当前位置:CIO新闻中心 → 正文

圆桌论坛:从勒索病毒说起,企业信息安全怎么搞?

责任编辑:jackye |来源:企业网D1Net  2017-07-20 19:12:30 原创文章 企业网D1Net

2017 CIOC全国CIO大会7月20日在青海·西宁盛大举办,来自全国的300余位CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

主持人:感谢龚总的精彩演讲!接下来是今天的压轴环节,从勒索病毒说起,企业信息安全怎么搞?相信这是各位CIO头疼的问题,接下来我们有请:

华为消费者BG CIO何园媛

苏宁IT总部执行副总裁乔新亮

三花股份CIO叶根平

饿了么安全风控主管王彬

联想云副总裁张跃华

深信服副总裁张开翼

这个环节的主持人由企业网D1Net的CEO范脡先生来主持!

范脡:请大家上台。有两个问题,第一是对于勒索病毒怎么办,第二是刚才叶老师提到的非常现实的问题,云计算的供应商尤其是私有云的供应商怎么做,尤其是在SaaS方面的选择。这里基本上大家都认识了,前面都是发言的嘉宾,除了华为消费者BG CIO的何总,何总跟大家认识一下。

何园媛:很高兴认识这么多业界同行,这是我第一次参加全国CIO大会,但是作为IT从业者来说,我已经是一个老兵,伴随华为的全球化崛起走过了很长的路。明天有一个专题演讲,会结合华为消费者BG最近在数字化转型方面的思考,跟大家进行进一步的沟通。

范脡:一会我们再听一下何总的高见。第一个话题,勒索病毒大家有什么建议给我们在座的CIO,事先有没有防控的方式?有什么办法?要不从张总这边开始?

张开翼:勒索病毒这个事情在我们内部有从发现到应急响应的过程,当时正好是周末,我们的团队忙活了两天。我们首先看有什么方法免疫,最后看有没有传播路径,再最后是怎么解决这些潜在的风险。我明天有一个话题,也会专门讲到这个方面。我们会发现,勒索病毒它所利用的一些传播路径,实际上很多是公开的,利用的是一些已知漏洞。比如说这次的在4月份漏洞就暴出来了,微软是打了补丁的,但是补钉的更新率非常低。这个作为CIO来说也是一个警示,我们很多运维团队日常关注的工作重点有没有包含最基本的工作。我认为对于企业安全来说,补丁是基础工作,从这次的事件来看,还是有很多该打的补丁没有打上。

第二,你认为安全的地方,其实通常来说都是不安全的。我们接到客户的问询的时候,他说我的网络都是隔离的,没有上互联网,为什么还会中毒。其实很多传播路径并不是像我们想象一样的,你一定要跟互联网打通,一定是来自外网的攻击让你中了这个病毒。所以这个事情我们要改变观念,就像刚才王总说的,首先你要解决安全的建设,你才可能去控制风险。当然我说的控制风险跟你说的风控是不同概念,但是对于病毒事件来说就是这样的。我先讲这两点。

范脡:何总。

何园媛:我不是安全方面的专业人士,但是我们公司的IT团队里面专门有一个安全的团队,我会看他们的例行报告,我会把一些实际案例做一些分享。2017年1月到4月份,我们整个华为集团的IT受到1472次的网络攻击和入侵,主要的攻击手段是利用Windows的漏洞以及我们的一些服务器的默认密码来进行攻击的。

我举两个实际的案例,第一个案例在3月14日微软发布了一个SMB的远程执行代码的漏洞以及补丁,在3月16日的晚上9点一个黑客组织就给华为的188个员工发送了钓鱼邮件。这个员工的分布非常分散,基本上全球各个国家、各个部门的员工都有。从9:16分邮件发送之后,9:19分开始陆续有16个员工点击了钓鱼邮件。到了第二天早上,我们的安全部门就确定这个邮件是钓鱼邮件,剩下的没有点击邮件的全部做了删除处理,对于点击过邮件的员工的机器进行安全隔离、断网、关机。

但是50个员工点击之后,在中午12:18分通过点击钓鱼邮件之后控制了我们的一个预控服务器,通过这个服务器获取了我们100多个系统的账号和密码。这个时间是在中午的12:18分,在中午2点我们的安全部门就锁定这台服务器已经被攻破了,同时通过它找到100多个疑似被泄漏的账号和密码,我们就启动应急方案。在3:18分的时候,这台预控服务器就已经实现隔离,所有疑似密码进行漏洞弥补。这个没有给华为造成任何损失,这是第一个案例。

第二个案例在4月22日的时候,我们收到一个自称是国际特别著名的黑客组织叫蜥蜴部队,给华为发送邮件,要求我们支付比特币。号称从4月27日开始对华为进行攻击,如果不支付每天会增加10个比特币。我们收到这个勒索邮件之后,我们不会支付比特币,不会助长他们。怎么办呢?我们通过intel的访问的35个应用做了梳理,对这35个应用可能会遭遇的12种攻击场景,包括像IP地址的攻击、应用层的攻击、CDN的攻击所有的攻击路径全部做了梳理,针对每个攻击路径做了应急的措施和方案。同时跟电信购买了清洗服务,把所有的应急预案全部做好了。做好之后,在4月27日开始,就形成一个作战团队实时监控整个流量的变化情况。通过4月27日到5月2日的实时监控,没有发现流量有异常,我们基本上可以认定是虚惊一场或者这个勒索已经过去了。

通过这两个案例,我想讲的是,第一面对这种勒索的攻击和网络攻击,这是一个常态,首先不要害怕。第二在企业内部要有专门的组织来应对整个企业的安全风险和管控。第三提前有一些应急措施和预案是需要的,这些应急措施和预案在没有发生之前要经过反复演练,像第一个案例从发生到第二天不超过24小时就已经处理完毕了。第四需要有自动化的检测控制,实时发现网络异常。第五建立生态或同盟,帮助企业获取这方面的情报或资讯。

叶根平:华为前面讲到发现是主动发现的,没有危害之前就发现了?

何园媛:对,有两个关键点,第一钓鱼邮件是上午11点,第二是确定预控服务器已经被攻破是在下午2点,这两个关键点的发现很重要。第一个是确定了钓鱼邮件把它进行删除和网路隔离,第二是确定预控服务器,马上把预控服务器的密码进行重置。

叶根平:这个检测的方案我觉得可以分享给更多企业。

何园媛:这是华为自己的。

叶根平:我们现在的勒索病毒是发现了才知道的,当然从内部管理上,我们传统制造业主动巡检是不够的,我们需要有自动化的手段,哪怕是设备、软件或者自动侦听,我们需要供应商给我们提供这样的方案。

张跃华:实际上我们联想企业网盘对勒索病毒关注了很长时间,最近也是大量处理用户的案例。比如说我前两天去富士康,他中了病毒以后,排查完以后,整个IT大概用了将近3周到一个月的时间,统一来排查,基本上其它活不干了,就在排查数据。中毒以后就立刻买了一个网盘,当天12点上线到晚上12点,并发持续保持在5千左右,数据达到5个T。勒索病毒对大家的危害以及大家对数据安全的意识还是有很大的帮助和提高。

最近我们也根据安全厂商和约了一些CIO一起来讨论,病毒怎么去办。跟大家汇报一下,我们当时讨论得出三个结论。第一个结论,主动防御,要加上完整的保证体系。其实大家做IT的都知道,我数据库的数据要做备份,我核心的ERP数据要做备份,但是为什么员工的非结构化数据不做备份,其实很少企业能做到,你做存储和备份相对来说员工数据是比较难的。但是不管怎么样,我们肯定是两方面的,一个是主动防御。

第二,如何把员工非结构化的数据进行统一管理。我们在4月份发现的时候,我们提醒很多厂商,但是很多厂商不以为然就中招了,以后还是会发生这样的问题,发生这样的问题怎么恢复是一个体系建设。第三,必须要从生态的问题考虑问题,比如说我们现在主动防御的时候,数据都是散落在员工的数据上的,但是未来非结构化的数据必然是做集中的管理,因为这样的何处有很多。做完集中管理以后,它会有大数据分析、企业数据分析管理,它会一系列的走下去。所以在这种非结构化数据做集中管理的时候,就需要跟安全厂商做深度的整合。比如说前端防御怎么防御,数据进来以后我怎么去进行防御,这是一个方面。

其实还需要业态,就是我们跟安全厂商,当然深信服我们下来也可以好好聊一聊,进行深度的整合。包括刚才跟乔总也在聊,对企业用户其实企业很重要,我们必须以互联网的心态来解决一个问题。刚才讲到我们企业里面很多方式应用是自动化的,第二可能要靠员工的责任心。但是我们仔细来看,其实企业的用户也是分类的,数据安全我们把用户分成三类,第一类用户有主动意识,自己愿意去备份,第二类有备份的意愿,但是决心不够,偶尔去备份,还有一部分是没有意识,我也不去备份。

总体上来说,我们要对三类的员工、三类的客户,根据他们来设置不同的方案。比如说我们对不愿意备份的,我们可能要求强制备份,强制你备份所有的文档。对于我有心我想备但是主动性不够的,可以给IT管理员一个完整的信息列表,告诉他经常工作的文档有哪些,其实这是可以统计出来的,但是他没有备份。这个时候我们就可以做到追溯,做到追溯才会有约束力,光喊口号是没有任何意义的。所以我觉得针对于勒索病毒这件事,包括后续的企业核心数据资产的管理,应该从三方面来解决这样的问题。谢谢!

