ZDNet安全频道直播报道:
赛门铁克于2012年5月9日发布第十七期《赛门铁克互联网安全威胁报告》。
主持人:各位来宾,大家下午好。我是赛门铁克的经理王华,非常大家欢迎大家来参加赛门铁克《第十七期互联网安全威胁报告》。今天发布会,我们介绍ISTR安全威胁报告,在赛门铁克这份报告涵盖了安全行业的各类信息和数据的深度的分析,我们发行目的是向业界广大用户分享关键信息,方便个人用户、企业用户机构和组织更好保护信息和身份的安全。这次发布会非常容幸得到了工业和信息化部信息产业协调司的支持,同时邀请到了业界的人员。首先欢迎国家网络安全信息杜跃进先生,中国信息产业上会,信息商业产会李斌先生。
赛门铁克大中区副总裁吴锡源先生,赛门铁克大中区总监李刚先生,还有卜宪录先生。下面请中国信息产业商会,分会秘书长李斌先生给我们做开场演讲。
李斌:各位朋友,各位来宾下午好。我代表工业和信息化部协调司副司长杨春艳来参加今天的新闻发布会,首先简单介绍一下,我国互联网当前发展情况。互联网以其丰富的内容,广泛的服务和方便的接入已经成为每个人日常生活和工作不可缺少平台和助手。根据中国互联网信息中心发布29次统计报告指出,截止到去年年底,中国网银规模突破5个亿,中国互联网的速度更进一步加快。互联网对人们生活影响越来越深刻。与此同时,互联网在中国发展可以说是机遇与挑战并存,我们要清晰地看到互联网安全问题日益突出,对互联网健康发展带来严峻挑战。网络黑客骗取个人信息等事件时有发生,正如全国其他国家在发展当中遇到的问题。中国网络安全也需要得到社会各方面的高度重视。在此,我就加强网络安全,保护网民个人信息谈几点意见。
第一推荐个人信息保护,2011年是连接人和信息的一年,伴随着信息技术的广泛应用和互联网不断普及,个人信息在社会经济活动中的地位日益凸显,与此同时个人信息泄露和滥用显现突出,给人们的利益带来危害,合理利用和有效保护个人信息已经成为企业、个人和社会各界广泛关注的问题。加大信息保护是各界共同愿望和期待。工业和信息化部自组建以来,十分重视个人信息保护工作。信息安全技术,功用及商业保护指南已编制完全,通过主任办公会审议,按照国家标准的审批上报成国家标准。我们可以看到依标准保护个人信息迈出了坚实的一步。
共享攻坚是和谐社会建设的重要理念,也是和谐网络中必须坚持的重要原则。信息安全是跨部门和跨行业的工程。涉及政府部门,行业组织,企业、应用部门,科研院所等各个方面,需要全社会共同参与和努力。推动和谐网络在共建中共享,在共享中共建。像赛门铁克全球知名的IT厂商,要为企业和用户提供安全和保障。
第三,加强网民的安全意识教育,积极推荐绿色网络环境的发展,全社会应该树立和秉承高度的社会责任感,提高工作安全意识,加强自我保护能力,提供信息安全的新风尚。
女士们、先生们,互联网发展日新月异,共建和谐网络,任重道远,让我们协起手来,营造一个和谐的网络环境。为推动网络繁荣发展和信息化的进程,为建设一个人人受益的信息社会共同努力。
主持人:信息安全关注到每个人,我们想知道一下,去年2011年1月1号到12月31号期间,在互联网安全领域发生了什么事呢?下面请卜宪录介绍一下《第十七期互联网安全威胁报告》。
卜宪录:各位领导,各位媒体朋友大家好。首先我们看一下,我们互联网安全威胁报告跟其他业界的同类报告有什么不同?大家看一下这张图,我们互联网安全威胁报告来自于赛门铁克全球最大职能安全监控的网络,这个网络我们做到了全球覆盖,超过200多个国家,6000多万个传感器,对各种安全攻击进行了检测。在互联网上,基本上超过四分之一的邮件都在赛门铁克的监控之下,超过500万的帐户,超过15个数据中心,24小时在运作。每天的邮件经过赛门铁克监控的超过81亿,对外部网站的访问数量超过40亿,这个数量非常大。
另外赛门铁克也维护了全球最大的漏洞。这里面可能包裹1万5千家供应商,超过4万个产品的漏洞,累计下来的漏洞数量接近5万个。
大家可以看到,我们《第十七期互联网安全威胁报告》内容是非常丰富的,超过50页,我想透过我从当中抓住几组关键数字来帮大家解析一下,在2011年我们看到最重要三个趋势。
第一我们可以看到,从数量来讲,在2011年赛门铁克我们拦截的攻击数量超过55亿。这个数量与我们看到2010年30亿次大幅度上涨81%,这个数字是非常惊人的。我们也看到攻击的变动的数量,从2亿多提升到了4亿,这个数量大幅度上升41%。我们唯一可喜的是,我们可以看到垃圾邮件的数量,有一定程度的下降。一会儿我解析一下这里面原因是什么?大概下降了34%。我们可以看到,整个攻击的趋势总量在提升,范围在扩大,针对性也在加强。
另外,我们看到两个大的趋势。一个就是杨司长讲话也提到信息泄露成为很大的威胁,不管在国内和国外看到很多事件爆发出来。我们也看到在2011年平均每一次数据泄露导致个人身份信息的流失达到了110万次,这个比2010年大幅度提升323%,在2010年具有26万的个人信息在每次信息事件发生,这个数量增长很惊人。
另外我们也看到很大的趋势,移动互联网对我们威胁,我们可以感到在职能公关上的漏洞数量,也是大幅度提升,超过90%。我们看到2010年在智能手机上的漏洞只有163个,在2010年达到315有加速成长的趋势。刚才通过几组关键的数字让大家有个印象。
接下来详细分析,这些数据的背后本质是什么?
