运营商面临的网络安全挑战与应对之道

这个题目是一个很大的题目，时间有限，我在这里想跟大家分享一下。最近几年我们看到的不管是运营商也好还是电信行业也好，我们在做信息安全的时间里，尤其是在做管理的时间里的一些观点跟大家分享一下。没有那么深奥，如果让我谈网络安全的条件，包括我们的应对策略，半个小时实在是太具有挑战性了。第一是时间太挑战，第二是对我个人的知识非常挑战，我看不到那么全面的图画。

因为我是在DA V工作的，它最直接的来说，在信息安全方面是信息安全管理体系的认证的这个业务。它有一个中文名字，它有几个主要的行业，一个就是造船的行业，另外一个就是能源行业，再一个就是我们一般性的工业行业。主要是业务，因为它主要的业务都是在做第三方的验证和评估，所谓风险管理这样的业务。一般性的工业也就是覆盖安全管理体系的验证，主要是在运营这个风险层面上做很多业务。大家可以看一下这个业务层面，尤其是我工作的这个环。第一是管理体系方面的验证，因为现在出了很多标准，第二是做环境和能源方面的管理，因为大家都知道气候变化方面的话题已经变成很多行业一个很大的风险。前两年我还没有感觉到在任何一个场合，包括电信行业和跟IT有关的行业说气候的变化是他们很大的风险。目前为止，实际上能源这个气候变化，我们已经都在讲绿色IT，所以气候变化对它们也是影响很大的。另外我们也在做企业责任和区域发展报告的验证，还有一个就是企业的风险管理。

现在我们要讲的一个话题就是信息IT风险管理这个领域里面的。我们的业务能覆盖到的，我个人很荣幸很早接触到这个信息安全管理的行业。我基本上是2000年接触到信息安全管理体系的标准和信息安全管理的，应该从哪些方面管理这样一些话题？在这个行业也有8年了，到现在为止，也是中国第一个被认可的信息安全管理体系的会员，但是第一个不见得是最好的，但是接触到的客户体系比较多，在这里跟大家分享一些经验，今天的话题主要是两个：第一是我们现在面临的挑战到底是什么？但是这个挑战是什么不用我特别地强调，因为大家每天都感受到客户对你的挑战和客户的要求对你的挑战，法律环境对你的挑战，自身的网络条件对你的挑战，自身的管理对你的挑战，所以大家每天都遇到这样的状况。我只是跟大家分享我在外面看的时候的看法是什么样子的？

第二就是怎么去基于这个风险管理的方法来解决我们所面临的一个挑战，就是从大的一个宏观的图画上来看怎么解决这个挑战？主要还是想分享一下我们在做验证的时候看到的一个体系，大家的心得是怎样的？因为实际上讲的那些理论都很容易，讲怎么去应对这个挑战说起来很宏观很大，但是实际上真的做起来的时候是靠大家一点一滴做起来的，那些经验的分享比较重要。

从宏观大的环境上来讲，我们的IT电信行业实际上是在大的环境下面的。从大的来讲，因为一体化的经济，全球对风险的容忍，大家对风险的容忍就越来越小了。因为某一个区域引起的风险，引起的一个事件，就会造成全球性大的事件和停顿。所以风险环境容忍度越来越低，整个要求也越来越高，这个要求同时会落到IT的风险上面，因为全球对于IT技术的依赖越来越高，所以你出现的任何风险就会引起整体上大的事件和大的停顿，同时对风险的容忍的程度也降临到我们身上，对我们产生的风险，对我们IT环境产生的风险，容忍程度也越来越低。另外一个为什么容忍度越来越低，因为IT它现在面临的挑战和现状，因为整个业务全都依赖在上面，不要说我们的电信运营商，我们电信运营商是完全依赖我们的IT环境来运营的，但是你要想到别的公司的业务，比如我们举个例子汽车行业，它的基础架构这个设施包括它的设计，它的制造也完全是依赖于IT的技术。传统的制造业现在也全都依赖于IT来运营了，因此大家对IT 环境依赖的程度也越来越高的时候，对电信的依赖程度就会非常高。我上周刚刚去审核过的大家都知道的一个企业“巨人网络”，是完全依赖于网络环境来运营的一个公司。因为他是做IT的运维管理，那它里面最大的挑战我只看到一个。因为它整个的体系运营的时间不是太长，我说我看你的SLA怎么样？然后符合这个要求的状况怎么样？他说你可以看，每个月也定的也很细，然后每个月都去衡量能不能达到这个要求？SLA的要求怎么样？每个月的报告你都可以看，但是看过之后让我很惊奇地发现了一点，基本上每次达不到SLA的要求的时候，都是因为外部的网络的环境控制不了，外部的中断和波动它都控制不了，造成了它跟内部的一个客户签的SLA的时间上就符合不了。