范脡:乔总!

乔新亮:我先从大的方面来说数据安全,安全是攻和防,这是没有捷径的。首先我们要意识到,这是没有捷径的,要找到一个适合的度,公司对于安全评估它的风险要做一个决策。因为它是一个攻防,所以你要知道现在谁在攻你,要了解,要了解需要有人,所以需要有一个团队。在苏宁我们有三个团队,第一个是安全管理中心,他是负责整个安全体系的,首先你要知道一下,到底今天这个安全体系是什么样的。在公司里面什么是不安全的,比如说我们分成业务安全、数据安全、系统安全,每部分去做,这是一个很复杂的体系。我想说的是,这部分厂商是替代不了的。因为这个是你要了解你的业务,你要知道你的价值。同样一个系统、同样一个数据,在安全厂商那里可能肯定是一样的,但是在你这里完全不一样。刚才说安全要平衡,你要去花钱,所以要有一个组织,这是一个规划,你要知道这个体系的一个组织。

第二个,在苏宁里面有一个安全研发中心。我们为什么要有一个安全研发中心?为什么这部分我们不去选一个厂家?有些东西你就是要高于同行的,你去选一个厂家,你在哪里搞?我们把一些不是在这个领域的交给安全厂商,但是如果是很核心的,你就要去完善,最后要自主掌控。我们有一个大概80人的安全团队,去研发这个东西,因为太重要了。这是一个投入。

第三个,要有日常的安全运维,要做安全审计。安全不要认为都是高科技,安全有的时候很简单,你要有安全意识,如果你不遵守这个规定,你是要担责任的。很简单的事情要天天做,要日常都去做,让大家有安全意识。比如说驾驶汽车,我要选一个很好的汽车,很安全,还不如你开得慢一点、稳一点,要把基础的工作做扎实。别搞高大上的,把一些基础工作做好,如果不知道什么是结构化的数据、非结构化的数据,你说资产很重要,但是都在他个人的电脑上,这不是空谈吗?今天会有勒索病毒,明天不知道会有什么样的病毒,而且你永远防不住。安全要有一个观点,你永远防不住,你防不住的情况下怎么能够安全。我更多的是想强调更多工作在日常当中,安全永远是不安全,哪天安全事件被集团处理了,我认为都很正常,心里要有这个意识,你永远做不到绝对安全,但是你要去做。

另外一个,我觉得今天的安全态势已经由很多已知的转向未知,很多都是未知的,但是你有没有能力去发现它。刚才叶总也很关心这个问题,我觉得这个也是一个无穷尽的工作,你要知道哪些是你非常关注的。比如说在苏宁,你的订单信息,假设你前面的一切防控手段都失效了,有人在动你的订单信息,你知不知道。我今天可以告诉大家,我知道,这是需要设计的,你要知道这是一种违规的访问行为,你要去设计,这个里面就开始说安全不仅防,安全要有陷阱,所谓要有密管,要能够去知道,甚至我还要攻出去。打战不是防的,一味防可能会有问题,有些东西不仅要设陷阱,还要攻出去。这个东西很难,今天苏宁也没有做到这一步,但是你要去做,你要去想这个事情。因前提就是永远不安全,永远要知道自己的系统其实是不安全的,因为这是一个攻防战,再坚固的城堡历史上都有被攻破的,你要知道你是不安全的。

有的时候被攻破很简单,我可以问各位一个问题,假如你的员工接一个电话,说把你的信息卖给我,我给你100万。这里面有很多要去做的,要有安全意识,要去教育,要有技术手段,不要把技术当成唯一的手段,技术只是手段之一。我觉得安全是一个体系工程,任何的都是不安全的,所有假设都是不安全的、都是有风险的,然后说我要做什么,这个时候就来了,预算是多少,把钱花在刀刃上。就像人是活在细菌中的,人身体有很多细菌,但是还是健康的,我们的安全就是要做到这样,取得一个平衡之道,但是是健康的。

范脡:乔总说得非常实在,也非常有意思。刚才讲的这个观点,就是防中带攻,很像我听到的以色列安全公司的一个产品,不仅是防,防完了要攻,这个很有意思。而且在合理的代价下取得合理的平衡,这个确实是很实在的一个观点。王总!

王彬:各位说了很多,表达了我们做安全的人的心声。我补充一下,你可以认为勒索病毒它是降维攻击,今天没拿出去就不知道,黑客拿出来攻击你、勒索你,但是数据更值钱。刚才乔总说到一点,企业数据的保护是我们未来的重中之重,为什么这么说?各位可能听过商业间谍,现在不叫商业间谍,叫商业数据分析公司。我们在业界碰到非常多的企业,他可以把通讯录拿出去一个个打,你今天给我20万,给不给。苏宁的数据几个亿都有可能。大家可以这么试试看,怎么证明自己安全不安全,你可以在网上查有没有人卖我的数据。

比如说物流行业顺丰是做得最好的,整个行业当中信息卖出去非常多,它是有价的。我今天的快递叫热单,一单8元到10单,我打电话给你是不是下了单,搞银行诈骗得比较多,第二天的数据是历史数据,可能几毛钱,它都是有价的。大家手上有几千万的数据,一单1元,至少几千万,花100万攻破你绝对是赚的。

还有一种,我们觉得做安全的意识真的很重要。比如说勒索病毒,或者说我们有没有想过自己做一些病毒,不说病毒,比如说钓鱼邮件。我们怎么做?我们钓鱼,我们自己钓自己人,我们仿造一些邮件让你点,看多少人点。意识是一点点培养的,但是意识一定要跟行政手段相结合。你说我这个东西今天只教育你,其实是没有效果的,最后你要跟行政手段结合在一起。比如说这个人谁点了我的钓鱼,或者通过网络监控,这个人有问题就进行处罚,该罚的就罚、该开的就开。

其实最累的是IT,我们企业当中的IT已经2、3个月没有休过了,最近出现了很多漏洞,大概5、6个都是高危等级,你是必须要修的,这些人非常累。4月份出来,补丁打掉了,可能后面就没有这方面的问题,意识很重要。

范脡:在座的都是安全高手,我们一会儿会给台下的观众留两个提问的时间,大家可以抓紧这个机会。

乔新亮:我想补充一下,其实今天安全在黑色产业链就是一个生态,它本身就是一个生态。对于很多公司来说,形成一个联盟和生态也很重要。其实今天很多坏人、坏蛋,各自的公司都有这样的积累,有很多这样的信息。黑色是一个产业链,红色是不是也应该是一个产业链?

张开翼:也是有的。

乔新亮:这部分大家都在做,要能够做的好一点,在安全方面大家合作共赢非常重要。

张开翼:叫安全情报的共享机制,这个我们都是有参与的。

范脡:我想到白色产业链,可能是敏感话题,我们不方便说,实际上它对企业的帮助是非常大的。我们谈一下比较现实的,在座的CIO经常碰到的问题,就是云计算、云主机和SaaS,云这个东西从美国发展起来,美国有非常完整的信用体系,所以对于信息泄漏方面的惩罚成本是非常高的,但是在中国实际上我觉得大家除了技术,刚才谈到的很多是技术问题,这些技术问题也是很重要的因素。大家可能面临很多很现实的问题,比方说刚才叶老师讲的,叶老师是在马云的故乡,在浙江省政府积极上云的呼吁下,还喊出我们该不该相信公有云提供商。实际上我们现在有很多公有云的厂商,有大型的,像AWS、亚马逊、微软、阿里,还有很多新型的创业公司。

我们以前有一个做CIM和呼叫中心的,当时我们做过一个市场调研,就是你能不能把你的呼叫的数据放在上面,其实他们做得很不错,联通的一些Saas都是他们提供的。我们调研过很多企业第一个反映,以这样的程度,他是不可能把关键数据放上去的。我们现在看到的现状,大型企业把核心应用放在云上的能力非常弱,有一些像灾备、测试、电商目前非核心的应用上线云,中小企业也怕,一个小老板核心数据就那些,你放上去卖给我的竞争对手,晚上睡不着觉。大家很痛苦,该不该上云,大家都说上云好,但是真正上云,晚上是否睡得着觉。各位给一些建议,要不从王彬开始。

王彬:这一块可能我不是特别专业,我从信息安全方面讲一下。云分两种,所谓的公有云和私有云。公有云当中可能也有划一片私有云给你的情况,对于大企业我们看到更多的是自建私有云或者有一部分公有云。我们公司有自己自有的机房再加云,云对于一些风险控制也是比较好的,本身的带宽也比较好。我觉得这是一种趋势,肯定会转的。中小企业上云还比较简单一点,到一定时候转型就要考虑一下。更好的办法是或许我自己做一部分云,一些核心业务或者我认为不是非常敏感的先放着,等这个云成熟再慢慢迁过去。

云有自己的好处,比如我举个例子,病毒攻击你,挡得最好的是云,它是更简单更有效的解决方案。一个小企业如果别人攻击你,你是没有防御能力的,你买电信的高防是没有钱的,解决不了问题。比如说一些企业的竞争对手打你的时候,你没有办法,这种企业上云是非常好的,从安全角度来说,这是他的优势。反过来,企业迁云的时候有一定代价和成本,我们是不是一步步迁,这是我的一些办法。

