金融企业互联网安全的再思考

今天这个事情又出来了，我今天演讲是个人的观点，我今天可能6年前的一些想法在今天抛出来，今天发生一些很重要的事情，我觉得呢，也恰恰说明了这些观点还是有一些可取之处的，这个就是今年在纽约周刊上面的新闻标题的副标题，这家银行每年耗费是250个比利被攻克了，第二个报道也是针对这件事情的，这个是华盛顿的政策集团的一个负责人，他是打败了行业的系统和最好的防卫者，这是彭勃（音）对这个事情的报道。黑客是从正门进来的。这件事情也引起了奥巴马和普金的个孔对话，从6月份开始，到8月份的发现，就是7600万的客户资料和700万的小型客户的数据被泄密，现在没有公布原因。

每周向奥巴马汇报的，就是说确认是不是俄罗斯干的，就是记者问这个普金说了一个胡扯，这个过程就是像我们刚才说的摩根大通（音）全球26万员工，世界上最好的防卫系统和最好的防卫者，他对整个过程就是这么一个过程，我察了一下我们现在知道，我们现在比较的安全，察一些资料比较的慢的，所以整个的过程，基本上大概的描述一下，6月中旬，黑客就进来了，到了8月份中旬摩根大同关闭了自己的服务器，然后向媒体报告这个事情，实际上这个事情攻击了两个月后摩根大通才知道，这个月也出了相关的事情。我们看一下摩根大通的背景的资料，他的每年的网络安全预算是2.5亿美金，这个不是他的IP预算，是他的网络安全预算，在我国和美国说网络安全预算有很多的差别，美国说就是我们中文的网络安全，就是这种新系统安全，基本上是传统的网络安全，他对互联网的网络安全通过都叫（英文）所以2.5亿是花在互联网安全的不是所有花在安全网上的运算。我对照一下国内信息安全就是数一数二的公司，就是前五的公司，他去年的年报，2013年的营业收入是9亿元的人民币，抛出他的3亿人民币，就是6亿。…这样的话，你说他是不是最强的，然后从专业的团队上来讲，有一千多人，这个一千多人也一样，指的是专门的互联网安全的专业人员，不是说他像我们国内，通常说安全，内网什么网的安全都含里面了，像他的团队里面总共3500IT人员里面也有安全人员，在他们的很多的部门里面都有安全的人员，在各国的办事处有他的安全的代表，他的安全的管理体系，也是像他的评论一样的，就是最好的防卫者。

作为一个对比，骨骼（音）的安全只有400人，所以外界为什么说最强的防卫系统，在看背景资料，最好的防卫者，我从美国的招聘的网站上，摘录一段信息，搜索在这个招聘的网站上，搜索互联网安全，摩根大通的职位的话，职位的描述，就是我是前几天，周二搜，他安全的职位的光哪天就是17个职位，他和任何一家其他企业都很难做到，我特定摘了一个，就是互联网上面有一个势智能分析的团队，主观任职要求，第一10年以上的数据挖掘经历，第二点是数学统计协会的金融物理的硕士的学历，这两点招很难招，这两年搞大数据，有那么几年好招的。安全方面的要求，第四第五点的任职的要求，第五点就是编程的要求里面，我不知道大家熟悉不熟悉。就是这里面有一个尔语言的要求，我去年关注过，我关注尔语言也是前年吧，关注这个语言是2011年，到去年这个语言在国内才兴起，这个是做数据分析的语言。第五个任职的要求，要熟悉（英文）这个我到后面说一下，STS这个东西，从这一点来看，我觉得可能很好的体现了摩根大通安全人员的，就是为什么人家说他们是最好的，这有一个直观的，这周吧，摩根大同从第三季度的一个财务报告，他的对这件事情的一个相应，我觉得有一些东西和中国一样，他的CEO说，互联网安全是像长期的战争，第二点是最一样的，未来五年八2.5亿美金安全预算再加倍。这个是国内也一样，不出事钱都不给你，出了事再花钱，这个没有任何的区别。

从这件事情里面，我们不得不想，怎么了，我们的互联网信息安全，花这么多钱，有这么多人，做的这么好，还是被黑客攻击了。我说了我一直不想谈安全的问题，因为我对这些安全对这些东西，就是有一些伊蚊，一就是原有的安全的思想，我说一下，代表我个人的看法，在这里有一些东西和前面的一些讲的有一些冲突，安全思想，现在安全思想是这个里面就是边界的防御策略，我们做安全的比较的关注这个，在互联网业就是说是，互联网的时代，这个边界越来越难找了。除非你去细化，除非我缩小，你要确切的把网络的边界划出来越来越难，现在有人开始说，互联网边界防御策略并不是非常的有效的，第二个观点，刚才正好以前也有一位讲了这个网络安全的三分技术和七分管理，我以前也在网络安全的专门的公司在讨论这个事情。