首先我们来看一下攻击,刚才提到整体攻击的趋势是总量上升,范围扩大,针对性增强。我们可以看到总量增长达到81%的高成长率。为什么会这样呢?我们分析以下几个方面原因。
首先是变种数量上升,我们从右边可以看到,因为工具包的日渐阻击,成长不断下降,我们攻击者可以很容易拿到攻击的软件包,有针对性制造出各种各样的攻击。右边小图大家可以看到比较流行的软件攻击包,通过这些攻击包制造出不断的变种导致恶意软件的提升。来由一个原因是利用率不断提升,这几个原因加在一起导致恶意软件持续在增加。
大家可以看到恶意软件在排行榜,跟我们刚才结论是一样的,排在前十名的恶意软件的家族,已经达到了45%,充分说明很多攻击变种数量是非常之多的。还有一个原因,可以看到针对网页攻击数量在大幅度上升。
在2011年截止到12月份,尤其是12月份,这个数量达到每个月我们拦截到了9千多次。整体上网页攻击增加的比例达到了36%,我们可以看到恶意的从4万多增长到了5万5千多。
我们可以看一下全球在网站的类别做了一个划分。我们可以看到,以社交媒体,比如说博客,或者是外部的网站。包括一些托管的主机,尤其是虚拟空间,这样一些网站它本身占整个恶意网站的第一。排在第一名的博客占恶意网站的20%比例,这是排在前2名的网站,它们是否认容易遭受到攻击。我想从企业和个户角度来讲,安全意识的薄弱也是其中一个重要原因。
还有我们发现一个新的趋势,与2010年有所不同的,就是社交媒体变成一种新型的传播途径或者是一种新型的威胁的来源。可以看到,我们在这边也做了详细的分析,针对博客媒体的时候,我们看到说威胁数量是很大的,大家看到达到2万多种,这些博客的网站可以用来做攻击,用来做跳板攻击的比例非常高,基本上接近一半。社交媒体有一个很明显的特点就是说,参与的人是非常多的,而且大家彼此之间是一种信任,不管是你的亲朋好友,对彼此之间的信任度很高从而导致攻击更容易得手。
综合以上的原因,我们可以看到,整体上攻击的数量不断上升。刚才也提到一个,可喜的事情就是垃圾邮件的数量大幅度的下降,有34%的下降。我们仔细分析一下这张图,我们可以得出很有意思的结论。大家可以看一下,这张图上,2011年年初的时候,垃圾邮件的数量是很低的,突然之间有一个上升,大概是一倍的上升。后来在4月份的时候又下降了,我们仔细分析一下这个原因,这里面最重要的原因是僵尸网络被关闭所造成的。
根据统计分析,这一个全球最大的僵尸网络带来的垃圾邮件的数量达到40%,也就是100封垃圾邮件里面因为这个僵尸网络造成的,他控制了2500万台计算机,即使在它不太活跃的时候也控制100万台计算机,每天想互联网上大量垃圾邮件推销药品。在各国政府,包括厂商协作之下,彻底关闭了僵尸网络以后,我们看到垃圾邮件的数量大幅度下降,这也给了我们一个启示,信息安全的工作需要政府,有时候需要跨过政府,包括厂商、企业各方各力通力合作,曾经我们一度以为垃圾邮件很难解决,因为每年数量都在增长。可是在2011年通过这样一个通力协作我们取得了很大的成绩,我们相信在其他方面也可以有类似的合作。
另外我们可以看到攻击,针对性的攻击,高级的可持续性的攻击的范围在扩大。一提到高级的针对性攻击,大家联想起来针对核电站,针对关键设施政府进行一些攻击。
大家做一个简单的猜测,命题一就是说,高级持续性的威胁只是针对大型企业、政府和军队。可能这个结果会出乎意料,针对大型企业的攻击占到了整个的50%的比例,但是我们也很惊喜地发现,一些中小企业,250以下的企业,遭受到了攻击也占了50%,就是说它们也变成一个目标。我们深度分析后面原因就发现这些中小企业,是位于整个产业链里面的一环,当大型企业比较难以得手的时候,这些黑客们从大型企业供应商里面入手,作为跳板获取利益的目标。这是我们看到一个范围在不断扩大这样一个趋势。另外我们可以看一下,如果按行业来看的话,我们可以看最大的比例来自于政府,但是其他的行业也占了70%。这跟我们传统的2010年以前的认识稍微有点差别。2010年我看在蔓延。
还有一个很有意思的现象,以前大家觉得企业里面高级管理者,或者从事研发这类职位的部门是比较容易遭到攻击的,因为有知识产权,或者是企业的生产系统,或者是高级的信息。通过我们调查分析,这些人群仍然是攻击的目标,我们可以看一下一些高管,包括我们一些研发的人员,大概占45%。但是同时我们可以看到,一些原来不太重视的职位,一些销售,甚至是助理,甚至一些销售人员,也变成了攻击的目标。后来我们也分析说,这些人跟前面我们讲企业的生态链系统是一样的,他们也被作为一个跳板,获取企业的机密信息。
第二个趋势,在全球数据泄露的数量持续在增加。在2011年总共发现了2.32亿次的身份被泄露,这个数量比以前有大幅度成长,包括每一次信息泄露事件所泄露个人信息的数量,达到110万。我们根据在美国跟英国的调查统计,也推算出来,每一次数据泄露给企业造成直接经济损失有多少?这个数据很惊人,达到550万美金。如果据此推算的话,世界各国损失情况不太一样,如果以这个数据为推算,直接损失超过1000亿美金。这里面还不包含间接损失,对企业声誉或者长线带来一些损失。
这里面有一些信息是讲,信息泄露的时候主要泄露是哪些内容?
