是江浙沪地区是一个很密集的红点,行业也是有一些重点的行业,为什么我们制造业也中彩呢?中彩了没办法,我们两次事件当天或者一段时间里面采取的策略只有一个,就是报警。后来我们就想,我们是不是可以除了报警以外还有其它方案呢?比如现在我们不是很多人介绍什么安全吗?我们不要说云上的安全,如果我的内部网络做一个安全,云上的安全就很难去保证。因为内部网络有一个物理的空间,云上连物理的墙都没有。所以我就想,有没有可能这种入侵是有痕迹的,或者是有一些整体性的思考的。比如说像这种端口,我中午跟陈本峰总交流,我很期待听他的报告。诸如此类,我觉得有没有可能这种整体性的策略去解决,这是我的思考。这是一个最近困扰我的事情,我也不知道什么时候再来一个莫名其妙的病毒进到我的网络里面来,把我的一些重要文件破坏掉了。因为这个我们是没有交钱的,我们不能助长,我们就把系统隔掉了,丢就丢了。这是我的一些困扰和思考,这是第一,目前来看还没有人给我一些好的解决方案。

第二个,今年5月底某知名软件公司对我司曾试用过的软件提出他方的要求。我昨天来了以后,我跟海天(音译)的钱总或者其他人在交流的时候,其它公司也有。也就是说,有些时候我们的技术人员在网上有些公司免费给我们试用一些软件,我们的技术人员试用以后忘记卸载了或者卸载得不干净,结果被对方的软件公司侦听到了。后来我专门请教过美国来的一些朋友,他们说很多软件里面是带着心跳的模块,这个心跳是卸不掉的。我交给制造业好的研发团队,那种心跳是这样的,只要上网就心跳到了他们公司的一个专门收集这种信息的服务器,到了一定时候,他们觉得有需要的时候,就告诉你这个信息是哪个机器的哪个地址,是通过你这个域名解析出去的,在哪个网段四个数字组成的地址出去的,我查这个地址确实也是我的外网地址。

实际上我们每年的4、5月份开始这件事情,软件供应商号称是版权部门、合规部门也好,是各个大学辩论比赛的前几名,而且也不愿意邮件沟通。我说你有什么问题邮件沟通不了吗,他一定要打电话给你,一打就是几个小时,我们心里就会烦躁,烦躁就中了他的套。这个事情本身它是一件说不清楚的事情,可能大家也是有默契的,微微一笑的。但是我们在想,我们有没有可能在内网上自己主动监听或者侦听内网上有些什么问题,比如说类似这种我们不合规的软件,如果我们知道一些痕迹。实际上软件厂商提供给我们以后,我们再去找很容易找出来它的痕迹,我们内网和外网全部隔离,在我们公司里面很多研发单元都做了。但是我们想能不能够主动巡检,把一些不合规的软件在内部就自动消除一些不合规的情况。

还有一个思考,这是我们从内,内部加强规范管理,还有一个外是实际上怎么让这些东西不出去或者别人进来的时候我可以知道。从防火墙上,通过软件或者通过什么方式,因为国际上很知名很强势的公司也没几个,我们是不是能够做一些主动性的预防,这也是我的思考。我的困扰是每年都要花很多精力应对这些辩论赛冠军们,经常在电话里面跟他们纠缠,很影响心情,而且都是快下班跟你打,我的家里人也明显感觉到我的情绪受到很大的影响。因为我说不过他们,也不知道怎么避免,这是一个困扰。那么有没有可能有效阻断?这是我的外部反映,内部反映是自动巡检,我们也想这样做。这是第二个困扰。

第三个困扰,我们在全球各地有很多研发团队,有很多重要的客户,我们就组成一个研发团队,他带着我们某个系列产品的版本代码做调试。这些东西在我们公司某种意义上是核心产品,这些东西在外面有两个风险,第一这些东西本身就会被泄露,有些技术人员可能有想法的时候可能会做一些动作,比如说把它私自藏一份起来,诸如此类,这是合法人的。还有一个是其他的外人,我们也做一些更改,版本不一致,在具体的版本管理上,也是有一个问题的。我们在想有没有这样的机制,可以使得外面的数据是没有一定的风险的,内部又是可以有效的可以管理到。我们也想过用项目管理,也做过尝试,用一些加密、解密,也做过一些尝试,但是效果都不算是太好。