可以说这样的，2001年我在跟公安部，参与公安部写安全管理标准的时候，我在会上也说这个概念，三分技术七分管理，后来我发现这样的一个问题，后来我回忆谈安全的事情，三分技术七分管理有很大的问题在里面，看上去就是技术不重要了，就是作用信息安全，就是管理很重要了，这个管理是推贤自己的管理技术，因为管理永远存在漏洞，我们没有100%的管理的体系，第二在中国的管理企业来讲，可能说完全的严格的按照西方的那种流程化的管理是很难执行的，就是最好的（英文），这套东西都是英国贩卖过来了他们依靠标准来挣钱的。

所以我在更倾向于美国的标准，因为英国的标准他有培训认证审计一套的商业体系全部的出来了。这是从这个观点的，第三个就是体系的结构，后来很多做安全的人，也再处理信息安全的时候，也觉得很多的问题处理不了，所以把责任归到体系的结构有问题，就是这个结构就是把指令和数据放在一起，必然要出安全的问题，那哈弗结构就不会有了，这个他试图把数据和指令剥离开来，这个就是互联网的开放性导致的，这个更是废话了，还有一个是编程的漏洞，我没有办法仁厚的就是化被动为主动就是这个安全的问题，从理论上来讲是这样的，我们打仗是这样的，踢球也是这样的，但是有一个前提我要知道我的对手是谁，我不知道我的对手是谁？怎么化主动你永远是被动的地位。

再有一个这里就是一个在互联网安全上重要的是，大家可以知道就是（英文）曲线，这个现象越来越严重了，就是关于电力的时候要慎重一些，作为金融来讲，就是IT公司来讲，他的就不一样这样考虑了，他一定是在技术过热期向市场兜售这些东西，我们做企业随着IT的运用越来越普及，深怕落后捱打，所以我们选择的时候就是在技术的过热期选，而这个技术的过热期没有成熟有很多的问题存在，这个漏洞是我没有办法逃避的。这个是我说的。我们现在做的就是被逼迫的症状，就是我大数据不用不行，我用了就是他漏洞，他从设计开始他就没有考虑安全的问题，现在开始就是打补丁，我用的过程中肯定有很多的漏洞被别人使用，我认为这是逃不掉了的。

我们拿这个来看，对互联网的安全来看，我们拿这个六个原则分的时候就是清楚几，就是方法论，就是为什么要来。那可能我知道了，可能我不知道，他为什么要黑啊，我结仇了，是我的商业的竞争对手，他来干什么，我知道，他拿我的数据，这个我清楚，然后他在哪我也不知道，他是谁我也不知道。他什么时候来我更不知道了。他怎么来，我还是不知道。那按这个方法论来讲，我们面临网络信息安全的时候，就是感到非常的无能为力，至少从企业来讲。刚才说的是我的一些困惑，困惑到现在，这次我讲一些我的观点是为什么？因为这一年信息安全领域发生了很多的变化，第一个这个是美国本土安全局，就是奥巴马建设技术安全的问题，本土安全局，就是让ST起草一个东西，就是国内的翻译是国内网络安全框架，就是把这个针对互联网的这个东西隐含掉了。

我简要的说一下，第一大功能组织上来讲，他这几快，识别、保护、检测、响应、恢复，没有很大的区别，关键是实现层级上，第一局部，第二风险知情，第三可重复，第三自适应，这实现起来的难度，可以说在他的报告里面讲，他第一层局部是为了一个让现在所有的企业有一个过渡，所以上他认为，美国本土所有企业做的安全只是处于局部的这一层的。为什么是局部？就是Gartner大会上的主要的观念，到2018年超过半数的企业选择安全的服务公司，以增强他们对安全的保护措施，这个数据现在看来，大家可能会觉得现在还有5年，现在看这个事有这样的一个趋势，是不是我们看下面还有一个。

这是2015年信息科技趋势，对安全有一个要求，基于风险的安全和自我保护，这个跟老总刚才进的基因。他们在落实自我保护上面已经做了大量的工作了。在一个就是跟我们很关注很密切的跟金融的行业，这是第二套周一刚发布的，这是（英文）组织，这个组织相当于中国的证券业协会，他是由美国的债券也和证券业何必的组织。他在2号发布了一个互联网安全监控有效的原则，十个原则第一点安全美国政府在把互联网安全和所有的商业活动，在商业活动扮演重要的职责，第一点强调的是政府，第二要识别到公司合作的一个价值，在他的正文里面，他的公司尤其他的工强调的是谁，我们强调的是互联网安全框架的NIST，就是美国网络安全局下面的一个公司，中间有30几条，我觉得还好，他对监管就是原则要改变，就是监管的机构对金融机构监管的原则要做出调整，比较有意思的后面两地，第九和地十项的原则，第九就是信息的共享强调，这个信息的共享在我们以前就是都有这条，这条但是说这里有一个必须限制在以互联网安全为目的的信息的共享，就是以危险信息的共享，以前的话，（英文）他指的是我要共享，实际上我们国内也在做，但是怎么能做到有效的共享。在美国本土安全局在2012年启动一个项目，就是摩根大同招聘的时候最后一条要求，他要建立一个危险信息描述的语言和交换的标准。他基于这两点上，要实现的，有了这两点，就是做风险的分析，就是我们反过头来看这个，第二就是风险的知情，没有这一条你的风险的知情是达不到的。

