这是我们是安全受害的几个重点行业,现在黑客越来越现实,所以跟钱几个行业都是受害排名比较靠前的。我们运营商,我们的金融,我们的互联网安全支付等等,这几个都是重点受害行业。然而最近像医疗,像一些房地产这块,还有网络游戏都会慢慢受信息安全侵扰越来越多。回归我们的主题,今天我们讲的是运营商,尤其我们信息化发展,安全技术发展,目前面临新的安全问题有这么几点,第一是数据集中,特别是一些运营商总公司把权限收回来,地市分公司一般不太建系统,数据集中意味着风险集中,系统复杂意味着安全问题也复杂了,WEB应用技术2.0广泛应用,让WAP安全没有跟上,特别是一些代码开发。云计算上午和下午专家讲了很多,物联网管控难度,特别第三方人员管控待会也会讲到,是我们目前运营商面临几大安全风险问题。
这张PPT是我新加的,其实内容大家都知道,现在安全的问题和历史已经需要慢慢转变,以前是物理安全表现,现在不一样了,因为信息化,我们的数据,业务中的数据是最具有价值的,一个间谍,或者一个优盘就能窃取我们价值几百万的数据。其实,我们有时候聚焦安全问题会觉得很复杂,远远看上去乱的一塌糊涂,不知道从哪里着手,当里把整个目光聚焦在某个点上就会觉得清楚,又会后怕,觉得某一点安全不够全面。但是,我要说的是,安全问题真的很复杂,我们可以用一种方法,用模糊视角看待全局安全,然后以精确的视角来面对你真正面临的安全问题,我觉得这样的一个解决方法可以使你有限投入获得最大产出,其实安全问题并不复杂。
这也是我们运营商的几个困惑,也是我通过调研发现五大问题。首先是面临外部威胁,黑客可能会入侵我们的数据库,造成数据窃取和篡改,却无从防范。第二是我们前台人员的误操作,可能会造成业务安全隐患,对客户造成影响却无从查证,我遇到很多问题,运营商这边,他们讲究一个破案率,他们内部也经常立案侦查,所有一些案子都是信息安全事件,破案率有些很低,有些又没有证据,无从查证。特别第三方运维人员恶意操作,大批量找出客户信息却无从控制。内部人员有意往外携带一些敏感资料,一些文件却无从监管,安全管理的混乱,流程是有但是落不到地,工作无从改善。
我们怎么去进行解决呢?这是我视频上截的一个图片,宝贝在哪里?找准我们需要保护的对象,就是我们的宝贝,对它进行保护,就能把整个业务,整个流程安全做好管控。我们的宝贝是什么?我们的宝贝就是在应用和数据库中流转存储的数据,其实殊途同归,我们到现在保护的就是数据,我们业务安全几乎指的就是数据安全。
其实大家都知道我们业务数据整个周期,从创建开始到使用,存储,传递,更改到销毁是整个信息安全整个生命周期几个部分,在这几个环节里面,我们都要对其进行保护,缺一不可,特别丢弃也是非常重要。我经常因为做文件,打印,到图文公司做一些报告,我就遇到过这样的事情,对于我打印错的一张带有客户敏感信息非常重要的一页纸,但是这些工作人员就会随便丢弃在桌面上,这个我已经建议三家图文公司,大家要有这个认识,在整个数据流转环节都做好数据安全的保护。业务安全主要工作其实无非对内和对外两个环节,对外我们要防黑客,最主要是防入侵和攻击,要防止对外部的威胁。其实,往往更多是我们对内,对内我们要抓内控,要方法一些误操作,信息泄露,数据篡改和社会因素,对内是我们最可怕的事情,这张图片也显示人是最复杂的。
信息安全三要素,这里面非常重要,CIA,保密性,完整性,保密性,我们怎么保护数据安全,就从这三个方面,保密性当然要防止其泄露,完整性要防止被篡改,可用性要保持高度可用,从这三个角度去保护整个业务流转,就能保护整个业务的流程安全。保密性就要保护数据私密性,我们要做防泄露,防泄密,准确性就要做的防篡改,可用性就是保持业务通常,我们要防篡改,一方法通过业务连续性管理来做。
我们从这样三个角度去保护整个业务流程管理,这是我们整个信息系统特别业务整个安全防护层次,第一个维度是深度,从管理层到网络层,主机层,应用层,数据层。我们重点要做的就是网络层,数据层和应用层,因为主机这个层面,目前在防火墙普遍适用情况下,这种安全威胁概念已经逐渐降低,应用层是暴露在最外面风险最大的层面,从整个时间维度,第二个维度我们事前事中事后都进行工作,事前防御,更多做一些评估,事中要进行一些防护,进行一些实时攻击,事后要取证,事后虽然已经事后了,木已成舟,事情已经发生了,但是这个环节非常重要,因为审计,当你的审计100%正确,或者正确率很高的时候,就会起到震慑,我们非现场拍照是事后,当你已经违章会拍照,因为这个存在大家都会非常遵守交通安全,这就是审计威慑,所以我们千万不能小看审计。