我们现在做了一个桌面虚拟化,我不说它的名字。我们把国内有几个地方的外面的研发人员全部通过桌面虚拟的方式跟总部沟通调试,但是效率上也是有一些问题,也出现其它的一些问题。所以这个问题怎么办呢?效率问题我们是不是上问呢?这就到我下面要讲的问题,云可信吗?数据安全吗?这是第三个困扰,第三个困扰是研发的关键数据怎么保护的问题。

第四个困扰跟它一样,有些高层级人员带着核心的数据较长时间的在外面出差,有些时候电脑丢了,有主动和被动的数据丢失的问题。我们的现象是这样的,最近我们发现在很短的一个时间里面,研发出来跟我们有很强竞争力的一个产品,我们研发这个产品花了3到5年的时间,有一个大团队在那儿做,只花了不到一年时间就做出来了。这个事情我们就找证据,在诉讼过程中。但是这件事情引发了我们思考,实际上是可以做一些工作的,怎么样有效保护。远程桌面受到的困扰也是的,事实上我们最近也是找到一些供应商,他们提供了一些方案,到时候我后面会讲到。这个也是用加密或者加水印的方式是不是可以,加水印只是取方便,但不能解决已经丢失的情况。而且我们国内有些有实力的企业,我们中国的企业的仿造能力已经如火如荼,当然我们刻意回避专利。水印可能还不行,加密我们也用了,也还是不能够很有效或者不能杜绝。

第五个困扰,数据丢失。前两天就发生了一起丢失事件,一个乙方的工程师在我们人员走开的一段时间里面,他擅自做了一个操作,把我们一段时间的业务数据给搞丢了。因为短时间里面我们的备份没有那么强,所以我在考虑热备的事情,热备的事情有没有可能有更好的方案。我们也是有自己开发的一些软件,在过程中因为BUG、因为调试的问题,也会出现数据丢失。我们曾经在一段时间里面,数据丢失的困扰也是一个问题。如果我上云,双机热备等功能在云上实现是不是也有性价比优势?现在浙江上号召企业上云,我问了一个问题,企业上云干什么?很长时间没有人回答我干什么,是为了上云而上云,其实会有很多后续要思考的问题没有做,当然我不在这里讲,这是政府需要。

以上5个问题,我们再思考一下,我们在传统模式上的安全策略或者防泄漏策略是这样的。有外部有内部,从外部来讲,黑客的侵入和有平台违规,所谓平台违规就是有些提供我们平台的软件、硬件做一些小动作,比如说这个软件公司里面放心跳程序诸如此类的,他知道你用了几个lensens。我们有系统防护,这个是数据加密,我们现在已经在做了。内部对于恶意的合法访问,就是有一些合规人员在做一些非法的程序,或者我们的授权人员有一些私心的做法,我们怎么办呢?通常我们是通过行为分析来做的。比如说,我们前一段时间有一个国外请来的专家,他有一些私心、有一些想法,他在某一个非工作时间段里面从他有授权的服务器上连续的下载了很多产品线的大量数据,通过解密下载到自己的电脑上。这种从行为分析上,我们发现了,但是后面他把自己电脑上的东西有没有拷到其它地方去呢?我们不知道,因为他是解过密的,而且他是有授权的。从行为分析上,我们知道有这个事情发生,但是我们不能杜绝因为数据泄露而出现的后果。比如账号被盗用也是一种,我们通过行为分析这个人的使用习惯和那个人的使用习惯不太一样,使用的时间也不一样、使用的地点也不一样,这是通过行为分析,我们在网络上也有。行为分析要经常去巡检、监控才知道的,如果执行监控人不勤勉也有问题,会漏掉。