而且这两个要打破所有的厂商，就是这个厂商能拿到这个东西，但是厂商和厂商之间不共享了，所以说，这套体系下面有一个就是真正的联防联动，这套体系也有领导在这，我也不清楚国内有没有做但是这套体系国内必须做，你抄不来的，你必须要有自己的体系，你有这个，可能刚才老总的愿望就是基因的免疫，你没有这个基础的话，那些都实现不了的，2018年有一半的公司就是请第三方的专业的公司在这个20号出的指南里面，他对金融企业就是讲这个是必须的，就是请第三方的公司。这也充分的说明，你靠一个企业来解决互联网安全的问题，已经是非常的有限的了，你只有动用外部的专业的力量，对这个情况，我自己的一些想法，这些可能就是说，我们当前作为企业来讲，可能关切的是危险应对能力的建设，就是不是传统意义上的安全，只针对互联网安全的问题。

如果说要把这个来自互联网的危险化成五个等级，我个人认为对于危险的难以程度就是危险最大的，就是一个企业的IT部门的力量只能应对一级的力量，二级危险就是整个企业的力量，企业力量就是给你钱给你人，这样的话，你要怎么面对，处理更多的危险，你必须要依赖于第三方的专业的公司，而且一定要是真正的专业的公司，应对世界的危险必须依赖于行业的力量，到最后最高级的危险就是要摩根大同遇到的这种，他是这么强，他完全是顶级的行业了，从他的数据吧，他26万的员工，就是在证券行业的从业人员大概也就这个数字。然后他一个部门我刚才说的就是CTM技术部门3600名员工，整个证券行业的员工人数也是这个数，摩根大同这个技术的力量和我们国内证券行业的数据力量太少，整个国内证券行业的IT的力量要强，他也对付不了，所以这样的话，到了最高一级必须依靠国家的力量才能够应对。针对这个可能就是说，确实要解决这个事情，就是在前面的应对机构趋势的话，我们要解决，包括我们前面谈的，我们要做自主保护，要做免疫基因的应用程序，你在封闭的环境里做没有太大的价值的，你不知道别人勉励的危险是什么，都有什么危险，那么你怎么应对危险。

第二作为企业，现在可能个人，这里要做的工作很多，我是个人的观点，虽然是有效，但是按照什么等报的要求和管理体系还是要做重点了方面现在有一个，我们现在做的一个是架构，架构的重要性大家知道，外面在我们人员资金是优先的，问题很多，我边界会越来越做越大，我把边界缩小，我以保护我的数据为中心，我不能扩大我的边界，我要缩小我的防护的区域。

第二层这个是最要命的一层，我们很多的东西，像前面对摩根大通的报告也是，我来自正门的黑客。自主适应，自我保护也是对应用程序的要求，这个层面的东西，可能在国内，我现在可能到自我保护还差一段，但是要做到基本的保护，我起码已经应用了，尤其在互联网上的应用，我用的东西存在很大的漏洞，就是编程的漏洞会形成大量的，各位老总和你们合作的企业都是这样的，来的编程人员都是一两年，工作年龄大了他不编程了。写编程已经不错，你让他有安全的保护意识，几乎是不可能，我随便的问一下，然后看了一下东西，有一些网站的漏洞真的是轻而易举的，就是你告诉这个方法，你怎么做，就是高中生就把这些数据，就是能够获得，这个漏洞可能现在在国内非常的姚明的一点。如果说自主的开发还能控制一点，如果采取外包开发这个事情，至少像我们这个公司的规模也不大，就像工行这种大规模的，你不可能自主开发，就是外包，一外包这个事情总是非常要命的。

还有就是在大家对摩根大通的猜测的时候，有这么一种说法，因为以前大家可能都知道，大家应对黑客的时候，黑客对付呢有一个阶段，前期有一个阶段，就是摸索你的漏洞在哪，然后发动攻击，前期的工作是在另一个国家做的，这就要看，你的大概的系统的结构差不多，然后在网站做所有的前期的实验性的工作，就是面对这个攻击是零的，你一进来就是知道你的问题在哪，然后进行渗透和攻击，你前面要想通过网站的异常发现是不可能的了。

所以这可能是最为关注的事情，还有其他的漏洞还好说，但是应用的程序来讲，这个安全的补丁几乎没有，所以这个是必须要关注的东西。基本上我讲的就是这些内容，非常的感谢，我讲的这些观点仅代表个人的观点。谢谢各位。