我们另外有看到说,在数据泄露的时候,主要的原因是哪些?大家看一看,单纯数据泄露34%是因为你的设备,或者是备份设备,或者是U盘被偷造成。另外还有意外的事件导致了信息泄露的事件。另外大家也可以看到欺诈,等原因。
2011的报告里面,我们把个人身份信息,作为一个单独研究的领域给摘出来,可以看一下。针对个人信息的信息泄露里面比例稍有不同,大部分都是来自于黑客。大家可以看到超过80%。因为数据泄露范围比较广,比如说知识产权,原代码,这些都算数据泄露。我们具体谈到个人身份信息的话,比如说用户名,姓名、信用卡号码、身分证号码等等,这些是黑客的首选目标,因为跟经济利益直接挂钩。我们通过原因分析可以很清晰看到这一点,80%是来自于黑客的攻击。
第三个在2011年是转折点,移动威胁给企业和个人真正造成了实际伤害的一点,所以我们说是一个转折点。整个在智能手机上面,包括IPAD等移动设备为代表,我们传统上总是认为说,漏洞不太多,恶意软件也不太多,问题也不太大,这个数据大家可以很清楚看到,2010年只有163个被发现,但是具体谈到相关恶意软件的家族来看一下。
2010年大概只有六、七个恶意软件家族,但是到了2011年这个数量增长了10倍,我讲家族不是个数,如果说到个数大概是有三千到四千个,所以大家可以看到移动的威胁在加速增长。包括整个智能公关的数量在爆发式成长。这些移动的威胁包含哪些内容?这些黑客攻击你的智能公关以后要什么内容呢?第一部分是追踪智能手机的行为,包括直接牟利的,向外发送一些短信,或者拨打一些电话号码,直接去盈利,还有一些传统威胁,搞破坏用,包括改变机器上的设施,这边我们有详细的分析。
同时我们发现一个问题,移动上的威胁,面临比以前更复杂的局面。以前在PC上那些攻击或者是威胁都可能被复制到移动上,同时这些黑客也在针对移动设备本身特点,再研发一些独特的攻击。两者叠加在一起的时候,我们会发现移动终端面临的威胁有可能超过传统的PC。
这里面我们做了一个调查,因为移动威胁会变成一个大的趋势,我们在美国专门做了一个非常有趣的调查。是什么呢?在美国一些主要大的城市,像纽约、洛杉矶、旧金山做个像蜜罐系统一样的东西,我们专门做了50部手机故意丢在繁华的闹事区,在这个手机上做方针,各种应用,个人信息,文化夹全部放在里面,我们有一个系统去看,这个手机丢失以后捡到他的人会怎么处理?由此我们可以来做借鉴和分析,我们在移动领域里面受到威胁是什么?只有50%的人捡到手机以后尝试归还给失主,我想不同国家和地区是不一样的。第二点,我们也看到,有96%的人都尝试去查看这个手机里面的资料,去使用手机的应用,不管是个人应用和手机应用,都尝试在上面搭建对自己有利的东西。当你的手机移动设备丢弃的时候基本上很难幸免。里面的信息会被人察看。
由于时间关系,我就简单说到这儿,这儿有一些资料供大家去更深入地了解。
主持人:下面是对话互动环节。现在请杜跃进和李斌到台上就坐。我们把时间交给本次对话环节主持人,赛门铁克技术总监李刚先生。
李刚:我们这个对话环节大概半个小时,我们特意请了行业里面两位专家跟我们一起分享。我们对话题目是跟现在网络安全热点问题相关的。讲信息的泄露,大家可以看到,如果在移动设备丢掉的话在美国统计是96%的可能你的信息会被别人访问不管你愿意还是不愿意。除了这个还会登录到企业去看应用。现在很多问题都会关于数据泄露的问题,现在在我们谈安全的时候一个特别大家关注的问题。我想这个话题有关于信息泄露,不管是说无意识的泄露还是刚才我们谈到的有意识的,有网络恶意行为所窃取的行为。
杜跃进:大家都知道这个事情是因为近年一些大网站用户数据泄露,这种威胁并不是大家知道才发生的,在过去很多年,就有很多人在有意识在窃取大型网站的黑客应用。中国老百姓现在知道这个事是因为这件事情被捅到公共互联网上,一个坏事变成一个好事,无论是咱们用户还是大的网站,甚至是包括政府部门都开始对这个事情比以前重视程度高很多。并且采取了很多措施,把情况变的更好一些,包括政府也来对大型网站安全防护提供具体要求,所以整个状况是这样的。
李刚:杜总给大家揭露了一个事实信息泄露的问题并不是现在才发生的,实际上已经持续很长时间了,这是整个网络攻击环节的目的和手段。杜总刚才提到一点我觉得特别好,不管怎么说这个事件引起了政府的注意。下面请问李秘书长,我们知道至少开始国家政府提出了一个个人信息保护指南,它是一个起步,从个人信息来说是一个起步。我想您就这个问题,谈谈您的看法,这个政府介入以后,对整个事情有什么样的帮助?对整个产业链的发展有什么影响?
李斌:我想谈个人信息保护指南,之前还有一个背景,09年我们国家在刑法信息案里面已经提出针对个人信息暴取牟利,再产生移动影响的时候这样的后果是要追究责任的。这个个陈信息保护指南是一个推荐性的标准,更多看到是对法律的补充,强调是行业自律。政府介入,或者以标准形式介入之后的话,对我们产业链的影响的话,大概是把企业分成两类,一类是我们提供服务营运商而言的话,它在提供IT服务的时候,应该被更多的重视,对于个人信息的保护。刚才杜总介绍我们国家去年年底的黑客攻击,还有一个是索尼上亿的用户数据,以及上千万的帐户信息泄露,给索尼公司带来损失是上十亿美元,现在很多官司在打呢。
第二个是对公司产品的服务,这个指南是开引了一个新的需求市场。各个企业会把更多资源和注意力放在对个人用户的保护上面,这个对于我们个人用户的合法权益的保护来说是一个福音。
李刚:感谢李秘书长,您刚才讲了两点特别重要。我先说第二点,尽管对企业来说有一个市场。里面更重要一点是很多安全保护措施的采纳和使用往往是被动的,出了事情才想到去补救。政府介入有很大好处就是说,给我们很多企业一个警醒。或者国家对企业一个要求,要求企业把事情做到前面,不是说真正出了事了,造成损失了打官司了才会想到解决问题。这一点很重要。下面我想就这个话题,问一下卜宪录,如果是赛门铁克来说的话,我想说两个问题,我想问一下从国外来看的话,全球视角来看的话,信息泄露的问题是怎么样的?第二个问题,在中国可以说在2年前中国就开始大力推动信息泄露防护这样一种理念,显然已经有一些经验,尤其是积累过的经验,我想这方面怎么来跟大家分享?