同时我们还可以通过终端管理,我们用一个软件把内网上所有终端,通过一种方式把U盘封住、端口锁住、异常报警等等,我们也做了。对于数据的泄漏和损坏这件事情,防数据泄漏的方法也有,但是我刚才说的几个场景只是在事后知道,真正流出去以后造成的后果我们还是不能防范的,或者没有更有效的方法。加密是一个方法,但是很多时候我们需要解密,比如走专家评审、到客户那里做调试,有一些高精尖人士加密解密麻烦要用明文诸如此类的。

大家知道,之前答辩的时候,我跟王兴(音译)他们答辩,我觉得他们有点不讲道理,我是很冷静的提问题。传统的模式太累,我们也想上网,云是不是一个可信任的模式呢?这是我比较困扰的事情。举个例子,美国是完全把应用和服务器都放在亚马逊云上的,但是今年的2月28日我突然在新闻知道,亚马逊云出了问题,我心里就很慌,我马上打电话过去。因为时差的问题,问那个管理员,还好我们在美国和墨西哥的两个机房不在S3的服务范围里面,没有影响。如果有影响,我们的业务系统是在上面跑的,财务晚一点没有关系,业务受影响3.5个小时是很麻烦的。还好没有,但是他出事故了,我们知道了。

我现在很担心,他还会不会出事故。我们最近在服务器上还要加一些应用,以前我们是财务供应链,现在我们还要加上其它应用,我们就会担心这件事情。这个担心不是没有道理的,不是我庸人自扰。实际上你可以看,我们可以找出很多,比如说我这里有事没事就列了一些,不是全部,但是有一些。你看从2012年开始有很多,随便列列都很多,一带而过。实际上我在思考,云环境当中我要考虑两个因素。一个是这个环境是可信的吗?可信的意思是比如说我去年讲的有没有临时工现象,出现问题说临时工干的,而且网络断掉之后也找不到责任人。我也知道,我这里没列出来,断了三天都有过的,我不想说它。这里有一个情况,这个环境是可信任的吗?还有一个方向,里面的数据是安全的吗?我列了一下,里面的数据安全有访问的权限控制,是不是只有我们去管理,还有没有其它的服务器?然后是在云存储的私密性,理论上我们是可以分配、可以去管的。但是我有一个绝对,他把硬盘拔出去或者通过另外一个途径存储,实际上我们是不知道的,他说有没有我没有办法审计。这个怎么实现?他说没有我们就说没有,还是我们可以通过一种方式审计这个数据,到底这段时间有没有被除了我应用之外的人使用过。还有在存储过程中的私密性,中间过程是不是有人截取?如果我们全部用加密做业务动作,不知道可不可行,有没有这样的技术,我欢迎供应商来给我们提供解决方案。

我想起来网络负担还是很重的,通过每个关口加密解密。如果我们全球部署应用,还有一个是云上的服务器都是在全球分布部署的,传输过程中的安全可靠我们也是要思考的。还有完全性问题,持续可用性以及一些访问速度,没有一个完整的关于数据安全的云服务提供商给我的方案,而我们现在最关心的是两个,可信吗?可信我们可以通过合同约定,比如云提供商说得很好,我说可以,断了以后多长时间能恢复,他说24小时能恢复,我说好,24小时保证我的业务正常性,哪怕我设置离线终端来做,你说24小时恢复,如果24小时不能恢复,你承担什么责任。他不敢承担责任,我要跟他签订很明确的合同,24小时不能恢复,1分钟赔我多少钱,根据我的业务量,他不肯。所以很重要的问题是,这些可信和数据安全的责任主体到了真正要我们企业去选择的时候,我们会发现这个责任主体始终并不到一个点上去。这是我最困扰的地方。