乔新亮:我觉得这个就像跟安全一样,是一个平衡,到底要拿什么好处。这里有一个比喻,今天的云就像大电厂,大的企业就像大电厂。比如我们今天用电是享受方便的,但是其实大家有没有想过,假设自己在一个小的城镇,我也很容易发电,我也很容易做。你觉得你是想要大电厂,还是自己发电?但是今天假设你一个企业没有发电的能力,这个时候你就要想了,我到底是用大的发电厂得好处失去不掌控的能力,还是说我去牺牲方便,我的效率可能低一点,但是自主掌控。

所以今天的问题是变成二选一,但是我认为未来应该是大电厂+小电厂,前提是你会很容易的获得一个电厂。今天的IaaS和PaaS,假设你很容易获得,这是你的选择。谈一个稍微政治性的问题,比如说在今天中国国家电网供电,但是在美国你发现供电一堆公司,很多公司,为什么?除了政治上的垄断和管理之外,它就是很方便的去发电。未来我认为是大电厂+小电厂模式,很多企业应该是有自己的云的,云是不可阻挡的趋势,但是这也不一定是公有云。这是我的一个观点,未来的趋势应该是大家共享,比如说我去发电,就是我自己用云的能力。如果我多了,我可以分享出来,有一个生态可以做分享。比如今天大家说我需要计算资源,我可以一键扩容和缩容,我有没有这个能力。我觉得这是一个平衡的地方。

至于说安全的问题,我觉得这是一个伪命题,技术上永远解决不了,这个只有通过建立信任和法律手段解决这个问题。如果说你的数据都是你要命的资产,我觉得你今天不会放在一个你竞争对手的公有云上,这是100%的,这个是不会有的。但是如果是一个联盟,那就是基于信任、基于法律手段。在你今天选择的情况下,你可能选择了效率,牺牲了一定的对数据的掌控。当然我说的是假设你信任别人提供给你的公有云,每个企业都有这种能力。有的企业是帮助你建电厂,大家都掌握这种能力,大家也愿意在自愿的情况下把数据进行共享,是我企业的数据,我愿意共享出来,和你通过一种利益或者什么交换去做数据的交换或者共享,我觉得这才是符合的。但是在今天这个问题是二选一的时候,你选什么,就像安全一样,要问自己到底想要什么。

范脡:我们请公有云的提供商发言。

张跃华:首先我们就是做数据服务的,是做SaaS服务的,而且是专门做数据的。其实联想企业网盘公有云和私有云从整个业务规模上是一半对一半的,所以我基本上见一些大客户的时候,天天都在问安全的问题。还有一些厂商是联想的竞争对手,比如说OPPO、VIVO,还有一些做互联网风投的。有一次我见客户,他说怎么保证不看这些数据。我特别理解大家提这个问题,首先我们联想企业网盘做了10年,我只能说分享一下心得。

其实公有云服务,我们最之前见到的客户是什么客户呢?的确是中小客户,大的企业不会往上放。但是这些中小企业一推动都是通过业务推动的,就是我们的SaaS基本上IT不会接入。公有云基本上很少,都是业务部门推动。也就是说,现在在数据领域上,的确是有一些在公司业务发展上面临非常大的困难,必须要通过公有云的服务来解决。有的企业是这样的,比如说大的企业买我的一套私有云,有的部门还买一套公有云。现在基本上所有的房地产建设方式全是公有云,不管是专有云也好、还是公有云也好,他的数据全都是往云端放的。

所以一方面是说,大家对产品的信任越来越高了,因为从联想本身在做安全这件事的时候,我们整个安全的管控是美国人管控的,不是国内的人,我们跟他打交道是非常难打交道的,我们基本上要做源代码级别的扫描。大家可能都知道,源代码一扫描可能上千个风险,但是有些风险可能真的不是风险,就是一个语句格式的问题,真的要跟美国人一个字一个字的去敲,这是一方面。另外一方面,我们也会去扫描。还有一方面,我们本身就受公司内部审计部门的审计,比如说他会去审计你到底有多少人登录了,这些方面规范的体系让用户获得信任。当然技术上我就不说了。

我非常同意刚才说的,我们在官网上有一句话,我们对安全的追求是无止境的。大家谈的全是安全,那都是显性安全,我们对双机隐性认证,在手机上就不需要,在外网的时候就需要,还是要做显性的安全功能,让用户放心。第一,你还是要不断追求安全体系,本身你作为企业就要受到其他安全方的监督和监控,每次白帽扫描我们都有。第二,用户会慢慢接受公有云的服务。最终我们认为数据未来必然是融合的,现在很多企业在合规性的要求上是过不去的。比如说我们见了一些企业没法上云,很简单的要求,就是要对每个数据进行审计。但是这个从云服务厂商来说是很难提供每个数据审计的,就导致你的数据不可能放在公有云上,这个规矩和规定不是一天能打破的。所以未来我觉得必然是核心的数据肯定还是在内部,而有一些需要快速交换的数据可以放在云端,所以未来数据类的必然是一个融合的架构。这是我作为一个从业者的判断,谢谢!

叶根平:讲到云的计算,很容易被道德绑架。我在跟云提供商交流的时候,他们一直说服我说,叶老师,云是趋势,好像我认识不到这个云是趋势。作为我一个个体企业来说,我考虑的问题,肯定不关心国家趋势如何、世界趋势如何,我考虑的是我现在的舒适性以及我现在IT管理的低风险,我是考虑这个问题。我相信很多企业具体IT部门考虑的是这个事,肯定不考虑云是趋势,考虑的肯定是可靠性。不能因为国家考虑趋势,老板说你的错误是可以理解的,你的数据丢了,你说因为国家有这个趋势、时代有这个趋势,所以是可以理解的,不能这样。

这一点我要呼吁大的提供商,不能一下子被绑架到这个道德上去。首先这种认识我们IT部门肯定认识到,我们也在尝试,我很同意这个观点,我们实际上也尝试非主流业务、边缘业务先上去。但是在这个过程中,我们确实感到了不舒适,这个跟趋势和发展一点关系都没有。我们接受到这种业务,它让我们不舒服。像电厂一样,设备上有电,但是我考虑在家里,我自己没有发电机,你老是给我三天两头停电,而且还有火灾,线路又不保障,我当然要考虑这个问题,我知道这个公有电是未来的趋势,但是我要考虑这个问题。这一点我一定要澄清一下,你们做社会推进、事业推进的乙方以后要避免出现这种情况,因为你们乙方肯定要通过甲方的落实。

第二个我想说的是,我们现在最担心的,现在很多云提供商到关键点上,我们是一个很大的责任主体,他不愿意承担责任,这是我最担心的。你要是稍微承担责任,责任出来了,我们真的上到法庭的机会还是少。但是体现出来的是很多服务提供商连基本的责任都没有,比如说Down机了,你告诉我Down机是什么原因,打400电话,当然我们没有碰到过,我们选择稍微好一点的供应商,我们对供应商的选择还是比较慎重的,哪怕小一点,但是服务一定要好,保障我的个体跟你的国家发展战略要相吻合。那天政府官员也在,我说10万企业上云干什么,10万企业上云是趋势,他们也没有去思考。比如我现在上物流,我想上全国的物流,物流没有上去没关系,东西发过去就可以了,我是考虑这些业务可以上。我检验一下提供商公有云的设施,包括公有云和私有云的配合,这种配合我在尝试。

我自己评估了一下,我走得还算比较前面,从行动上来说,我们是推进时代战略的前列。但是我经常被批评的是,叶老师,你落伍了,云肯定是大趋势,好像我不能同意。所以我在这里强调一点,我是支持云这个趋势的,我也在实践,我有很多朋友也在实践。但是这些问题我们国内关于云方案的落地或者具体的一些细节方面的方案,实际上是需要改进的。我知道基础设施没有问题,现在三大运营商也在搞,但是问到具体细节的解决的时候,谁都没有方案。比如说这个数据被谁动过,我要知道,比如临时工动了,我知道就行了,我倒不是为了什么,我就是为了数据的去向会不会去到我不愿意看的地方去,至于丢了、拷了我都可以接受,毕竟我还有很多核心的技术。对于你们来说可能不care,但是我是很care的,所以我想强调这一点,请理解乙方某一个企业的苦心。谢谢!