卜宪录:互联网安全威胁报告里面,2010年定位成信息泄露的一年,刚才两位两总也提到国内外有很多事件被爆发出来,现在这种情况愈演愈烈,这个原因是什么呢?经济利益的驱动。第二个我们看到是说移动,智能终端包括互联网应用普及和应用。第三个像云计算,虚拟化,给数据泄露带来新的威胁和新的不确定性,这个让我们很担心。包括刚才也提到了,社交媒体的日益普及,也给信息泄露带来新的风险,综合以上的原因,我们看全球的趋势就愈演愈烈。刚才也提到国内大概三四年以前,开始推广和普及防信息泄露的一些解决方案,就像我刚才在报告里面提到了,我们还是认为信息防泄露是一个系统工程。最重要我们觉得是国家政府行业主管机关能够出台一些法案法规作为我们的一个最强有力的支撑。对于严重的信息泄露而言,单纯的产品和技术很难完全解决的。
我们也很高兴刑法修正案,信息保护指南已经陆续出台,国家对这个方面很重视。另外从企业来看,还是从品牌保护来看,都有必要加强对信息泄露的防护。你的敏感信息散布在哪里?这些敏感信息怎么样使用?应该采取什么样手段?对它进行保护?这个对每个企业都是一个挑战。在过去三四年在国内,电信、金融高新指导行业我们做了一些方案,第三个个人用户也需要加强意识,提高风险意识,不管是移动,还是办公网络。我们建议在重要的应用上,比如说网民在网上进行交易的时候,或者是购物的时候,你要考虑更安全的网站,要采取一些强身份认证的。有一些网站要存放密码,这让我们很担心。
第四个方面从厂商跟我们整个信息安全产业里,各个环节来讲,我们可能也要与时俱进,面对新的形势下,我们要提出新的方案作为信息支撑。
李刚:刚才我们三位专家谈到信息泄露的时候都谈到一点就是新的挑战,就是加大一些新的挑战。我们企业你是否知道你的敏感度在什么地方?这个问题现在问起来更难了,因为什么呢?这是一个新的趋势,移动计算进入企业的时候,我相信企业的IT管理人员,信息安全负责人员更有问题就是我们敏感信息在哪儿?这是一个更大的问题,这个信息怎么传送?通过中国移动无线网传送呢?还是通过联通网传送呢?这个现象我们在2012年信息大会上,我们CEO在主持演讲的时候讲了一个概念是数据连通带,现在企业有大量员工进入到企业内部,伴随互联网应用成长的这一代员工,这一代员工是完全伴随互联网长大的,还是说游戏,还是涉及到工作。他们要求企业提供他们能够适应他们的工作生活方式,这样一种企业信息服务。也就是说,这时候企业不得不向他们敞开大门。就是所谓我们这个非业务应用的移动设备,包括私人的平板电脑,私人的智能终端手机代入企业的核心工作,这样说的话,听起来有点吓人。我想问一下杜总您怎么看企业安全的挑战?
杜跃进:我也是在IC大会上看到他们在讨论这个问题,国内现在也有很多人在讨论这件事情,已经引起一些人共识。我觉得讨论这个是很好的尽管以前我们没有意识到,但是这个是现实,别说是下一代数字衍生代的这些,包括像我们这一代现在很多时候已经离不开现在的这种工作方式了,我们会有很多种方式,很多种圈子。这种圈子都是在在线这样状况下,很多人包括一些同事,都是直接利用手机开邮箱等等,已经分不清楚界限在哪里?以前一种观念就是说我画一个圈,我把重要的东西保护在里面就可以了,现在这个圈在哪里?确实不是以前的概念了。
对于我们来说,确实要正式这个问题,确实要想面对这样情况下,这种安全数据泄露防护应该怎么做?但是对于具体做法上面我觉得还需要进行积极探索,我自己接触的时间比较短,没有特别清晰的概念。比较好的就是国内的安全界已经开始重视这个问题,都在研究这个事情,我相信也会有创新的想法和实践出来。
李刚:看来这个问题,确实属于比较前沿的问题,杜总都在研究了。杜总刚才说很重要一个观念就是说,移动计算打破了边界。就这个话题我们干脆打破边界,问一下李总,我们打破边界移动安全对整个产业链来说,我们不仅站在用户的角度,也不仅站在厂商的角度,也不仅站在政府的角度,从哪个地方着手更容易突破?
李斌:这个问题更大,因为移动产业链非常长,它的安全问题的话,我们有句老话是,我小时在铁道边长大的,上中下游段段都要安全。还有大禹治水的时候,也是上游的洪水不把它分线的话,下游一定会遭殃。我想造微移动安全产业链里面,应该是要把它自己的系统安全保障好,否则的话数据存在这儿,或者是数据的生存,存储或者是传输都是一个问题。另外一块就是移动设备的传输上,就是要提供比较少安全漏洞的产品或者是应用。对于用户而言的话,他也要有个安全意识,不能把自己的敏感信息随意存放,对于安全服务商和产品商的话,在专用的方面,以及技术和一些服务,来保证上中下游各环节安全的无缝隙衔接,这样的话众人拾柴火焰高,才能把安全问题做好。
李刚:已经回答很全面,就是每个环节都已经照顾到了。这个问题我想问一下卜宪录,我们从国外的案例来看,从北美地区,因为北美地区走的稍微快一点,已经把企业的核心应用加载到了员工自带设备的环境下。这方面您有什么经验给大家分享?或者是有最佳案例?