像我们企业三花虽然不是很大,但是我们的产品在全球的竞争力是很强的。我们的产品在全球的市场份额占到50%,有些产品占到80%,有绝对的竞争优势或者技术优势。这是我的困惑,当然我们目前有些还是没有办法的。我在想云环境中有没有防火墙?以前我们通过防火墙侵入,至少我们内部好像是安全的,刚才说我可能是合法的、非法的,但是我放到云上去,我是很想放云的,很久以前可以放我都放了,欧洲的服务器都是在云上的,我们是没有机房的,也没有专业的运维人员。我们的应用放在云上面去,我就会考虑有没有这样的一个防火墙,能够阻断非法访问,合法访问能够通过,而且数据是安全的,这个有没有?有人告诉我有,但是我没有看到,那么有还不能解决问题,好不好呢?就是能不能符合我刚才提出的这些要求呢?这个实际上是一个很实在的问题,我们说那些拓扑图画得很好的,对我来说我只是觉得看了很新鲜,但是企业上会涉及到很具体的问题。

还有数据,数据是明文,这个结构也是典型的。企业内部是明文,企业外部是密文,包括我到云上去也可以加密,重要数据可以这样做。比如说图文、技术档案,我们都是加密传送的。但是加密传送现在欧洲有一个研发中心、杭州有一个研发中心,但是我们发现传输的速度太慢,一个设计图要传三个小时,通过加速又受到很多基础设施甚至是国家级的审核制度的要求。我们最近通过和一家公司做了一种方式,我记得我在这里也介绍过,现在他们改了名字、改了集团,我也不说他的名字。我们提高了一些效率,提高了至少60%的速度,成本也很低,但是还不能满足需求。

我这里的困惑和思考,我有应用存取,哪个模块哪个功能需要存取什么样的数据,这样的行为我是可以通过行为管理或者通过审计发现的。但是我要知道这个也有异常,比如说某个人在这段工作时间,他以前的存取频率是一个小时10次左右,突然那天他这个小时里面存取超过50次,我们认为就异常,我需要报警,至少告诉我这里有异常。我们现在正在测试一个软件,可以做到有应用存取的异常情况会报警,可以及时干预,而不是事后通过审计来发现。这是我们想的,最重要的还是非法异动,我要告警和加锁。我们现在也找了一家公司在做,我也不说他的名字,我们在试。

以上就是我的一些困惑和思考,我的问题是这样的,可以相信云吗?可以相信云服务提供商吗?我提出这个困惑和思考,实际上我是希望在这个平台上找到跟我类似的客户或者供应商提供解决方案。大家不要小看这个平台,去年我在这里提出问题,我们找到了本峰总,我们搭建的系统怎么样把它很方便的移动到现在新的比如说手机端。去年7、8月份我们就接触,他们团队进来,我们现在做到手机端,给老板看,老板也很满意。今年我们也是这样的,我们希望在这个地方把我的一些困惑和需求提出来,也希望有一些供应商或者客户或者企业朋友有好的想法,也可以跟我交流,以解决我的问题。我现在不是太相信云上,我不敢把应用放上去,但是我现在已经迫在眉睫。

我有一个应用,我的仓储在全国有100多个,如果现在仓储系统还是放在总部,让这100个仓储发货都是从这里走,我们现在条形码扫码出货。如果远程存取,我要解决很多问题,比如网络设备、网络带宽、服务区承载、存储,所以我很想上云。我上了云以后,至少我要找一个在各地至少在几个大区有服务大点的,他们自己有分布式的RDC,我就很方便,我就上云,我的数据也可以放上去。谢谢各位!

关键字:安全企业

原创文章 企业网D1Net

x 企业(云)安全方面的困扰和思考 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

企业(云)安全方面的困扰和思考

责任编辑:jackye |来源:企业网D1Net  2017-07-20 14:40:28 原创文章 企业网D1Net

2017 CIOC全国CIO大会7月20日在青海·西宁盛大举办,来自全国的300余位CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

主持人:我们今天请到三花控股集团CIO叶根平先生为我们分享《企业(云)安全方面的困扰和思考》。有请!