何园媛:公有云这个问题对于我来说特别敏感,也比较复杂,因为华为刚刚开始成立了一个云BU,我们在国内也做公有云的服务提供商。第二个,华为又在帮助运营商建公有云,比如说跟移动、在海外跟德国电信、法国电信、沃达丰这些大型运营商也在帮助他们建立或者说合营公有云。但是另外一方面,作为我们一个发展了30多年的企业IT,我们华为的业务遍布了全球170多个国家,支撑过去30年的发展,其实我们的内部IT在全球也建立了很多数据中心,现在是EDC企业级的DC加上IDC再加上50多个CDC,这个网络其实已经建立得非常完备了。从去年开始,其实我们内部IT也在做DC的私有云,就是云化的转型,现在基本上已经完成了70%左右的资产云化的转型。

所以我们华为现在面临的情况是,我们自己在做对外提供公有云,但同时内部我们也建立了一张覆盖全球的私有云的网络。对于我们内部IT来说,我们怎么考虑公有云和私有云这个问题,我觉得有几个核心的要点。其实云化要想清楚的是,你希望从云上得到什么,公有云也好、私有云也好,你希望得到的是什么。从一个CIO的角度来说,你要考虑公有云的成本和公有云能够给你提供的服务,以及私有云的成本和服务。那么内外都是云化都是敏捷性和弹性,可以快速响应业务,成本和服务的对比是比较核心的。

我举个例子,比如说MateBook(音译),我们在做MateBook的部署架构的时候,我们是这样考虑的,我们认为电商的三层架构:前台、中台、后台会面临高并发,在这种情况下,肯定要优先选择公有云。电商的中台是做整个订单仓储物流的这一套平台,我肯定优先使用私有云,因为私有云满足了我在这个应用上的所有要求,同时它的整个安全防护体系我是可以直接利用的,它的成本已经被企业过去的建设分摊了。这样我的电商整个部署架构上面的选择,前台放到公有云,中台放在私有云。在CIO做云化选择的第一点,你要想清楚从公有云和私有云以及传统的部署架构里面,你分别能够得到什么差异化的服务,这是需要去作判断的。

第二个,关于我们对安全的担心,其实是对于数据泄漏的担心,但是你的企业里面不是所有数据的密级都是一样的,这个时候企业需要对数据进行分层分级的管理。我们华为是把整个办公网络分成红黄蓝绿四个区域,红区黄的是华为最核心的战略性的资产,这个资产绝对不能被拿走,如果拿走对企业的整个经营风险非常大,放在红区里面。红区的管理非常严格,我牺牲效率保证数据的安全性,我愿意在红区的所有操作里面的人员管理是很复杂的,数据获取是很复杂的,安全性是最高的。我们整个研发是在黄区,研发的同事是没有编辑机的,研发全部用桌面云进行登录。第三个我们面向研发的7朵云,包括编译云、测试云等等,全部都是为了提升研发的效率,所有数据在云端,他拿不走。在黄区的数据,你要获取都要走相应的申请流程,什么人什么时间段进行使用。

叶根平:我插一句,你觉得我们这些CIO,你的第一个问题,我们会不会评估什么东西适合在公有云上,你觉得我们的CIO会不会评估这件事情?

何园媛:我觉得应该要去评估。

叶根平:所以你前面的担忧是多余的,是你们提供商设想出你们这些CIO都不会去评估,我们都会评估。第二,对于数据分析,你觉得我们会不会去评估?

何园媛:如果管理规范的企业,对于数据的分层分级都回去做。

叶根平:我也认为绝大多数的企业现在都在做这个工作,包括安全队伍、安全专员、安全部门我们都有。其实很多时候是可能乙方根本不知道现在甲方在想什么、在做什么,什么都是你们在想,实际上你刚才讲到的两个命题,我们都已经做了,比如说数据分级我们有了,你说什么东西应该放上去,我们也很慎重的评估,哪些放在公有云、哪些放在私有云。甚至我们内外网隔离早就做了,我们都在做,所以我想跟你说的是稍微多了解一下现在的甲方。

范脡:何总是乙方中的甲方。

何园媛:我刚才是站在企业内部IT,我没有站在乙方的角度谈这个问题。刚才我讲到红黄蓝绿,你要评估前面的投入成本以及可以从公有云上获得什么。

第三个,选择公有云的时候,我觉得企业的IT对公有云厂商的能力是要进行评估的。比如说AWS、阿里、微软、华为,他的各个厂商在安全上的能力是不完全一样的,他在安全上到底能为你做到什么以及你需要什么,这个时候需要专业评估,评估完以后决策应该选择AWS还是选择微软。

第四个,选择了公有云之后,整个应用在公有云上的安全责任还是在企业CIO,那么厂商他能够提供一部分的服务,他不能够提供的服务怎么办,还是要企业CIO自己来构建整个安全防护的能力。

通过这几点去思考哪些东西应该上私有云、哪些上公有云,当我们选择Iaas的时候,越来越多厂商在细分领域去提供SaaS的套件。这个时候其实是很大的一个陷阱,未来你可能会面临你要管理很多的云,而每个云的能力是很差异的,云和云之间的集成、共享和管理的难度也会增加。所以在选择SaaS的时候,一定要考虑清楚,尽量选择一个大的平台级的SaaS来作为企业核心的SaaS。我们在云的发展过程中也在不断思考,有的思考可能不一定对,作为参考吧。

张开翼:范总的话题和刚才几位嘉宾的分享,我分成两个层面来看。对于云的供应商,我这边主要是指公有云,信不信任的问题、怎么信任的问题,这是第一个问题。第二个是我们云上的业务怎么保证安全的问题,我认为这两个问题是不一样的。

第一个问题来说,其实你选择你的业务,哪些业务我敢上云、哪些业务不敢上云,我上云的时候选择上哪家云。这是建立在你对公有云供应商的选择和信任的问题,所以我的看法是很多企业尤其是大型企业,他会选择我的核心业务,我是不可能上云的。我建立在对现有的中国整个信任体系的不信任基础上,我是不可能把业务上云的。我还发现有一部分的客户在他的业务规模大到一定程度以后,开始回迁到私有云来,我就问他为什么要回迁。他说第一我的业务大于管理诉求了,跟不上就是要命的,叫天天不应叫地地不灵,如果有万一我怎么办。这是他们选择把业务回迁的很重要的原因,当然还有成本七七八八的考虑。

对于云的业务的选择或者说平台业务的选择,其实是建立在多个维度的因素综合评定成本、安全等等一系列的考虑。所以这个不能一概而论,对于中小企业来说,当然最重要的是你的业务,你最重要的是发展,还没有考虑到信息是否安全的问题、平台是否可靠的问题,这个时候你就选择一个你觉得可以的就好了。对于大企业来说,我需要有一个全面的平衡考虑。

但是我认为,对于所有的客户来说,都要回答第二个问题,我怎么保证我云上的业务安全。因为业务上云以后有一个非常明显的特点,云是虚拟化的,我原来非常清晰的边界已经消失了,公有云上的业务已经看不到或者没有办法管控它的边界。在公有云上有很多业务是有大量风险的,很多客户存在误解,觉得公有云厂商号称提供各种安全,你的云是安全的。但是公有云的安全跟平台安全是两回事,就算选择一个安全的平台,你在这个平台上的业务也不一定是安全的,你要搞公有云上的安全,这就是为什么在公有云平台上还会有非常多的问题。我们帮助用户做安全检测的时候,发现很多公有云业务是裸奔的。这种理解可能中小企业会多一点,大型企业大部分还是知道的。

比如说我还是要租一个PC,或者在上面该有的整套机制都要建,跟我在内网没有什么区别。但是我们看到还有很多行业云在里面也是裸奔的,因为这个很简单,我买一些防火墙或者防御设备放上去就安全了,实际上不是这样的。这次的勒索病毒事件,其实我们平时认为他们的安全建设做的比较好的很多行业客户中招就是有这样的背景因素。这个一个是业务上的选择,一个是安全建设上的选择,这样来看可能会有助于大家更好的理解这个话题。

范脡:谢谢各位嘉宾的精彩分享,我们可能没有时间给大家提问了。当然安全不是一个新的话题,但是这几个月安全给了大家一些新的压力,我们之所以在这次大会上抽出一个时间来讨论安全,也是满足大家平时有的一些讨论。但是一个小时只能点到为止,如果大家有什么其它的问题,我想可以下了场以后,比如说今晚晚饭的时候跟各位专家做一个交流。我们再次感谢台上的嘉宾和台下的嘉宾,谢谢大家!

主持人:最后一个环节就是一个抽奖环节,这是一个激动人心的时刻,请范总留步。我们今天的奖品是三名,我们通过摇一摇,大家去扫二维码或者扫日程后面的二维码,加入到这个游戏当中。我们今天的奖品是美的智能扫地机器人,所以前三名将得到这个扫地机器人。

(抽奖)

范脡:恭喜这三位观众,请这三位观众上台。

主持人:海之舰、缘来如此、胡立军三位上台。

范脡:稍微自我介绍一下。请问海之舰你的手是如何炼成的?

海之舰:非常高兴来到这儿,这是意外的惊喜,我是王健(音译)。谢谢!

获奖者:我是来自河南CIO联盟的一名成员,这一次也带队过来参加这个会议,在此借此机会也感谢企业网范总,包括他们的团队,给我们大家提供这么好的一个平台,非常感谢!我来自思念食品集团的,我叫于德洪(音译),目前在企业负责运营和信息化工作,在快销行业干了20多年了,前期也在双汇干了很多年,希望在快销领域当中涉及到管理和信息化方面多交流。谢谢!

胡立军:大家好,我叫胡立军,在场的各位都是真才子,我们公司有一句话叫“真才子,穿才子,深才子,才子赢天下”(音译)。希望未来在场的各位都能一身才气,深才子、真才子、才子赢天下。谢谢组委会,谢谢大家!

范脡:谢谢三位嘉宾!

