曹鵬:大家好,下面的20分鐘時間交給我,在我開始介紹的時候,我一直很想問大家一個問題,這個問題也是近兩年我不停問自己的,我想問的是,如果在座各位都是非常稱職的信息安全管理員,我們可以想想在過去兩年或者三年時間裏面,作爲對安全防守者這一方,我們也沒有真正構建起一個真正了不起的安全框架、有一個特別了不起的安全產品、技術上的升級,幫助我們徹底解決了安全領域的某些問題。我經常在想在過去這些年裏我們是不是真的做了很多了不起的事情,在安全領域的技術上有了特別大的飛躍?我覺得可能是沒有做到這些,但是我們想給大家看看***者,我們的對手,他們過去做了哪些事情,他們有了哪些飛躍。
當我們做系統維護、升級的時候,大部分的用戶口令我們是可以得到的,Windows系統口令是最長是14位的,最變態的口令如下是N73k-a7……,我們稱之爲這些口令是變態的,有人說這些口令也是變態的,他說正常的人怎麼可能把這些人用腦子記下來,我說這是不可能有人把這些作爲自己的開機口令。我做過一個調查,這種口令有多大的可能。Windows的口令是7位一段存放的,但是我後來發現爲什麼很重要的信息系統要每隔一段時間就換一換口令,是因爲***也在努力的發展,破解口令的時間越來越短,在06年我們做了一個調查,最厲害的我們發現到花多少時間?只花5分鐘,只花5分鐘就可以把我們不可能想象的口令破解了。
另外更多的口令甚至連暴力破解都不再需要了,口令的本地HASH保護算法在過去幾年遭受到了前所未有的破解實力衝擊,安全隱患不斷被發現和曝光。最近又有很多***公司也好、***團體也好,把2的4次方也好,5的6次方也好,他們只要10秒鐘就可以完成這種破解,他們從11天到10秒鐘,也僅僅是用了一年的時間。在操作系統之外,硬件設備的驅動HACK也逐漸被更多人認識到其中的可怕。所以我們說20年密碼***戰很可能是以安全一方失利來謝幕告終的。不知道大家認同不認同這些觀點。
我想今天我們的網絡銀行還有很多單位都在選擇SSL-***作爲自己的主要應用防護的加密手段,當我們正在用SSL-***保護自己的同時,那我們來問,SSL-***真的安全嗎?這個界面是我在上個星期出臺的時候,我的朋友在另外一個房間上網,而我在自己的房間上網,他上網絡銀行所有的過程都被我監控下來,最後我可以做到馬上登錄中國銀行,登上操作界面,進入轉帳頁面都非常順利,我們可以看到他的帳戶還有9000多塊錢。
我經常在機場、酒店大堂、時尚的咖啡廳看到很多人很自在的她着筆記本電腦在享受網絡衝浪訪問。很多電信運營也在積極的推進無線AP,那麼我們請問這些無線的AP都是安全的嗎?器用安全的無線網絡用嗅探的方式我們可以看到什麼東西?我旁邊的兄弟的所有行爲,被我用嗅探的方式查到了。所以無線網絡真的是我們想象的那麼安全嗎?我知道有很多電信運營商在全國城市裏面覆蓋無線熱點,好象看起來很方便,但是安全性問題我們是不是需要來考慮?
我想說的是什麼呢?在過去兩年或者三年裏面,好象作爲我們安全防護者的我們好象沒有做出太了不起的事情,因爲我們的對手***者在不停的顛覆我們對於安全的控制、理解、保護能力。隨着網絡建設不斷的擴容,現在很多客戶開始建第2張網絡、部署第3張網絡,今年還有4個新系統可能要上限,可是或許安全的維護人員連5個都不到,技術與人的比例開始逐漸的失調。
再來看一下,我在3、4月時間裏面我都在出差,我問我們的理工,我們有沒有定期,每天上午、下午或者下班前看那些安全產品系統的佈置,因爲安全問題被越早的發現就會被越早的解決。我想如果問大家這個問題,有沒有去看一看這些日誌呢?我想在座的有95%的人都會搖搖頭。但我經常反過來問,今天我們不做是因爲我們自身的能力也好、我們的工作壓力也好,是因爲各種各樣的原因,但我想問的是我們這輩子是打算不打算做這些事情?如果我們打算做的話我們是不是要想一種方法、手段去做到,而不要每天抱怨說沒有時間、沒有精力,我想這些應該是我們思考的。
現在的安全管理團隊,我這些天走過很多單位,我說你們的安全團隊到處解決問題,但是風險意識跟控制意識不太好,我覺得在01年的時候出現了無數次的信息安全的報道上的問題,我們都說3分技術、7分管理,管理是重中之重,但是很可惜在過去這5年時間裏面,我們的信息安全管理領域沒有什麼了不起的增長,沒有什麼真正有效的信息安全管理,我一直在思考這個問題,終於有一天我領另五到了其中一個的道理。