三花控股集团CIO叶根平

叶根平:早上听了两家企业苏宁和南航的方案,他们都是高大上的,我们作为企业来说,我们在工作当中碰到一些困难和困惑,每年在这里讲的都是我们工作当中的一些困惑,今天我跟大家分享几个最近困扰我的几件事情,我分享一下,我相信对其它企业和乙方也是有一些共鸣的。

我的题目是《安全方面的困扰和思考》,困扰之一是病毒的侵入,5月12日我也有幸“中彩”了,实际上这不是我第一次“中彩”,我们公司2013年12月份也中过一次彩,勒索病毒。关键这两次中彩有一些重要人物,技术部的部长的电脑都中了彩,问题比较严重。因为电脑上有一些重要的技术文档,而且有一些文档可能是没有备份出来的,可能在一段时间里面一个团队的研究成果就会丢失。后来就提到一个比较高的高度来提这个问题,我们也就跟防病毒的一些厂商做了一些交流,他们都说暂时没有办法。特别是5月份这一次是全球性的爆发,我也不纸知道为什么。

这里是一个图,这个图是全球爆发的情况,实际上是大面积的。也有一张图是讲我们中国中毒的情况,主要集中在华南、华东和北京的一些地区,那么华东地区就是江浙沪地区是一个很密集的红点,行业也是有一些重点的行业,为什么我们制造业也中彩呢?中彩了没办法,我们两次事件当天或者一段时间里面采取的策略只有一个,就是报警。后来我们就想,我们是不是可以除了报警以外还有其它方案呢?比如现在我们不是很多人介绍什么安全吗?我们不要说云上的安全,如果我的内部网络做一个安全,云上的安全就很难去保证。因为内部网络有一个物理的空间,云上连物理的墙都没有。所以我就想,有没有可能这种入侵是有痕迹的,或者是有一些整体性的思考的。比如说像这种端口,我中午跟陈本峰总交流,我很期待听他的报告。诸如此类,我觉得有没有可能这种整体性的策略去解决,这是我的思考。这是一个最近困扰我的事情,我也不知道什么时候再来一个莫名其妙的病毒进到我的网络里面来,把我的一些重要文件破坏掉了。因为这个我们是没有交钱的,我们不能助长,我们就把系统隔掉了,丢就丢了。这是我的一些困扰和思考,这是第一,目前来看还没有人给我一些好的解决方案。

第二个,今年5月底某知名软件公司对我司曾试用过的软件提出他方的要求。我昨天来了以后,我跟海天(音译)的钱总或者其他人在交流的时候,其它公司也有。也就是说,有些时候我们的技术人员在网上有些公司免费给我们试用一些软件,我们的技术人员试用以后忘记卸载了或者卸载得不干净,结果被对方的软件公司侦听到了。后来我专门请教过美国来的一些朋友,他们说很多软件里面是带着心跳的模块,这个心跳是卸不掉的。我交给制造业好的研发团队,那种心跳是这样的,只要上网就心跳到了他们公司的一个专门收集这种信息的服务器,到了一定时候,他们觉得有需要的时候,就告诉你这个信息是哪个机器的哪个地址,是通过你这个域名解析出去的,在哪个网段四个数字组成的地址出去的,我查这个地址确实也是我的外网地址。

实际上我们每年的4、5月份开始这件事情,软件供应商号称是版权部门、合规部门也好,是各个大学辩论比赛的前几名,而且也不愿意邮件沟通。我说你有什么问题邮件沟通不了吗,他一定要打电话给你,一打就是几个小时,我们心里就会烦躁,烦躁就中了他的套。这个事情本身它是一件说不清楚的事情,可能大家也是有默契的,微微一笑的。但是我们在想,我们有没有可能在内网上自己主动监听或者侦听内网上有些什么问题,比如说类似这种我们不合规的软件,如果我们知道一些痕迹。实际上软件厂商提供给我们以后,我们再去找很容易找出来它的痕迹,我们内网和外网全部隔离,在我们公司里面很多研发单元都做了。但是我们想能不能够主动巡检,把一些不合规的软件在内部就自动消除一些不合规的情况。