卜宪录:实际上我们赛门铁克在2012年年初的时候也发布了一个移动应用调查,这个调查显示,有71%的企业在考虑实施移动应用,有三分之一的企业已经开始部署移动应用。我们注意的现象是什么呢?移动应用是一个趋势的现象。我们看到任何一个威胁在传统计算机领域里面,有三个基本条件,第一要有这样一个平台,要有它生存的土壤,第二要有动机,第三要有享用工具进行配合。移动威胁它的平台和土壤是什么?我们看到像安卓这样很开放性的系统在出现,再增加了灵活性的威胁给我们带来新的威胁和挑战。动机是什么呢?直接的经济利益驱动在今天比以前更加明显。第三就是软件工具包,不断推出来以后,使犯罪的成本不断降低,我们看到移动威胁是非常明显的趋势。从北美一些案例,和赛门铁克解决方案角度来看。我们建议用户从以下几个层面考虑,做一个全面的通盘考虑,不是说出现什么事考虑什么事。
第一做好移动设备本身管理的基础安全工作,一个管理良好的设备才有可能是一个安全的设备,移动设备管理是一个基础,在基础之上我们才能做安全的管理。就是防病毒,防火墙。三控我们说,网络一些主流控制,外设的控制,应用程序的控制。人跟信息互动的话,还要加上一个很重要的是别人的基本信息。第二个层面就是我们保护的不是移动设备本身,重要的是里面信息的内容,内容识别的一些技术来帮你去看?移动终端告诉你哪些信息是敏感?要加以特别注意。移动终端好的应用本身的安全性,包括它的管理,怎么进行安全的分装?甚至是员工离职以后,哪些应用是属于个人?信息是属于个人的?属于公司的数据公司要把它擦除掉,属于个人的公司不能动。我们把这个范畴扩展一下扩展到云,跟云结合的时候,移动终端跟云应用的时候,这里面安全问题怎么处理?这里面要从四个层面企业要有一个通盘的考虑。
李刚:听起来,移动安全确实是一个安全领域新的话题。移动计算引用企业核心应用以后,这里面谈到就是根本打破边界,不管是打破顾虑的边界。以前没有人担心有贼,现在可以说我们随时把手机落在出租车上。以前至少是通过人工的网络在访问企业。第三个信息的边界,个人信息和企业的信息是联结在一起。接下来我们讨论一个重要话题就是云,云把很多边界都擦除掉了,在开会的时候,曾经跟同事聊天说,云的到来,已经贴近我们身边了,躲都躲不开了。在美国有很重要做协同工作的云终端这样一个信息。有同事去协同工作,大家发现很多同事,尤其是CIT的同事,很轻易就把企业内部敏感信息全部扔到上面了,不加思索,他平常在学校就这样用的,在企业也这样去用。所以说云时代的到来,带来另外一层的考虑。请杜总给大家谈谈云安全,就是云时代到来对企业安全的挑战。
杜跃进:在中国很多企业担心自己的信息放在公共云上面,是不是被别人非法访问,或者是对自己企业的信息给偷走,各种各样的顾虑。这个是比较普遍的现象,我个人也一直认为,发展云这个是非常的障碍。其实在业界里面,包括刚才也提到政府这边也看到这个问题,也在想各种各样的办法,来减少企业对这方面顾虑,包括一些技术上的,包括一些标准上的,也在往前推进。对于有一些中小企业来说可能让他们意识到因为这个期间本身比较高级的对话,对人员的进入水平要求很高,对比较小一些企业来说,很难说有足够多的专业人才来保护自己的安全。
我记得在2003年的时候互联网泡沫型发展的时候,所谓世纪精英在中国还有一个很大的发布会,当时我问你们有多少安全人员?他说像我这样一个安全人员就我一个,养不起那么多人,更别说是小公司了。只靠自己是无法保证安全的,某种程度上,把自己的IT放在更好安全保障的下面实际上是可以提升自己的安全的,这个意识需要一段时间让各个企业认识到这一点。但一个前提是我们要加强对云服务提供商的监管,让它确实不会做出违反用户利益这样一个事情。就好像说的第一个话题,用户把它的信息放在你网站上,你要对他的信息负责任。
对于政府来说要做另外一个事,对云计算大范围应用提供一个更好的生态环境,包括整个社会构建一个互相信任的一个系统,对于各种违反信誉体系,或者说信誉架构的一些东西,要有一系列的监督和复杂的机制,才使得用户用得到放心,如果这三个方面都做到的话,是比较好的。也会对个人和企业的利益有保障,继而对每个用户的安全有一个提升。
李刚:杜总的观点我认为是很重要一个观点,而且是平常我们在讨论安全的时候不太会听到的观点。这个也应征了刚才我们在跟大家介绍安全报告的时候,提到一个观点,它的对象并不是大型的知名的企业,我看到有很多是很小的企业。这个给大家一个启示,真正互联网的威胁,不仅仅是大的企业,而且还针对中小企业。我完全同意杜总的观点,一个中小企业在安全方面的投入,经验的积累水平肯定是不如一个计算服务经营商这么大,理论上讲云计算带给企业可能并不是一个不安全的环境,而是一个更安全的环境。我很同意杜总的观点。第二个观点我觉得很重要一点就是信任,大家是不是真正的信任?这里面起到一个很大的作用,因为政府可以通过比如说法规,包括一些检查、审查来去给整个广大的消费者也好,或者是企业用户也好一个承诺和标准,我们的服务实际上是符合安全标准的。这方面我想请李总给大家谈一下中国政府有没有什么进展?能够促进云计算的发展。
李斌:这个本身在信息技术委员会和信息安全委员会里面都分别对云计算和云安全做了研究,其中云计算的相关标准正在研究,云安全是一个预演项目,是在前期的研究。标准有采标,国际上有成熟的标准,又可以适合中国国情,我们完全把它转换成利益我们国家标准。第二个修改标准,如果这些标准不符合中国的实际情况的话,把这个国际标准进行适当修改进行采用。第三个是制定标准,国际上没有成熟标准的话,几个专家就制定标准。
前面说的云计算的标准的话,至于说哪种形式的话?明年可能会知晓。