作爲今天的技術人員,我們解除了很多技術的標準,尤其是安全領域的標準,這裏面分爲兩派,技術的一派、管理的一派,技術的標準拿來升級是很容易的,我們只要把美國、老外最新的芯片買來就可以實現升級;但是管理的標準呢?我們好象很難把老外管理的標準拿到中國來管理中國的人。在2001年我參與了埃森哲7799,但是我發現我們很少有人是按照7799去做的,我也沒有看到做的是很成功的。我發現原來老外經過了4、5百年文明的發展,他們總結出來的管理標準想來管我們今天5、6千年的中國文明、想管我們中國人,幾乎是不可能的。我們說3分技術、7分管理,管理應該一定是要有我們中國特色的,而不是僅是直白的把這些拿過來到中國做,因爲那些細節要點你會發現既沒有生命力、又沒有執行力,我們說一個電信運營商的日誌僅是一臺機器的日誌就有1個G,你拿什麼去分析?不要說分析,你用什麼工具把1個G的日誌把它打開都是一個問題。我曾經遇到一個用戶,原來每天的日誌裏面的細節是這樣複雜的,原來在每天8個G的日誌中可以看出這麼多的問題。
作爲今天的技術人員,我們解除了很多技術的標準,尤其是安全領域的標準,這裏面分爲兩派,技術的一派、管理的一派,技術的標準拿來升級是很容易的,我們只要把美國、老外最新的芯片買來就可以實現升級;但是管理的標準呢?我們好象很難把老外管理的標準拿到中國來管理中國的人。在2001年我參與了埃森哲7799,但是我發現我們很少有人是按照7799去做的,我也沒有看到做的是很成功的。我發現原來老外經過了4、5百年文明的發展,他們總結出來的管理標準想來管我們今天5、6千年的中國文明、想管我們中國人,幾乎是不可能的。我們說3分技術、7分管理,管理應該一定是要有我們中國特色的,而不是僅是直白的把這些拿過來到中國做,因爲那些細節要點你會發現既沒有生命力、又沒有執行力,我們說一個電信運營商的日誌僅是一臺機器的日誌就有1個G,你拿什麼去分析?不要說分析,你用什麼工具把1個G的日誌把它打開都是一個問題。我曾經遇到一個用戶,原來每天的日誌裏面的細節是這樣複雜的,原來在每天8個G的日誌中可以看出這麼多的問題。
好了,我想對信息安全說什麼?它過去是一種對抗,那麼這就體現着一種東西。在過去這幾年時間裏面,兩年到三年時間裏面,剛纔給大家講的一些案例,這些都是我06到08年我所實際經歷過的,而且我們所看到的***者的技術、進步都是非常快的,而對於我們作爲安全的防護者,我們一定要在這方面有所增長,那麼我們東軟在08年連續第三年***實驗室規模增長超過150%。站在另外一種角度上,用一種技術去對抗一種技術,這種駁議的雙方其實都很累,雙方都在不停的變化,永遠是今天他好一點、我們今天好一點,很難達到一種平衡。所以我要寫我的第二本書,就是《信息安全的博弈》。那麼我們如何增快我們在安全領域實際的效果?由於時間有限,我只舉兩個小例子。
第一個就是我們公司,我們公司跟所有公司都一樣,有一個小規定,在上班時間不允許員工隨意訪問Internet,但是結果我們發現在IT的公司裏面很難做這件事情,如果你卡的很死總是有些人想去百度、Google搜索一些資料會很困難,但是領導又很爲難,如果真的放開了,就無法控制這些人上跟工作無關的Internet。那我就給老闆提了一個意見,爲什麼不放開?但前提是,你什麼上都可以,但是公司每個月要把監控你日常所登錄的內容反饋給你一份,後來我們發現這樣做非常有效。
下面講風險管理,我想說風險管理在過去幾年時間裏面我們一直做的是不好的,爲什麼是不好的?第一,大量的報警信息、威脅信息,我們很少有人去察看它,我們很少把弱點把這些關聯在一起分析它,我們很多時候就像救火隊一樣,是事後的去解決這個事件的發生。但是如何讓安全的意義真正發揮出它的供銷呢?並且我們不能讓每個人每天看幾萬條日誌,今天東軟在我們推出的安全管理體系平臺框架上,通過我們找出所有的資產類別,把類別進行區隔,每天我們不要就事論事的去看這些,把這些都關聯一起去看我們,我們看到有所謂高風險的***是跟它的***類別不匹配的,如果每天我們很忙,忙到了我們累死了也做不到所有事情,那麼我們好,我們把最重要的10個事情做好,那麼這10個,重要事情是什麼?我們就要通過這些分析找出我們最需要做的事情是哪些。
我想不管到什麼時候安全都應該是一種責任,安全的合作身後應該有深厚的友誼,今天的安全產品也不應該再是傳統的安全產品延伸,我們不應該一再買很多安全產品,而不去注重它們,而導致自己依然癱瘓。安全管理平臺應該是面向未來非常好的管理方向。對於廠商來講,對於東軟來講或者在座的有商來講,我們必須要承擔起這個責任,我們在過去十年時間裏面走過了國外廠商所走的路,但是我們說拐點應該出現了,我們必須要走出具有中國特色的信息安全的道路。
最後也預祝今後幾個月要舉辦的和東軟將要參與的奧運順利圓滿的舉辦,另外我還希望在09年的時候我還站在這個舞臺上,在那時分享我們在信息安全方面的努力、工作,我相信所有的人都舉起手來,說我們真正的做到了!