还有一个思考,这是我们从内,内部加强规范管理,还有一个外是实际上怎么让这些东西不出去或者别人进来的时候我可以知道。从防火墙上,通过软件或者通过什么方式,因为国际上很知名很强势的公司也没几个,我们是不是能够做一些主动性的预防,这也是我的思考。我的困扰是每年都要花很多精力应对这些辩论赛冠军们,经常在电话里面跟他们纠缠,很影响心情,而且都是快下班跟你打,我的家里人也明显感觉到我的情绪受到很大的影响。因为我说不过他们,也不知道怎么避免,这是一个困扰。那么有没有可能有效阻断?这是我的外部反映,内部反映是自动巡检,我们也想这样做。这是第二个困扰。

第三个困扰,我们在全球各地有很多研发团队,有很多重要的客户,我们就组成一个研发团队,他带着我们某个系列产品的版本代码做调试。这些东西在我们公司某种意义上是核心产品,这些东西在外面有两个风险,第一这些东西本身就会被泄露,有些技术人员可能有想法的时候可能会做一些动作,比如说把它私自藏一份起来,诸如此类,这是合法人的。还有一个是其他的外人,我们也做一些更改,版本不一致,在具体的版本管理上,也是有一个问题的。我们在想有没有这样的机制,可以使得外面的数据是没有一定的风险的,内部又是可以有效的可以管理到。我们也想过用项目管理,也做过尝试,用一些加密、解密,也做过一些尝试,但是效果都不算是太好。

我们现在做了一个桌面虚拟化,我不说它的名字。我们把国内有几个地方的外面的研发人员全部通过桌面虚拟的方式跟总部沟通调试,但是效率上也是有一些问题,也出现其它的一些问题。所以这个问题怎么办呢?效率问题我们是不是上问呢?这就到我下面要讲的问题,云可信吗?数据安全吗?这是第三个困扰,第三个困扰是研发的关键数据怎么保护的问题。

第四个困扰跟它一样,有些高层级人员带着核心的数据较长时间的在外面出差,有些时候电脑丢了,有主动和被动的数据丢失的问题。我们的现象是这样的,最近我们发现在很短的一个时间里面,研发出来跟我们有很强竞争力的一个产品,我们研发这个产品花了3到5年的时间,有一个大团队在那儿做,只花了不到一年时间就做出来了。这个事情我们就找证据,在诉讼过程中。但是这件事情引发了我们思考,实际上是可以做一些工作的,怎么样有效保护。远程桌面受到的困扰也是的,事实上我们最近也是找到一些供应商,他们提供了一些方案,到时候我后面会讲到。这个也是用加密或者加水印的方式是不是可以,加水印只是取方便,但不能解决已经丢失的情况。而且我们国内有些有实力的企业,我们中国的企业的仿造能力已经如火如荼,当然我们刻意回避专利。水印可能还不行,加密我们也用了,也还是不能够很有效或者不能杜绝。

第五个困扰,数据丢失。前两天就发生了一起丢失事件,一个乙方的工程师在我们人员走开的一段时间里面,他擅自做了一个操作,把我们一段时间的业务数据给搞丢了。因为短时间里面我们的备份没有那么强,所以我在考虑热备的事情,热备的事情有没有可能有更好的方案。我们也是有自己开发的一些软件,在过程中因为BUG、因为调试的问题,也会出现数据丢失。我们曾经在一段时间里面,数据丢失的困扰也是一个问题。如果我上云,双机热备等功能在云上实现是不是也有性价比优势?现在浙江上号召企业上云,我问了一个问题,企业上云干什么?很长时间没有人回答我干什么,是为了上云而上云,其实会有很多后续要思考的问题没有做,当然我不在这里讲,这是政府需要。