关键字:信息安全企业病毒论坛

原创文章 企业网D1Net

x 圆桌论坛:从勒索病毒说起,企业信息安全怎么搞? 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

圆桌论坛:从勒索病毒说起,企业信息安全怎么搞?

责任编辑:jackye |来源:企业网D1Net  2017-07-20 19:12:30 原创文章 企业网D1Net

2017 CIOC全国CIO大会7月20日在青海·西宁盛大举办,来自全国的300余位CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

主持人:感谢龚总的精彩演讲!接下来是今天的压轴环节,从勒索病毒说起,企业信息安全怎么搞?相信这是各位CIO头疼的问题,接下来我们有请:

华为消费者BG CIO何园媛

苏宁IT总部执行副总裁乔新亮

三花股份CIO叶根平

饿了么安全风控主管王彬

联想云副总裁张跃华

深信服副总裁张开翼

这个环节的主持人由企业网D1Net的CEO范脡先生来主持!

范脡:请大家上台。有两个问题,第一是对于勒索病毒怎么办,第二是刚才叶老师提到的非常现实的问题,云计算的供应商尤其是私有云的供应商怎么做,尤其是在SaaS方面的选择。这里基本上大家都认识了,前面都是发言的嘉宾,除了华为消费者BG CIO的何总,何总跟大家认识一下。

何园媛:很高兴认识这么多业界同行,这是我第一次参加全国CIO大会,但是作为IT从业者来说,我已经是一个老兵,伴随华为的全球化崛起走过了很长的路。明天有一个专题演讲,会结合华为消费者BG最近在数字化转型方面的思考,跟大家进行进一步的沟通。

范脡:一会我们再听一下何总的高见。第一个话题,勒索病毒大家有什么建议给我们在座的CIO,事先有没有防控的方式?有什么办法?要不从张总这边开始?

张开翼:勒索病毒这个事情在我们内部有从发现到应急响应的过程,当时正好是周末,我们的团队忙活了两天。我们首先看有什么方法免疫,最后看有没有传播路径,再最后是怎么解决这些潜在的风险。我明天有一个话题,也会专门讲到这个方面。我们会发现,勒索病毒它所利用的一些传播路径,实际上很多是公开的,利用的是一些已知漏洞。比如说这次的在4月份漏洞就暴出来了,微软是打了补丁的,但是补钉的更新率非常低。这个作为CIO来说也是一个警示,我们很多运维团队日常关注的工作重点有没有包含最基本的工作。我认为对于企业安全来说,补丁是基础工作,从这次的事件来看,还是有很多该打的补丁没有打上。

第二,你认为安全的地方,其实通常来说都是不安全的。我们接到客户的问询的时候,他说我的网络都是隔离的,没有上互联网,为什么还会中毒。其实很多传播路径并不是像我们想象一样的,你一定要跟互联网打通,一定是来自外网的攻击让你中了这个病毒。所以这个事情我们要改变观念,就像刚才王总说的,首先你要解决安全的建设,你才可能去控制风险。当然我说的控制风险跟你说的风控是不同概念,但是对于病毒事件来说就是这样的。我先讲这两点。

范脡:何总。

何园媛:我不是安全方面的专业人士,但是我们公司的IT团队里面专门有一个安全的团队,我会看他们的例行报告,我会把一些实际案例做一些分享。2017年1月到4月份,我们整个华为集团的IT受到1472次的网络攻击和入侵,主要的攻击手段是利用Windows的漏洞以及我们的一些服务器的默认密码来进行攻击的。

我举两个实际的案例,第一个案例在3月14日微软发布了一个SMB的远程执行代码的漏洞以及补丁,在3月16日的晚上9点一个黑客组织就给华为的188个员工发送了钓鱼邮件。这个员工的分布非常分散,基本上全球各个国家、各个部门的员工都有。从9:16分邮件发送之后,9:19分开始陆续有16个员工点击了钓鱼邮件。到了第二天早上,我们的安全部门就确定这个邮件是钓鱼邮件,剩下的没有点击邮件的全部做了删除处理,对于点击过邮件的员工的机器进行安全隔离、断网、关机。

但是50个员工点击之后,在中午12:18分通过点击钓鱼邮件之后控制了我们的一个预控服务器,通过这个服务器获取了我们100多个系统的账号和密码。这个时间是在中午的12:18分,在中午2点我们的安全部门就锁定这台服务器已经被攻破了,同时通过它找到100多个疑似被泄漏的账号和密码,我们就启动应急方案。在3:18分的时候,这台预控服务器就已经实现隔离,所有疑似密码进行漏洞弥补。这个没有给华为造成任何损失,这是第一个案例。

第二个案例在4月22日的时候,我们收到一个自称是国际特别著名的黑客组织叫蜥蜴部队,给华为发送邮件,要求我们支付比特币。号称从4月27日开始对华为进行攻击,如果不支付每天会增加10个比特币。我们收到这个勒索邮件之后,我们不会支付比特币,不会助长他们。怎么办呢?我们通过intel的访问的35个应用做了梳理,对这35个应用可能会遭遇的12种攻击场景,包括像IP地址的攻击、应用层的攻击、CDN的攻击所有的攻击路径全部做了梳理,针对每个攻击路径做了应急的措施和方案。同时跟电信购买了清洗服务,把所有的应急预案全部做好了。做好之后,在4月27日开始,就形成一个作战团队实时监控整个流量的变化情况。通过4月27日到5月2日的实时监控,没有发现流量有异常,我们基本上可以认定是虚惊一场或者这个勒索已经过去了。

通过这两个案例,我想讲的是,第一面对这种勒索的攻击和网络攻击,这是一个常态,首先不要害怕。第二在企业内部要有专门的组织来应对整个企业的安全风险和管控。第三提前有一些应急措施和预案是需要的,这些应急措施和预案在没有发生之前要经过反复演练,像第一个案例从发生到第二天不超过24小时就已经处理完毕了。第四需要有自动化的检测控制,实时发现网络异常。第五建立生态或同盟,帮助企业获取这方面的情报或资讯。

叶根平:华为前面讲到发现是主动发现的,没有危害之前就发现了?

何园媛:对,有两个关键点,第一钓鱼邮件是上午11点,第二是确定预控服务器已经被攻破是在下午2点,这两个关键点的发现很重要。第一个是确定了钓鱼邮件把它进行删除和网路隔离,第二是确定预控服务器,马上把预控服务器的密码进行重置。

叶根平:这个检测的方案我觉得可以分享给更多企业。

何园媛:这是华为自己的。

叶根平:我们现在的勒索病毒是发现了才知道的,当然从内部管理上,我们传统制造业主动巡检是不够的,我们需要有自动化的手段,哪怕是设备、软件或者自动侦听,我们需要供应商给我们提供这样的方案。

张跃华:实际上我们联想企业网盘对勒索病毒关注了很长时间,最近也是大量处理用户的案例。比如说我前两天去富士康,他中了病毒以后,排查完以后,整个IT大概用了将近3周到一个月的时间,统一来排查,基本上其它活不干了,就在排查数据。中毒以后就立刻买了一个网盘,当天12点上线到晚上12点,并发持续保持在5千左右,数据达到5个T。勒索病毒对大家的危害以及大家对数据安全的意识还是有很大的帮助和提高。

最近我们也根据安全厂商和约了一些CIO一起来讨论,病毒怎么去办。跟大家汇报一下,我们当时讨论得出三个结论。第一个结论,主动防御,要加上完整的保证体系。其实大家做IT的都知道,我数据库的数据要做备份,我核心的ERP数据要做备份,但是为什么员工的非结构化数据不做备份,其实很少企业能做到,你做存储和备份相对来说员工数据是比较难的。但是不管怎么样,我们肯定是两方面的,一个是主动防御。

第二,如何把员工非结构化的数据进行统一管理。我们在4月份发现的时候,我们提醒很多厂商,但是很多厂商不以为然就中招了,以后还是会发生这样的问题,发生这样的问题怎么恢复是一个体系建设。第三,必须要从生态的问题考虑问题,比如说我们现在主动防御的时候,数据都是散落在员工的数据上的,但是未来非结构化的数据必然是做集中的管理,因为这样的何处有很多。做完集中管理以后,它会有大数据分析、企业数据分析管理,它会一系列的走下去。所以在这种非结构化数据做集中管理的时候,就需要跟安全厂商做深度的整合。比如说前端防御怎么防御,数据进来以后我怎么去进行防御,这是一个方面。

其实还需要业态,就是我们跟安全厂商,当然深信服我们下来也可以好好聊一聊,进行深度的整合。包括刚才跟乔总也在聊,对企业用户其实企业很重要,我们必须以互联网的心态来解决一个问题。刚才讲到我们企业里面很多方式应用是自动化的,第二可能要靠员工的责任心。但是我们仔细来看,其实企业的用户也是分类的,数据安全我们把用户分成三类,第一类用户有主动意识,自己愿意去备份,第二类有备份的意愿,但是决心不够,偶尔去备份,还有一部分是没有意识,我也不去备份。

总体上来说,我们要对三类的员工、三类的客户,根据他们来设置不同的方案。比如说我们对不愿意备份的,我们可能要求强制备份,强制你备份所有的文档。对于我有心我想备但是主动性不够的,可以给IT管理员一个完整的信息列表,告诉他经常工作的文档有哪些,其实这是可以统计出来的,但是他没有备份。这个时候我们就可以做到追溯,做到追溯才会有约束力,光喊口号是没有任何意义的。所以我觉得针对于勒索病毒这件事,包括后续的企业核心数据资产的管理,应该从三方面来解决这样的问题。谢谢!