第二个对云服务这样一个特殊比较重要一个服务,涉及到千家万户的数据安全。国家有一定服务资质这样一个手段,只是单对云安全目前还没有。我们从产业角度来说的话,也希望国家有相应这种标准,或者第三方核定质量和能力,为用户提供放心服务这样一个资格认定。
李刚:我们谢谢李总,我们在云安全推动上面有一个至关重要的作用,通过制定标准来建立信任。除此以外我们想做的就是说,事实上每一个人,包括我们在座的业内专家,包括厂商,包括用户包括媒体朋友们,我们都可以做自己的事情,来推动中国建立云计算的信息。这一点问一下卜宪录,我们在云安全方面有什么样的观察?或者是有什么经验,给大家做一个分享。
卜宪录:赛门铁克在2011年还做一个调查,我们认为在云安全,尤其是公共云和混合云里面安全和法律遵从是客户最担心的两个问题,所以说在云里面,安全是非常重要一个话题,所以在谈这个话题的时候,刚才几位讲到了非常相关的,一个是说谈云本身的安全保护。因为云把所有的边界传统安全边界都打散了,所以我们要用云的方法去解决安全。赛门铁克在今年2月份发布了一个解决方案,对企业来讲都是一个很有效的一个保护。另外一块也提到中小企业,对于中小企业来讲安全云的应用,对中小企业来讲是更好的选择,赛门铁克已经提供了16种不同类型的云的应用,可以帮助中小企业来提升总体安全水平。
李刚:这个观点也很新颖,我们讲的云中云,用云的方式来保护云,今天因为时间关系。关于数据防泄露,讨论了移动计算进入企业以后带来的挑战,还有关于云进入企业以后带来的挑战。这三个话题其实可以做半天的讨论,我们只是把这个话题引开。下面还有很多机会给媒体朋友做进一步讨论。谢谢各位。
主持人:请吴锡源为我们做最后的总结和展望。
吴锡源:副总,各位记者朋友们大家下午好,我知道大家都累了,我做一个很简单的总结,通过刚才四位专家的交流,还有卜宪录的报告,大家都很清楚,我对2012年的展望做一个总结。第一个总结,大家知道BYOD,谁知道苹果现在是潮流,我们的手机基本上人人都有,我现在看邮件,我用手机看邮件,比用我的笔记本看邮件时间还多,我用80%的时间用手机收、回复邮件,这个电话是在最近一年买的,一年多以前我99%都是用笔记本,我问其他人,甚至最大的经销商的老总,都说我现在不用笔记本了,他用Ipad,我说你怎么那么潇洒怎么不带笔记本,他带的是Ipad来开会,因为他把所有的信息都存在Ipad,刚才讲了不管90年代还是80年代,越来越的人进到这个职场来,过去的Device都是根据客户,现在都是自己的,这是一个趋势,带来的好处就是,你会更热情你的工作,你用你喜欢的方式来工作,提高工作效率。但是这该怎么管理,这是很大的挑战,所以Device这个趋势带来更大的信息安全威胁。请问在座,我是私人邮件,不要发到我公司的信箱来,不是,你是公私合在一起的,这个对越来越多的企业,挑战越来越大。因为你没有办法管制、没有办法管理,因为你分不清楚。这是一个很大的趋势,但是一样带来很大的信息安全威胁。
第二,云的问题要通过云的方式来解决,未来趋势用全新的安全的机制,我们现在风涌云起,我认为未来几年,很多的政府机构还有很多的中小企业不会再养人,因为没有必要,去买一些安全的软件,他会把这个安全外包,通过云方式,去进行云服务,这绝对是个趋势,会有多快,不知道,但一定会到来。刚才杜总解说了,我们有一个大客户,这么大一个企业,我问他的CEO,你们的公司认为有多少安全的专家,各位猜,这么大的企业,不到三个,在国字辈里面是算前十的,所有的都依赖厂商,这对我们来讲是一个机遇也是一个挑战,大型企业是这样,不要讲中小型企业了,更是这样了。我们通过云方式提供服务,刚才还在讨论,云计算到底是更安全还是更不安全,这是非常值得探讨的问题,也许从某个角度来讲,会更安全,因为我依赖云服务提供商提供给我,更不安全的是什么,我们没有,更会迫使IT部门适应并挖掘更新的方法保护企业系统与信息资产的安全。我们现在的报销也是云,还有很多,还有营销系统也是云,但是这么多的云都是不同的,不同的云。所以,你们需要全新的云安全机制管控。
第三,全价值链的安全。现在都是产业链,你要么通过云的方式,通过网络跟你的客户联系,提供服务,你的供应商要不要,你的外包商要不要,你的经销商更要,我自己保护好了,我攻不下你的老板,我攻你的秘书,所以全价值链的安全很重要,任何一个安全都是环环相扣的,网络是没有分界的。第一大国家是中国,第二大国家是印度,第三大人口的国家是谁?facebook,全世界三大人口国家,第三个是谁?大家都想不起来,就是facebook,因为它没有分界啊。
第四,很重要的,全面的安全防护。安全绝对不是一个简单的防病毒,国内有很多人误解,整个飞机上三个半小时,我都在谈我们和360绝不一样,安全绝不是防病毒,我就开始给他讲,讲到准入,讲到主机安全审计,到加密,到认证,到授权,到数据中心的优化、虚拟化,整个介绍一次,落地了三个小时过去了,他说这么多东西,我说对,不是只是防病毒,那只是很小很小的一部分。所以现在讲安全,是全面的安全,绝对不是指局部的安全,这也是一个趋势,安全的企业,这个行业的希望在哪儿,希望透过云服务全面的方式,提供给我们大企业、中小企业全面的保护。
所以展望2012,第一BYOD,第二,全新的云安全机制,第三全价值链的安全,第四,全面的安全防护。
谢谢大家。
主持人:谢谢吴总,今天最后的环节有一个提问的机会。
主持人:谢谢吴总,今天最后的环节有一个提问的机会。请提问的媒体先介绍一下自己。
商业伙伴张戈:我有两个问题,第一个问题我们通常把使臣分为企业级市场和个人市场,但是现在赛门铁克的已经把这种界线完全打破了,我想问一下,切入这个市场后,是想从企业市场发力,还是从个人市场发力。第二个问题,就是吴总你提到了,未来企业不必去养安全的工程师,可以购买安全的云服务,是主要的模式,那么赛门铁克是不是也会随之变化?