以上5个问题,我们再思考一下,我们在传统模式上的安全策略或者防泄漏策略是这样的。有外部有内部,从外部来讲,黑客的侵入和有平台违规,所谓平台违规就是有些提供我们平台的软件、硬件做一些小动作,比如说这个软件公司里面放心跳程序诸如此类的,他知道你用了几个lensens。我们有系统防护,这个是数据加密,我们现在已经在做了。内部对于恶意的合法访问,就是有一些合规人员在做一些非法的程序,或者我们的授权人员有一些私心的做法,我们怎么办呢?通常我们是通过行为分析来做的。比如说,我们前一段时间有一个国外请来的专家,他有一些私心、有一些想法,他在某一个非工作时间段里面从他有授权的服务器上连续的下载了很多产品线的大量数据,通过解密下载到自己的电脑上。这种从行为分析上,我们发现了,但是后面他把自己电脑上的东西有没有拷到其它地方去呢?我们不知道,因为他是解过密的,而且他是有授权的。从行为分析上,我们知道有这个事情发生,但是我们不能杜绝因为数据泄露而出现的后果。比如账号被盗用也是一种,我们通过行为分析这个人的使用习惯和那个人的使用习惯不太一样,使用的时间也不一样、使用的地点也不一样,这是通过行为分析,我们在网络上也有。行为分析要经常去巡检、监控才知道的,如果执行监控人不勤勉也有问题,会漏掉。

同时我们还可以通过终端管理,我们用一个软件把内网上所有终端,通过一种方式把U盘封住、端口锁住、异常报警等等,我们也做了。对于数据的泄漏和损坏这件事情,防数据泄漏的方法也有,但是我刚才说的几个场景只是在事后知道,真正流出去以后造成的后果我们还是不能防范的,或者没有更有效的方法。加密是一个方法,但是很多时候我们需要解密,比如走专家评审、到客户那里做调试,有一些高精尖人士加密解密麻烦要用明文诸如此类的。

大家知道,之前答辩的时候,我跟王兴(音译)他们答辩,我觉得他们有点不讲道理,我是很冷静的提问题。传统的模式太累,我们也想上网,云是不是一个可信任的模式呢?这是我比较困扰的事情。举个例子,美国是完全把应用和服务器都放在亚马逊云上的,但是今年的2月28日我突然在新闻知道,亚马逊云出了问题,我心里就很慌,我马上打电话过去。因为时差的问题,问那个管理员,还好我们在美国和墨西哥的两个机房不在S3的服务范围里面,没有影响。如果有影响,我们的业务系统是在上面跑的,财务晚一点没有关系,业务受影响3.5个小时是很麻烦的。还好没有,但是他出事故了,我们知道了。

我现在很担心,他还会不会出事故。我们最近在服务器上还要加一些应用,以前我们是财务供应链,现在我们还要加上其它应用,我们就会担心这件事情。这个担心不是没有道理的,不是我庸人自扰。实际上你可以看,我们可以找出很多,比如说我这里有事没事就列了一些,不是全部,但是有一些。你看从2012年开始有很多,随便列列都很多,一带而过。实际上我在思考,云环境当中我要考虑两个因素。一个是这个环境是可信的吗?可信的意思是比如说我去年讲的有没有临时工现象,出现问题说临时工干的,而且网络断掉之后也找不到责任人。我也知道,我这里没列出来,断了三天都有过的,我不想说它。这里有一个情况,这个环境是可信任的吗?还有一个方向,里面的数据是安全的吗?我列了一下,里面的数据安全有访问的权限控制,是不是只有我们去管理,还有没有其它的服务器?然后是在云存储的私密性,理论上我们是可以分配、可以去管的。但是我有一个绝对,他把硬盘拔出去或者通过另外一个途径存储,实际上我们是不知道的,他说有没有我没有办法审计。这个怎么实现?他说没有我们就说没有,还是我们可以通过一种方式审计这个数据,到底这段时间有没有被除了我应用之外的人使用过。还有在存储过程中的私密性,中间过程是不是有人截取?如果我们全部用加密做业务动作,不知道可不可行,有没有这样的技术,我欢迎供应商来给我们提供解决方案。

我想起来网络负担还是很重的,通过每个关口加密解密。如果我们全球部署应用,还有一个是云上的服务器都是在全球分布部署的,传输过程中的安全可靠我们也是要思考的。还有完全性问题,持续可用性以及一些访问速度,没有一个完整的关于数据安全的云服务提供商给我的方案,而我们现在最关心的是两个,可信吗?可信我们可以通过合同约定,比如云提供商说得很好,我说可以,断了以后多长时间能恢复,他说24小时能恢复,我说好,24小时保证我的业务正常性,哪怕我设置离线终端来做,你说24小时恢复,如果24小时不能恢复,你承担什么责任。他不敢承担责任,我要跟他签订很明确的合同,24小时不能恢复,1分钟赔我多少钱,根据我的业务量,他不肯。所以很重要的问题是,这些可信和数据安全的责任主体到了真正要我们企业去选择的时候,我们会发现这个责任主体始终并不到一个点上去。这是我最困扰的地方。

