通信世界网(CWW)4月12日消息 由中国通信学会主办的2012年中国电信业信息与网络安全高层论坛今天正式召开,本次论坛针对“十二五”重要信息系统安全与云安全策略进行讨论,同时针对通信网络与信息安全领域的重点和难点问题进行探究。通信世界网将全程对本次会议进行直播。
启明星辰首席战略官潘柱廷
以下为演讲实录:
潘柱廷:
潘柱廷首先对安全第三级修炼这个名字做了说明,他介绍说,第一级就是非结构化的,没有体系化的保护。第二级是体系化防护,比如02、03年获得的ISO17799为代表的这样一个管理体系。在运营商当中,所有这样一些标准和规定,都是一种体系,是结构性展现出来的,这时候需要有组织,需要技术的方方面面,有认证的,监控的,审计的等等,这时候会发现我们已经构建了一个体系的思路,结构性的思路,会有联系性,或者是合规性,我们形成这种思路的驱动,去考虑问题。第三级是效益防护,这个效益说起来是两个词,一个是效果,一个是效益。
关于安全的三个要素,他指出,包含保障、威胁和业务三个方面。像我们的供应商,包括我们在这样的一个大企业,我们比较担心的几方面,一个方面担心所谓灾难性的,由于某种不可能预见的一些技术故障,或者也许有攻击,导致我们的网络体系出现不可预知的振荡形成风暴。再有就是经常去说的APT的攻击,当然指的是这种技能和深度,作为被攻击者,我们担心什么?担心我们整个IP大架构下,这么大的网络,这么多业务,有没有可能拆我们一根柱子,导致全部塌陷。
谈到现状、挑战和趋势,他进一步分析指出,结构性安全、体系化安全和运营化安全,有首先从三方面看他到底是什么样这样的预设。作为第三方,从保障上来说,基本保障体系都要去了解。业务发展的趋势,包括前面专家也提到了很多发展的方向,服务、云、移动、无线,包括业务范畴的一些意识也越来越多,刚才也谈到威胁和挑战,这种APT蔓延性的危害,安全措施也会产生副作用,都会形成对我们的威胁。
关于第二级体系化防护,他介绍说,风险管理、业务连续与应急、合规管理,这都是我们的一些思路。风险管理,这是我们常见的思路,风险管理体现在结构性和体系化上。我们看这个结构化,其中很多图之前用到过,保障体系有三要素:业务、威胁和保障措施。保障体系,这个东西两边不好画,真正让你把业务的这些结构画出来,其实我们会发现,在画业务结构的时候,我们现在说来说去,主要的画法就是两个,一个是空间结构,空间结构的主要思路,是画出我们网络的业务结构,这是我们很典型的结构性的思想,通过空间结构看它好不好:另一个是层次性的结构,底下是网络通信层,上面是系统层,再上面是业务,从层次上来说是这样的。
谈到威胁,他指出,我们谈到以结构性的方式构建安全保障体系的时候,其实我们只是在自说自话,说我自己的体系,讲我自己的办法怎么样,我也不知道我所保护的业务,这实际上是结构性保护面临的一个很大的问题,只从自己的需要出发去描述,不满足实际的需求。第三级修炼也不是说前面两级就没有用,前面两级也需要提升,到了第三级修炼的时候,存在这些问题,刚才谈到了。想解决这些灾难、威胁的防御、有效性和效率性,谈到的是运营,怎样运营?运营这个词,各人有各人的解释,我的解释:其实运营大家都很习惯,我们习惯说的是保障体系的运营,这么多产品把它运营好,安全制度也好,安全人员培训也好,说来说去,说的是你自己怎么转来转去,安全有三要素,三个方面,不能只转自己的转盘,还要转别的。其中一盘叫做业务安全映像的运营,你运营的,是业务的映像,运行的是业务的投影,了解一下影子是怎么个变化,随时跟着影子的变化去理解,如果出现什么事情该怎么办?这是非常重要的思想。