吴锡源:我回答你第一个问题,我个人预测,我做个人安全市场,一定会走向市场,因为它已经被破坏了,已经无利可图,到小型企业,到中性企业,这需要一个过渡。中型企业要求更大了,要求稳定,否则本身就不安全,所以做企业一样,个人也会关注,但是回转性,以服务方式来做,赛门铁克本身,我们也是,连带回答你第二个问题,我们目前大家都是买软件,但是未来你知道,重要的是我们的客户要什么,要解决什么问题。像我们的备份机、一体机。所以赛门铁克本身商业模式的改变,那么我们经销商做什么,经销商很重要,在这个云服务架构里面扮演很重要的角色,第一要了解客户的需求,这个需求需要什么样的云服务帮他解决需求,这种云服务可能是一种、两种甚至是多种的组合拳,这是第一点。第二但,他要帮客户把云服务用起来,所以培训很重要,培训他们把不同的云服务用起来,所以以前经销商是产品的整合,未来经销商是服务的整合,关注点就是怎么样来帮助客户解决问题。
《中国青年报》记者:我来自《中国青年报》,作为安全的通盘考虑,分为四个层次,这之间是怎么体现的?把这个应用怎么推导客户移动终端上,很强调这个安全性,怎么去跟这样的厂商,还是应该跟做移动硬件的厂商你们怎么做?
卜宪录:第一就是讲到移动终端,从整体从客户的角度去考虑,我们传统做安全的解决方案,所以在移动设备方面,我们已经有现成的产品在。第一个层面我们的设备是完备的,第二个层面,我们发布了针对移动终端的解决方案,就是你的Ipad也可以透过我的DRP进行检测,第三个,应用本身的安全,我们收购了另外一家公司,它是专门来解决这个问题。所以这几个层面,我们都是在透过自主的研发,包括我们最近的收购动作,去解决客户的问题。第二个问题,我们赛门铁克我们不单纯从应用角度来看,我们从基础的设备层的安全,到信息内容的安全,再到应用的安全,再到更往上终端跟云的交互的安全,既所有的层面我们作为一个整体来看,我们并不是在一个特定的领域里面。李总来说一下。
李刚:我稍微补充一下,刚才卜宪录说得很清楚了。大家知道安全在整个的IT站里面,单独的一个技术体系,这也是安全本身的特点,安全是为了去弥补和防护整个IT站里面的,不管你用什么技术都存在的漏洞,从流程一直到你的物理结构。第二个安全需要统一的视角,有一个切入点的。我们需要用统一的视角作出分析,所以从这点来看,无论和任何一个厂商的配合,它用于是独立于其他的IT站的技术领域。
我有一个问题,想问一下两位做技术的,就是刚才几位专家谈的比较多的BYOD的问题,我想请专家对企业安全角度来看,企业怎样去保证它的IT系统的安全。
李刚:就是BYOD对企业安全来说是很大的挑战,刚才我们在对话环节里面提了一些想法,BYOD最大的问题就是打破了企业对安全的假设,有这么几个假设,比如第一,企业认为用户使用的资产归企业所有,所以他们拥有对它的管理、方法,这个假设就打破了,其实不一定用的是企业自身的方法和手段。第二个打破的就是,我们原来认为的一些企业访问信息的时候有一个很好的控制,现在这对企业来说是一个很大的挑战。这个挑战对于企业IT管理挑战非常大,第三个挑战,就是信息的混杂,这个混杂比以前更加有威胁性,以前的用户顶多是把企业的PC带到家里来做一些私人的事情,但是不管怎么说,这种还是很单纯的,但是用了云计算之外,可以随时在外部的移动场所,比如在机场,你会打开无线网去搜寻无线网络,你会发现经常有一些没有必要的网络,你就挺担心的,所以这些挑战,都是对企业IT来说,最重要的一点,就是他原来对企业安全信息管理的假设都打破了,所以这方面挑战非常大的。
卜宪录:刚才李总讲得很清楚,我补充一个具体的应用场景,大家更容易理解,大家想想,一个保险公司有几千、几万的保险业务员,我调查国内大部分的保险公司,给员工补贴,让用工自己去买移动终端来进行保单最后处理的工作,最主要的问题就是公私如何分开,你个人的数据应用和公司的数据应用怎样分开,这个产权是属于个人的,但是这是公司补贴的,是拿给你做工作的。这种问题的挑战还有很多,刚才我举的就是一个例子,很简单,这个员工要离职了,怎么样把设备商应用的舍车,跟公司相关的全部收回来,而且员工还不会有意见,这个需要技术支撑和手段来解决。
吴锡源:我也有点看法,这个问题提得非常好。我曾经问过一个大的IT业老总,你为什么要补贴,我跟员工签个合约,这东西是你的,但是公司有权利去审计,随时可以去查,第二你离职的时候,公私要查完之后,你才能拿走,也就是说你个人信息带走,公司的留下来,所以除了技术之外,很重要的是你要有管理的手段,保障你信息的安全,三分技术,七分管理。
主持人:下一个。