像我们企业三花虽然不是很大,但是我们的产品在全球的竞争力是很强的。我们的产品在全球的市场份额占到50%,有些产品占到80%,有绝对的竞争优势或者技术优势。这是我的困惑,当然我们目前有些还是没有办法的。我在想云环境中有没有防火墙?以前我们通过防火墙侵入,至少我们内部好像是安全的,刚才说我可能是合法的、非法的,但是我放到云上去,我是很想放云的,很久以前可以放我都放了,欧洲的服务器都是在云上的,我们是没有机房的,也没有专业的运维人员。我们的应用放在云上面去,我就会考虑有没有这样的一个防火墙,能够阻断非法访问,合法访问能够通过,而且数据是安全的,这个有没有?有人告诉我有,但是我没有看到,那么有还不能解决问题,好不好呢?就是能不能符合我刚才提出的这些要求呢?这个实际上是一个很实在的问题,我们说那些拓扑图画得很好的,对我来说我只是觉得看了很新鲜,但是企业上会涉及到很具体的问题。

还有数据,数据是明文,这个结构也是典型的。企业内部是明文,企业外部是密文,包括我到云上去也可以加密,重要数据可以这样做。比如说图文、技术档案,我们都是加密传送的。但是加密传送现在欧洲有一个研发中心、杭州有一个研发中心,但是我们发现传输的速度太慢,一个设计图要传三个小时,通过加速又受到很多基础设施甚至是国家级的审核制度的要求。我们最近通过和一家公司做了一种方式,我记得我在这里也介绍过,现在他们改了名字、改了集团,我也不说他的名字。我们提高了一些效率,提高了至少60%的速度,成本也很低,但是还不能满足需求。

我这里的困惑和思考,我有应用存取,哪个模块哪个功能需要存取什么样的数据,这样的行为我是可以通过行为管理或者通过审计发现的。但是我要知道这个也有异常,比如说某个人在这段工作时间,他以前的存取频率是一个小时10次左右,突然那天他这个小时里面存取超过50次,我们认为就异常,我需要报警,至少告诉我这里有异常。我们现在正在测试一个软件,可以做到有应用存取的异常情况会报警,可以及时干预,而不是事后通过审计来发现。这是我们想的,最重要的还是非法异动,我要告警和加锁。我们现在也找了一家公司在做,我也不说他的名字,我们在试。

以上就是我的一些困惑和思考,我的问题是这样的,可以相信云吗?可以相信云服务提供商吗?我提出这个困惑和思考,实际上我是希望在这个平台上找到跟我类似的客户或者供应商提供解决方案。大家不要小看这个平台,去年我在这里提出问题,我们找到了本峰总,我们搭建的系统怎么样把它很方便的移动到现在新的比如说手机端。去年7、8月份我们就接触,他们团队进来,我们现在做到手机端,给老板看,老板也很满意。今年我们也是这样的,我们希望在这个地方把我的一些困惑和需求提出来,也希望有一些供应商或者客户或者企业朋友有好的想法,也可以跟我交流,以解决我的问题。我现在不是太相信云上,我不敢把应用放上去,但是我现在已经迫在眉睫。

我有一个应用,我的仓储在全国有100多个,如果现在仓储系统还是放在总部,让这100个仓储发货都是从这里走,我们现在条形码扫码出货。如果远程存取,我要解决很多问题,比如网络设备、网络带宽、服务区承载、存储,所以我很想上云。我上了云以后,至少我要找一个在各地至少在几个大区有服务大点的,他们自己有分布式的RDC,我就很方便,我就上云,我的数据也可以放上去。谢谢各位!

关键字:安全企业

原创文章 企业网D1Net

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^