范脡:乔总!

乔新亮:我先从大的方面来说数据安全,安全是攻和防,这是没有捷径的。首先我们要意识到,这是没有捷径的,要找到一个适合的度,公司对于安全评估它的风险要做一个决策。因为它是一个攻防,所以你要知道现在谁在攻你,要了解,要了解需要有人,所以需要有一个团队。在苏宁我们有三个团队,第一个是安全管理中心,他是负责整个安全体系的,首先你要知道一下,到底今天这个安全体系是什么样的。在公司里面什么是不安全的,比如说我们分成业务安全、数据安全、系统安全,每部分去做,这是一个很复杂的体系。我想说的是,这部分厂商是替代不了的。因为这个是你要了解你的业务,你要知道你的价值。同样一个系统、同样一个数据,在安全厂商那里可能肯定是一样的,但是在你这里完全不一样。刚才说安全要平衡,你要去花钱,所以要有一个组织,这是一个规划,你要知道这个体系的一个组织。

第二个,在苏宁里面有一个安全研发中心。我们为什么要有一个安全研发中心?为什么这部分我们不去选一个厂家?有些东西你就是要高于同行的,你去选一个厂家,你在哪里搞?我们把一些不是在这个领域的交给安全厂商,但是如果是很核心的,你就要去完善,最后要自主掌控。我们有一个大概80人的安全团队,去研发这个东西,因为太重要了。这是一个投入。

第三个,要有日常的安全运维,要做安全审计。安全不要认为都是高科技,安全有的时候很简单,你要有安全意识,如果你不遵守这个规定,你是要担责任的。很简单的事情要天天做,要日常都去做,让大家有安全意识。比如说驾驶汽车,我要选一个很好的汽车,很安全,还不如你开得慢一点、稳一点,要把基础的工作做扎实。别搞高大上的,把一些基础工作做好,如果不知道什么是结构化的数据、非结构化的数据,你说资产很重要,但是都在他个人的电脑上,这不是空谈吗?今天会有勒索病毒,明天不知道会有什么样的病毒,而且你永远防不住。安全要有一个观点,你永远防不住,你防不住的情况下怎么能够安全。我更多的是想强调更多工作在日常当中,安全永远是不安全,哪天安全事件被集团处理了,我认为都很正常,心里要有这个意识,你永远做不到绝对安全,但是你要去做。

另外一个,我觉得今天的安全态势已经由很多已知的转向未知,很多都是未知的,但是你有没有能力去发现它。刚才叶总也很关心这个问题,我觉得这个也是一个无穷尽的工作,你要知道哪些是你非常关注的。比如说在苏宁,你的订单信息,假设你前面的一切防控手段都失效了,有人在动你的订单信息,你知不知道。我今天可以告诉大家,我知道,这是需要设计的,你要知道这是一种违规的访问行为,你要去设计,这个里面就开始说安全不仅防,安全要有陷阱,所谓要有密管,要能够去知道,甚至我还要攻出去。打战不是防的,一味防可能会有问题,有些东西不仅要设陷阱,还要攻出去。这个东西很难,今天苏宁也没有做到这一步,但是你要去做,你要去想这个事情。因前提就是永远不安全,永远要知道自己的系统其实是不安全的,因为这是一个攻防战,再坚固的城堡历史上都有被攻破的,你要知道你是不安全的。

有的时候被攻破很简单,我可以问各位一个问题,假如你的员工接一个电话,说把你的信息卖给我,我给你100万。这里面有很多要去做的,要有安全意识,要去教育,要有技术手段,不要把技术当成唯一的手段,技术只是手段之一。我觉得安全是一个体系工程,任何的都是不安全的,所有假设都是不安全的、都是有风险的,然后说我要做什么,这个时候就来了,预算是多少,把钱花在刀刃上。就像人是活在细菌中的,人身体有很多细菌,但是还是健康的,我们的安全就是要做到这样,取得一个平衡之道,但是是健康的。

范脡:乔总说得非常实在,也非常有意思。刚才讲的这个观点,就是防中带攻,很像我听到的以色列安全公司的一个产品,不仅是防,防完了要攻,这个很有意思。而且在合理的代价下取得合理的平衡,这个确实是很实在的一个观点。王总!

王彬:各位说了很多,表达了我们做安全的人的心声。我补充一下,你可以认为勒索病毒它是降维攻击,今天没拿出去就不知道,黑客拿出来攻击你、勒索你,但是数据更值钱。刚才乔总说到一点,企业数据的保护是我们未来的重中之重,为什么这么说?各位可能听过商业间谍,现在不叫商业间谍,叫商业数据分析公司。我们在业界碰到非常多的企业,他可以把通讯录拿出去一个个打,你今天给我20万,给不给。苏宁的数据几个亿都有可能。大家可以这么试试看,怎么证明自己安全不安全,你可以在网上查有没有人卖我的数据。

比如说物流行业顺丰是做得最好的,整个行业当中信息卖出去非常多,它是有价的。我今天的快递叫热单,一单8元到10单,我打电话给你是不是下了单,搞银行诈骗得比较多,第二天的数据是历史数据,可能几毛钱,它都是有价的。大家手上有几千万的数据,一单1元,至少几千万,花100万攻破你绝对是赚的。

还有一种,我们觉得做安全的意识真的很重要。比如说勒索病毒,或者说我们有没有想过自己做一些病毒,不说病毒,比如说钓鱼邮件。我们怎么做?我们钓鱼,我们自己钓自己人,我们仿造一些邮件让你点,看多少人点。意识是一点点培养的,但是意识一定要跟行政手段相结合。你说我这个东西今天只教育你,其实是没有效果的,最后你要跟行政手段结合在一起。比如说这个人谁点了我的钓鱼,或者通过网络监控,这个人有问题就进行处罚,该罚的就罚、该开的就开。

其实最累的是IT,我们企业当中的IT已经2、3个月没有休过了,最近出现了很多漏洞,大概5、6个都是高危等级,你是必须要修的,这些人非常累。4月份出来,补丁打掉了,可能后面就没有这方面的问题,意识很重要。

范脡:在座的都是安全高手,我们一会儿会给台下的观众留两个提问的时间,大家可以抓紧这个机会。

乔新亮:我想补充一下,其实今天安全在黑色产业链就是一个生态,它本身就是一个生态。对于很多公司来说,形成一个联盟和生态也很重要。其实今天很多坏人、坏蛋,各自的公司都有这样的积累,有很多这样的信息。黑色是一个产业链,红色是不是也应该是一个产业链?

张开翼:也是有的。

乔新亮:这部分大家都在做,要能够做的好一点,在安全方面大家合作共赢非常重要。

张开翼:叫安全情报的共享机制,这个我们都是有参与的。

范脡:我想到白色产业链,可能是敏感话题,我们不方便说,实际上它对企业的帮助是非常大的。我们谈一下比较现实的,在座的CIO经常碰到的问题,就是云计算、云主机和SaaS,云这个东西从美国发展起来,美国有非常完整的信用体系,所以对于信息泄漏方面的惩罚成本是非常高的,但是在中国实际上我觉得大家除了技术,刚才谈到的很多是技术问题,这些技术问题也是很重要的因素。大家可能面临很多很现实的问题,比方说刚才叶老师讲的,叶老师是在马云的故乡,在浙江省政府积极上云的呼吁下,还喊出我们该不该相信公有云提供商。实际上我们现在有很多公有云的厂商,有大型的,像AWS、亚马逊、微软、阿里,还有很多新型的创业公司。

我们以前有一个做CIM和呼叫中心的,当时我们做过一个市场调研,就是你能不能把你的呼叫的数据放在上面,其实他们做得很不错,联通的一些Saas都是他们提供的。我们调研过很多企业第一个反映,以这样的程度,他是不可能把关键数据放上去的。我们现在看到的现状,大型企业把核心应用放在云上的能力非常弱,有一些像灾备、测试、电商目前非核心的应用上线云,中小企业也怕,一个小老板核心数据就那些,你放上去卖给我的竞争对手,晚上睡不着觉。大家很痛苦,该不该上云,大家都说上云好,但是真正上云,晚上是否睡得着觉。各位给一些建议,要不从王彬开始。

王彬:这一块可能我不是特别专业,我从信息安全方面讲一下。云分两种,所谓的公有云和私有云。公有云当中可能也有划一片私有云给你的情况,对于大企业我们看到更多的是自建私有云或者有一部分公有云。我们公司有自己自有的机房再加云,云对于一些风险控制也是比较好的,本身的带宽也比较好。我觉得这是一种趋势,肯定会转的。中小企业上云还比较简单一点,到一定时候转型就要考虑一下。更好的办法是或许我自己做一部分云,一些核心业务或者我认为不是非常敏感的先放着,等这个云成熟再慢慢迁过去。