记者:在2012年之前的时候,IC的总裁提出了一个高级网络威胁的概念,他认为现在的威胁,攻击更复杂了,他觉得这个时代已经到来了,三位专家,是否同意他的观点,另外,咱们怎么应对更复杂的,以前我进攻的时候,不加密了,现在我还在加密的数据中隐藏着别的,你可能都抓不到我的LOGO。
卜宪录:攻击总量在上升,我们每天可以监控到94起,所以我们觉得这是很明显的趋势,那么赛门铁克给我们的建议是什么,是一个链条,我们建议用一个体系化的手段,信息内容的安全,到上面安全体系的建设,再到上面是安全治理的建设,所以这是一个完整化的体系,跟与之相关的第三方建设。发现它有一个难度,刚才举的例子,僵尸网络靠单纯的手段都没有办法破解,所以要综合手段去解决问题。
记者:我想问一下,刚才各位老总说了很多在企业防护方面的措施,在个人方面,具体有哪些好的建议,做到更多的去防范这方面的威胁,谢谢。
卜宪录:刚才我们也提到了,安全防护需要政府、企业、个人大家一起来努力、配合。作为个人来讲,我们每个人也都是个体,最简单,三思后行,当你在社交媒体上,去跟你的亲朋好友沟通的时候,当它推荐给你链接的时候,要小心,你是信任这个人,但他给你的内容并不可信,在商场买东西的时候,刷信用卡的时候,你要特别小心,输入密码后面的验证码,很多网站是钓鱼网站和假冒网站,就是可以帮你验证哪些网站是真的网站。你网上交易,个人的习惯,丢失移动设备,丢失U盘,或者别人用你的U盘,你就给了别人了,人家一打开,里面很多你的个人信息,人家可能一块拷走了,这是你主动送上门的,所以我们一定要三思而后行。
吴锡源:我非常赞成卜宪录的说法,就认这个标志,有这个标志(赛门铁克)你就进入,没有这个标志你就不要进入了。
卜宪录:这个是赛门铁克前的标志,这是默认的标准,70%的大的网站和交易都是靠这个来保护的,所以刚才吴总说的一点都不夸张。
吴锡源:对,我们给终端用户区确认这个是“张三”,再给企业认证这是真的网站,我们每天都在做这种事情,大家猜一下。5亿,一天的盖章是5亿次,一天,所以我讲得一点都不夸张,前面这个认证绝对安全,不止那个网站是负责任的,也是赛门铁克负责任的。
记者:信息软件杂志社的记者,您对于安全市场的预见,是完全外包会成为新的趋势,这个话题是很好的一个话题,就这个话题我想问两个问题,在国内的商用市场,如果走安全外包路的话,我们个人监管的发展在国内很慢,如果商用的话,你有什么建议,第二个问题,如果走安全外包的话,对架构会不会带来新的改变?谢谢。
吴锡源:安全是一个博弈的过程,依赖的不只是技术,毕竟是人,所以,第一技术做基础,你要有套完整的管理机制,另外很重要的就是靠宣传,要培训,否则没有办法落地,因为信息安全不止IT行业,是所有运用IT的行业,运用IT的所有人。
第二,一定要用法律当后腿,因为现在信息安全的犯罪是为了钱,有经济利益在里面,所以这个处罚要很重,如果法律跟不上那就乱套了,所以对于监管部门,一定要加强这方面的法律。
第三,打比方,你过去是当官的,你现在是做服务的,从云来讲,很多管理的东西不是你所拥有的,你现在管网络,上面不是你的员工,远多于你的员工,你的供应商、外包商、客户,这些都不听你的话,为什么?因为不是你的员工,这很重要。设备也是别人的,还有你很多时候都靠别人,你很多都靠云服务,我的销售管理也是云服务,我的报销也是云服务,所以整个都是别人的,这样对IT部门挑战很大,人也不是我的,设备也不是我的,服务也不是我的,但是我必须扮演一个,提供一个平台,提供一个游戏规则,在这里面,提供用户支撑,提高工作效率,第三要能够控制,要能够减低风险,IT部门跟以前不一样了,你以前是当官,现在不一样,现在是服务,所以你一定要懂业务,才能够选择云,因为很多云。IT部门要扮演一个很好的沟通者,很善于沟通,还有协调者,还有一个词就是十能者,就是把这些所有都能调节好,都能联系在一起。
记者:企业用户都在运用云服务的时候,都会有一个转变,这是一个漫长的过程,目前我们2012年,我们有哪些新的渠道或者激励的计划。谢谢。
吴锡源:我想从渠道来看的话,最大不同就是,我们把渠道部门和中小企业部门整合在一块,这一块来讲的话,我们赛门铁克希望所寄,就是希望大力发展我们中小企业的市场,所以表示说我们对中小企业的重视。
第二,我们把中国市场假如切成两部分的话,一个是客户导向,客户作主体,就是客户来引导,基本上针对客户多对一,满足客户的需求。另外,我们来引导这个市场,我们渠道部门和中小企业部门整合在一起,希望能够分不同的解决方案,就是不同产品不同解决方案,不同的行业,甚至不同的区域去发展,因为某个区域行业着重点不一样,机会也不一样,所以这就是激励计划最大的差别。另外还有很多了,在这里就不多做解释了。
主持人:谢谢吴总,谢谢各位领导,我看大家也很积极,很感兴趣,谢谢大家的参与,今天的发布会到此圆满结束。