“第八届中国信息安全大会”于2007年4月18日在北京新世纪日航饭店隆重举行。本次大会以“和谐网络&应用安全”为主题,并组织了四场分论坛,主题分别为“安全网络&绿色上网”、“特色产品&行业应用”、“信息安全管理&合规性”以及“业务协同下的应急管理”,以下是本次大会的精彩演讲之一
徐为群:各位中国的朋友大家好,我来自于新加坡。我们所从事的业务就是MSS业务,首先跟大家分享一下MSS在海外的趋势与挑战,首先借这个时间来介绍一下本公司的背景。我们是在2000年成立的,成立的时候是以MSS(安全监控服务)为主,新加坡Cisco Security为最大股东,。目前我们的安全监控中心位于新加坡、香港、马来西亚及泰国,子公司分布于中国(北京誉科普信安),在印尼、印度都有自己的办事处。我们也和其它一些国家有合作伙伴,比如在日本和日本三井和印尼的一些厂家共同建立了安全监控中心来从事安全监控的服务。我们目前也是FROST的主要成员之一,目前有180个会员,我们e-cop也是这180个成员之一。目前在亚太区除了e-cop之外没有人运作超过4间安全监控中心的。当时我们也是在这个区域上三家获得ISO,现在已经转换成ISO27001了,我们也是第一家拿到这个认证的公司。刚刚所说的在世界响应安全团队论坛,所以说我们所获得的一些信息也是非常准确、可靠的。我们也帮新加坡成立了政府的安全监控中心。
为什么需要7×24安全监控呢?最主要是因为在一个情况下,我们的网络在任何时间下都是上网,但是我们的工作时间一般都是朝九晚五,我们是否在这些空余的时间里都防范的比较好呢。今天我所说的是如何把你的安全设备发挥到极致。如果你没有做很好的安全防御的时候,我们经常会碰到意想不到的事件,但在你有非常严密的防范的情况下你的安全确实是有很好保障的。在电子政务方面我们是需要跟客户、跟员工、跟我们的合作伙伴保持联系,而且内部系统也包括你的E-mail、数据库以及其它的服务数据,所以整个系统是联在一起的,而且也要使你整套系统使我们的员工、合作伙伴、客户联系在一起,在这种情况下我们就面临很多的问题,比如一些病毒、垃圾邮件和木马程序,这些威胁是不可避免的,根据这些威胁很多公司也大量采纳了很多的安全设备、产品,比如说防病毒软件、防火墙等等,如果没有这些基本东西你的安全是无法得到保障的,但上了这些之后我们是否达到了百分之百的安全防御呢?相信大家心中都有数,这也是大家共同面对的一个问题。
何谓MSS呢?其实这个概念已经炒了很久,在香港、新加坡、马来西亚至少有4、5年的光景,在国内似乎也提过,但还是很模糊,不知不觉也有公司步入MSS方向了。第一个就是系统的维护跟支持,一般公司都会把服务和支持给合作伙伴。新马港对于安全管理的外包还是不能苟同,不像欧美国家已经在很多天前就已经把设备、管理外包了,可能是我们的思想还比较保守,在安全、设备的管理方面也是做不起来,因为还是不能苟同。今天我所要说的是安全设备的监控、日志分析、事件处理和响应,MSS的范围是很广的,我们在这个区域所做的就是安全事件的监控。
首先我做一个简单的类推,在网络世界里面我们都有防火墙,放火墙是每一家公司最基本的保护设备,在我们的环境里防火墙就像我们的门禁,这是最基本的。但基本之外我们发觉有了门禁还不够,因为客户进来本来说去4层,但却去了15层,所以OFFICE都会装上监控,网络上也就是IDS或IDP,有了监控之后如果没有人监控的话功能也就白费了,所以在外面在无时无刻的监控你的设备,那么在网络上怎么监控呢?所以7×24的监控服务主要还是针对几个问题,然后将不同的防火墙、IDS日志通过互联网传送到内部安全中心,当然这些数据都是经过加密的,你想到最主要的还是攻击的目标和种类,这些都不是公司一级的机密,这些只是安全的日志,将这些安全日志交给第三方帮你做事,基本上你会达到一个效果。当某种事情发生之后你的监控中心马上就会采取一些措施,比如把黑客跟踪、扫描,然后反监控给出一个报表。这些安全日志通常都是自己防火墙发布出来而且是可控的。第二,在整个过程中不包含任何的代理,因为在外包的过程中外包监控公司告诉你说放一个其它的东西在你的地域你也会有疑问,这是不是一个有害的,所以不会放任何的代理,一定要通过加密的互联网发送过来。