云有自己的好处,比如我举个例子,病毒攻击你,挡得最好的是云,它是更简单更有效的解决方案。一个小企业如果别人攻击你,你是没有防御能力的,你买电信的高防是没有钱的,解决不了问题。比如说一些企业的竞争对手打你的时候,你没有办法,这种企业上云是非常好的,从安全角度来说,这是他的优势。反过来,企业迁云的时候有一定代价和成本,我们是不是一步步迁,这是我的一些办法。

乔新亮:我觉得这个就像跟安全一样,是一个平衡,到底要拿什么好处。这里有一个比喻,今天的云就像大电厂,大的企业就像大电厂。比如我们今天用电是享受方便的,但是其实大家有没有想过,假设自己在一个小的城镇,我也很容易发电,我也很容易做。你觉得你是想要大电厂,还是自己发电?但是今天假设你一个企业没有发电的能力,这个时候你就要想了,我到底是用大的发电厂得好处失去不掌控的能力,还是说我去牺牲方便,我的效率可能低一点,但是自主掌控。

所以今天的问题是变成二选一,但是我认为未来应该是大电厂+小电厂,前提是你会很容易的获得一个电厂。今天的IaaS和PaaS,假设你很容易获得,这是你的选择。谈一个稍微政治性的问题,比如说在今天中国国家电网供电,但是在美国你发现供电一堆公司,很多公司,为什么?除了政治上的垄断和管理之外,它就是很方便的去发电。未来我认为是大电厂+小电厂模式,很多企业应该是有自己的云的,云是不可阻挡的趋势,但是这也不一定是公有云。这是我的一个观点,未来的趋势应该是大家共享,比如说我去发电,就是我自己用云的能力。如果我多了,我可以分享出来,有一个生态可以做分享。比如今天大家说我需要计算资源,我可以一键扩容和缩容,我有没有这个能力。我觉得这是一个平衡的地方。

至于说安全的问题,我觉得这是一个伪命题,技术上永远解决不了,这个只有通过建立信任和法律手段解决这个问题。如果说你的数据都是你要命的资产,我觉得你今天不会放在一个你竞争对手的公有云上,这是100%的,这个是不会有的。但是如果是一个联盟,那就是基于信任、基于法律手段。在你今天选择的情况下,你可能选择了效率,牺牲了一定的对数据的掌控。当然我说的是假设你信任别人提供给你的公有云,每个企业都有这种能力。有的企业是帮助你建电厂,大家都掌握这种能力,大家也愿意在自愿的情况下把数据进行共享,是我企业的数据,我愿意共享出来,和你通过一种利益或者什么交换去做数据的交换或者共享,我觉得这才是符合的。但是在今天这个问题是二选一的时候,你选什么,就像安全一样,要问自己到底想要什么。

范脡:我们请公有云的提供商发言。

张跃华:首先我们就是做数据服务的,是做SaaS服务的,而且是专门做数据的。其实联想企业网盘公有云和私有云从整个业务规模上是一半对一半的,所以我基本上见一些大客户的时候,天天都在问安全的问题。还有一些厂商是联想的竞争对手,比如说OPPO、VIVO,还有一些做互联网风投的。有一次我见客户,他说怎么保证不看这些数据。我特别理解大家提这个问题,首先我们联想企业网盘做了10年,我只能说分享一下心得。

其实公有云服务,我们最之前见到的客户是什么客户呢?的确是中小客户,大的企业不会往上放。但是这些中小企业一推动都是通过业务推动的,就是我们的SaaS基本上IT不会接入。公有云基本上很少,都是业务部门推动。也就是说,现在在数据领域上,的确是有一些在公司业务发展上面临非常大的困难,必须要通过公有云的服务来解决。有的企业是这样的,比如说大的企业买我的一套私有云,有的部门还买一套公有云。现在基本上所有的房地产建设方式全是公有云,不管是专有云也好、还是公有云也好,他的数据全都是往云端放的。

所以一方面是说,大家对产品的信任越来越高了,因为从联想本身在做安全这件事的时候,我们整个安全的管控是美国人管控的,不是国内的人,我们跟他打交道是非常难打交道的,我们基本上要做源代码级别的扫描。大家可能都知道,源代码一扫描可能上千个风险,但是有些风险可能真的不是风险,就是一个语句格式的问题,真的要跟美国人一个字一个字的去敲,这是一方面。另外一方面,我们也会去扫描。还有一方面,我们本身就受公司内部审计部门的审计,比如说他会去审计你到底有多少人登录了,这些方面规范的体系让用户获得信任。当然技术上我就不说了。

我非常同意刚才说的,我们在官网上有一句话,我们对安全的追求是无止境的。大家谈的全是安全,那都是显性安全,我们对双机隐性认证,在手机上就不需要,在外网的时候就需要,还是要做显性的安全功能,让用户放心。第一,你还是要不断追求安全体系,本身你作为企业就要受到其他安全方的监督和监控,每次白帽扫描我们都有。第二,用户会慢慢接受公有云的服务。最终我们认为数据未来必然是融合的,现在很多企业在合规性的要求上是过不去的。比如说我们见了一些企业没法上云,很简单的要求,就是要对每个数据进行审计。但是这个从云服务厂商来说是很难提供每个数据审计的,就导致你的数据不可能放在公有云上,这个规矩和规定不是一天能打破的。所以未来我觉得必然是核心的数据肯定还是在内部,而有一些需要快速交换的数据可以放在云端,所以未来数据类的必然是一个融合的架构。这是我作为一个从业者的判断,谢谢!

叶根平:讲到云的计算,很容易被道德绑架。我在跟云提供商交流的时候,他们一直说服我说,叶老师,云是趋势,好像我认识不到这个云是趋势。作为我一个个体企业来说,我考虑的问题,肯定不关心国家趋势如何、世界趋势如何,我考虑的是我现在的舒适性以及我现在IT管理的低风险,我是考虑这个问题。我相信很多企业具体IT部门考虑的是这个事,肯定不考虑云是趋势,考虑的肯定是可靠性。不能因为国家考虑趋势,老板说你的错误是可以理解的,你的数据丢了,你说因为国家有这个趋势、时代有这个趋势,所以是可以理解的,不能这样。

这一点我要呼吁大的提供商,不能一下子被绑架到这个道德上去。首先这种认识我们IT部门肯定认识到,我们也在尝试,我很同意这个观点,我们实际上也尝试非主流业务、边缘业务先上去。但是在这个过程中,我们确实感到了不舒适,这个跟趋势和发展一点关系都没有。我们接受到这种业务,它让我们不舒服。像电厂一样,设备上有电,但是我考虑在家里,我自己没有发电机,你老是给我三天两头停电,而且还有火灾,线路又不保障,我当然要考虑这个问题,我知道这个公有电是未来的趋势,但是我要考虑这个问题。这一点我一定要澄清一下,你们做社会推进、事业推进的乙方以后要避免出现这种情况,因为你们乙方肯定要通过甲方的落实。

第二个我想说的是,我们现在最担心的,现在很多云提供商到关键点上,我们是一个很大的责任主体,他不愿意承担责任,这是我最担心的。你要是稍微承担责任,责任出来了,我们真的上到法庭的机会还是少。但是体现出来的是很多服务提供商连基本的责任都没有,比如说Down机了,你告诉我Down机是什么原因,打400电话,当然我们没有碰到过,我们选择稍微好一点的供应商,我们对供应商的选择还是比较慎重的,哪怕小一点,但是服务一定要好,保障我的个体跟你的国家发展战略要相吻合。那天政府官员也在,我说10万企业上云干什么,10万企业上云是趋势,他们也没有去思考。比如我现在上物流,我想上全国的物流,物流没有上去没关系,东西发过去就可以了,我是考虑这些业务可以上。我检验一下提供商公有云的设施,包括公有云和私有云的配合,这种配合我在尝试。

我自己评估了一下,我走得还算比较前面,从行动上来说,我们是推进时代战略的前列。但是我经常被批评的是,叶老师,你落伍了,云肯定是大趋势,好像我不能同意。所以我在这里强调一点,我是支持云这个趋势的,我也在实践,我有很多朋友也在实践。但是这些问题我们国内关于云方案的落地或者具体的一些细节方面的方案,实际上是需要改进的。我知道基础设施没有问题,现在三大运营商也在搞,但是问到具体细节的解决的时候,谁都没有方案。比如说这个数据被谁动过,我要知道,比如临时工动了,我知道就行了,我倒不是为了什么,我就是为了数据的去向会不会去到我不愿意看的地方去,至于丢了、拷了我都可以接受,毕竟我还有很多核心的技术。对于你们来说可能不care,但是我是很care的,所以我想强调这一点,请理解乙方某一个企业的苦心。谢谢!