趋势,大家知道黑客的招式层出不穷,国内目前也在组建一些安全监控管理平台。更多政府衬里CERT及国家级SOC来抗衡网络犯罪。高层领导、董事局更加是信息安全并认可它是企业风险管理的一环。所以在某种程度上你想在安全方面投入我想难度不会很大。新港、新加坡政府早在2003年已将安全监控外包,香港、新加坡、马来西亚90%的金融业已作在2002年将安全监控外包。
信息安全已经成为电子化的一个主轴,大型企业更是不可欠缺的。安全产品、方案已无法百分之百达到防御功能。为什么需要外包呢?目前很多公司都是朝九晚五的工作制度,五天制、朝九晚五的工作时间如何抗衡黑客、病毒和7×24的攻击呢?大部分公司的业务已经开始电子化了。日志是海量的,诸位安全专家我相信你也绝对不会反对,防火墙产生大量的日志,尤其是IDS,那么你怎么区分哪个安全哪个有害呢。另外系统是具有异构性的,如何将不同品牌的防火墙和安全日志做在一个系统里面,这是很大的一个挑战。还有就是缺乏内部安全监控,如果你可以成立一个队伍7×24的话都可以,但是这个运营成本是非常高的,即使这样你还需要一个很强的系统来做这个事情。如果安全日志不加以处理机分析,那它将是毫无意义的。就像我们坐飞机会有目的,那么如果不把这些日志加以分析那么目的那么拿它来做什么。父母亲回到家里就很累了,往往会忽略分析家里的监控录像,过了几个月才发现在没有观看的时候竟然发生这么多事情,所以我们为什么不多花点时间去观察我们的日志呢,往往都在事情发生后再去观察,那已经太迟了。
7×24安全监控的阻力,第一个阻力是对安全外包服务商缺乏信任。第二,对外包有歧见,从来就不相信外包,我们也曾经碰到过这种情况,很多人没有工作还要外包,那不是丢了本身的饭碗?其实不是,我们最主要还是针对响应措施来做的,原本的安全策略师可以做一些有关于策略的事情,就不需要做低档的工作了,所以我们一般都会这样去说服他们。另外,对失去安全设备、网络监控权的恐惧。还有就是未达到经济效应,很小的企业就会觉得不需要,大企业一般都会选择外包,建立一个大的监控中心就会外包某一部分。当然有一些主管会认为自己来监控成本会很低,但并不是这样。
7×24安全服务外包的优势所在,如果公司的防火墙有两台,IDS只有一台,然后你选择自己建然后去监控的话成本肯定会很高,倒不如外包,而且还是高效率的。每一台设备都有自己的功能,如果没有防火墙我们的外包也是不行的,因为没有报警通知我们发生什么事情,所以我们需要给我们提供警报设备。降低风险,分担责任,通过外包你的角色已经改变了。可以一站式处理日志收集、过滤、推论、分析,追踪等等。最后客户得到了什么呢?统一日志和报警收集、策略性的建议,最终的计划是让你有一个高枕无忧的工作环境,谢谢。
主持人:非常感谢,有问题的请举手。
提问:管理设备的时候你是根据什么来索引它的?是根据IP地址吗?
徐为群:我们在安全监控方面我们是不管理安全设备的,我们在做外包业务方面只是监控防火墙、IDS安全,而不对安全设备加以管理。
提问:但你的资料上有对ACI的控制。
徐为群:针对这个我们会给客户一些策略性的建议。
提问:我是东软的,您刚才说如果分析的工作交给客户自己去做会觉得很烦琐、很烦恼,外包不也会遇到同样的问题吗?如果交给用户自己就会根据自己的环境有可能知道哪些是真正的攻击,如果交给外包没有环境就更难发现真正的攻击。
徐为群:在整个环节中我们会牵扯到客户的细节和环境,我们会跟客户之间签一个协议,外包公司本身是针对一群的客户做,公司内部对安全网络事情会比较了解,但对一些情报方面、分析方面,因为这不是他们主要的工作,在这个情节上他自己做效率肯定会比外包的低,因为安全工程师最主要的工作还不是分析吗。 | 