何园媛:公有云这个问题对于我来说特别敏感,也比较复杂,因为华为刚刚开始成立了一个云BU,我们在国内也做公有云的服务提供商。第二个,华为又在帮助运营商建公有云,比如说跟移动、在海外跟德国电信、法国电信、沃达丰这些大型运营商也在帮助他们建立或者说合营公有云。但是另外一方面,作为我们一个发展了30多年的企业IT,我们华为的业务遍布了全球170多个国家,支撑过去30年的发展,其实我们的内部IT在全球也建立了很多数据中心,现在是EDC企业级的DC加上IDC再加上50多个CDC,这个网络其实已经建立得非常完备了。从去年开始,其实我们内部IT也在做DC的私有云,就是云化的转型,现在基本上已经完成了70%左右的资产云化的转型。

所以我们华为现在面临的情况是,我们自己在做对外提供公有云,但同时内部我们也建立了一张覆盖全球的私有云的网络。对于我们内部IT来说,我们怎么考虑公有云和私有云这个问题,我觉得有几个核心的要点。其实云化要想清楚的是,你希望从云上得到什么,公有云也好、私有云也好,你希望得到的是什么。从一个CIO的角度来说,你要考虑公有云的成本和公有云能够给你提供的服务,以及私有云的成本和服务。那么内外都是云化都是敏捷性和弹性,可以快速响应业务,成本和服务的对比是比较核心的。

我举个例子,比如说MateBook(音译),我们在做MateBook的部署架构的时候,我们是这样考虑的,我们认为电商的三层架构:前台、中台、后台会面临高并发,在这种情况下,肯定要优先选择公有云。电商的中台是做整个订单仓储物流的这一套平台,我肯定优先使用私有云,因为私有云满足了我在这个应用上的所有要求,同时它的整个安全防护体系我是可以直接利用的,它的成本已经被企业过去的建设分摊了。这样我的电商整个部署架构上面的选择,前台放到公有云,中台放在私有云。在CIO做云化选择的第一点,你要想清楚从公有云和私有云以及传统的部署架构里面,你分别能够得到什么差异化的服务,这是需要去作判断的。

第二个,关于我们对安全的担心,其实是对于数据泄漏的担心,但是你的企业里面不是所有数据的密级都是一样的,这个时候企业需要对数据进行分层分级的管理。我们华为是把整个办公网络分成红黄蓝绿四个区域,红区黄的是华为最核心的战略性的资产,这个资产绝对不能被拿走,如果拿走对企业的整个经营风险非常大,放在红区里面。红区的管理非常严格,我牺牲效率保证数据的安全性,我愿意在红区的所有操作里面的人员管理是很复杂的,数据获取是很复杂的,安全性是最高的。我们整个研发是在黄区,研发的同事是没有编辑机的,研发全部用桌面云进行登录。第三个我们面向研发的7朵云,包括编译云、测试云等等,全部都是为了提升研发的效率,所有数据在云端,他拿不走。在黄区的数据,你要获取都要走相应的申请流程,什么人什么时间段进行使用。

叶根平:我插一句,你觉得我们这些CIO,你的第一个问题,我们会不会评估什么东西适合在公有云上,你觉得我们的CIO会不会评估这件事情?

何园媛:我觉得应该要去评估。

叶根平:所以你前面的担忧是多余的,是你们提供商设想出你们这些CIO都不会去评估,我们都会评估。第二,对于数据分析,你觉得我们会不会去评估?

何园媛:如果管理规范的企业,对于数据的分层分级都回去做。

叶根平:我也认为绝大多数的企业现在都在做这个工作,包括安全队伍、安全专员、安全部门我们都有。其实很多时候是可能乙方根本不知道现在甲方在想什么、在做什么,什么都是你们在想,实际上你刚才讲到的两个命题,我们都已经做了,比如说数据分级我们有了,你说什么东西应该放上去,我们也很慎重的评估,哪些放在公有云、哪些放在私有云。甚至我们内外网隔离早就做了,我们都在做,所以我想跟你说的是稍微多了解一下现在的甲方。

范脡:何总是乙方中的甲方。

何园媛:我刚才是站在企业内部IT,我没有站在乙方的角度谈这个问题。刚才我讲到红黄蓝绿,你要评估前面的投入成本以及可以从公有云上获得什么。

第三个,选择公有云的时候,我觉得企业的IT对公有云厂商的能力是要进行评估的。比如说AWS、阿里、微软、华为,他的各个厂商在安全上的能力是不完全一样的,他在安全上到底能为你做到什么以及你需要什么,这个时候需要专业评估,评估完以后决策应该选择AWS还是选择微软。

第四个,选择了公有云之后,整个应用在公有云上的安全责任还是在企业CIO,那么厂商他能够提供一部分的服务,他不能够提供的服务怎么办,还是要企业CIO自己来构建整个安全防护的能力。

通过这几点去思考哪些东西应该上私有云、哪些上公有云,当我们选择Iaas的时候,越来越多厂商在细分领域去提供SaaS的套件。这个时候其实是很大的一个陷阱,未来你可能会面临你要管理很多的云,而每个云的能力是很差异的,云和云之间的集成、共享和管理的难度也会增加。所以在选择SaaS的时候,一定要考虑清楚,尽量选择一个大的平台级的SaaS来作为企业核心的SaaS。我们在云的发展过程中也在不断思考,有的思考可能不一定对,作为参考吧。

张开翼:范总的话题和刚才几位嘉宾的分享,我分成两个层面来看。对于云的供应商,我这边主要是指公有云,信不信任的问题、怎么信任的问题,这是第一个问题。第二个是我们云上的业务怎么保证安全的问题,我认为这两个问题是不一样的。

第一个问题来说,其实你选择你的业务,哪些业务我敢上云、哪些业务不敢上云,我上云的时候选择上哪家云。这是建立在你对公有云供应商的选择和信任的问题,所以我的看法是很多企业尤其是大型企业,他会选择我的核心业务,我是不可能上云的。我建立在对现有的中国整个信任体系的不信任基础上,我是不可能把业务上云的。我还发现有一部分的客户在他的业务规模大到一定程度以后,开始回迁到私有云来,我就问他为什么要回迁。他说第一我的业务大于管理诉求了,跟不上就是要命的,叫天天不应叫地地不灵,如果有万一我怎么办。这是他们选择把业务回迁的很重要的原因,当然还有成本七七八八的考虑。

对于云的业务的选择或者说平台业务的选择,其实是建立在多个维度的因素综合评定成本、安全等等一系列的考虑。所以这个不能一概而论,对于中小企业来说,当然最重要的是你的业务,你最重要的是发展,还没有考虑到信息是否安全的问题、平台是否可靠的问题,这个时候你就选择一个你觉得可以的就好了。对于大企业来说,我需要有一个全面的平衡考虑。

但是我认为,对于所有的客户来说,都要回答第二个问题,我怎么保证我云上的业务安全。因为业务上云以后有一个非常明显的特点,云是虚拟化的,我原来非常清晰的边界已经消失了,公有云上的业务已经看不到或者没有办法管控它的边界。在公有云上有很多业务是有大量风险的,很多客户存在误解,觉得公有云厂商号称提供各种安全,你的云是安全的。但是公有云的安全跟平台安全是两回事,就算选择一个安全的平台,你在这个平台上的业务也不一定是安全的,你要搞公有云上的安全,这就是为什么在公有云平台上还会有非常多的问题。我们帮助用户做安全检测的时候,发现很多公有云业务是裸奔的。这种理解可能中小企业会多一点,大型企业大部分还是知道的。

比如说我还是要租一个PC,或者在上面该有的整套机制都要建,跟我在内网没有什么区别。但是我们看到还有很多行业云在里面也是裸奔的,因为这个很简单,我买一些防火墙或者防御设备放上去就安全了,实际上不是这样的。这次的勒索病毒事件,其实我们平时认为他们的安全建设做的比较好的很多行业客户中招就是有这样的背景因素。这个一个是业务上的选择,一个是安全建设上的选择,这样来看可能会有助于大家更好的理解这个话题。

范脡:谢谢各位嘉宾的精彩分享,我们可能没有时间给大家提问了。当然安全不是一个新的话题,但是这几个月安全给了大家一些新的压力,我们之所以在这次大会上抽出一个时间来讨论安全,也是满足大家平时有的一些讨论。但是一个小时只能点到为止,如果大家有什么其它的问题,我想可以下了场以后,比如说今晚晚饭的时候跟各位专家做一个交流。我们再次感谢台上的嘉宾和台下的嘉宾,谢谢大家!

主持人:最后一个环节就是一个抽奖环节,这是一个激动人心的时刻,请范总留步。我们今天的奖品是三名,我们通过摇一摇,大家去扫二维码或者扫日程后面的二维码,加入到这个游戏当中。我们今天的奖品是美的智能扫地机器人,所以前三名将得到这个扫地机器人。

(抽奖)

范脡:恭喜这三位观众,请这三位观众上台。

主持人:海之舰、缘来如此、胡立军三位上台。

范脡:稍微自我介绍一下。请问海之舰你的手是如何炼成的?

海之舰:非常高兴来到这儿,这是意外的惊喜,我是王健(音译)。谢谢!

获奖者:我是来自河南CIO联盟的一名成员,这一次也带队过来参加这个会议,在此借此机会也感谢企业网范总,包括他们的团队,给我们大家提供这么好的一个平台,非常感谢!我来自思念食品集团的,我叫于德洪(音译),目前在企业负责运营和信息化工作,在快销行业干了20多年了,前期也在双汇干了很多年,希望在快销领域当中涉及到管理和信息化方面多交流。谢谢!

胡立军:大家好,我叫胡立军,在场的各位都是真才子,我们公司有一句话叫“真才子,穿才子,深才子,才子赢天下”(音译)。希望未来在场的各位都能一身才气,深才子、真才子、才子赢天下。谢谢组委会,谢谢大家!

范脡:谢谢三位嘉宾!

关键字:信息安全企业病毒论坛

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^