所以大家知道自己的挑战是什么？因为你所有依赖于网络运营的客户对你是有要求的，而且对你要求越来越高，外部的环境，还有一个就是大家不可忽视的法律环境。我们电信的运营商这些年在国际欢迎上，上市的越来越多，纳斯达克也好，美国证券交易所，香港股权上市越来越多，包括国内的股市，大家知道7月份的时候，财政部联合其他部委发布的我们号称中国的萨班斯法案，这个法律的环境对我们内部的控制要求越来越严，那无非内部控制将来IT控制和IT 稳定性的安全性，都要控制到一个很大的方面。所以法律法规这个环境包括我们电信的条例对内容的安全都是有要求的。因此我们具体面对的是什么样的挑战，除了我刚才讲的外部的法律环境，还有客户的要求越来越高以外回来看我们自己，在我们的网络环境里，我想都是直接面对的一些挑战和技术方面的挑战，和你网络最基础设施的一个挑战，还有你来管

理来做这些网络基础设置的挑战，还有服务流程方面的挑战，包括信息内容方面的一个安全的挑战。

要说怎么去直接应对这些呢？这些都不是我说的，这是目前大家公认的，能够在整体的图画上面，在高层上面要有一个想法，现在你管理的很复杂，你的网络的延伸越来越大，然后你的设施越来越多，设施用的技术也越来越复杂。你要讲管理的时候，你首先要有一种思想，用于一个什么样的架构来管理？来管理你的这个复杂技术上面的安全，因此我想这是一个框架性的。你首先在安全方面管什么，你的方向是什么？你要达到的终极目标是什么样子的？因此你的策略是什么，然后你到底要衡量什么？测量什么？什么叫做达到目标？什么叫做不达到目标？是基于这个要求来的，是基于法律的环境和客户的要求，还有你提供服务的一些承诺，接着下来你会看到你有什么样挑战，到底你针对于这些要求，针对于这些你要运营要达到一个水准的时候，你要怎样去运营你的网络安全，从这几个方面来看，因此你要做详细的风险评估，然后你从管理的角度从技术产品的角度怎么来达到你定义好的级别和安全的等级，还有要求的是什么样子的？这个说起来很容易，做起来很难，到现在为止我在审核的时候，经常有一些老总跟我探讨，到底你怎么去看安全管理和安全技术。大家有很多的说法，讲到说三分技术七分管理，经常我被朋友问到的问题就是，你同意不同意这种说法。我说我也同意也不同意，就是讲三分技术七分管理的这个观点。

很多人是为了强调管理比技术更重要，管理应该在前面，但是从我的观点来看，我是这样想，虽然管理是在前面的，如果因为你不讲管理的时候，只讲我用技术的方法，怎么去应对的时候，你可能会针对比如说我今天网络运行的速度不够，然后我针对速度去考虑某一项技术，那我明天我又发现很多漏洞，那我再针对这些漏洞去考虑施加什么样的安全技术？最后你会发现，你用的这些技术它不能在一个平台上去转。这样它的效率是降低了，而不是一个通盘的考虑，通盘的考虑应该是在前面，所以管理的思想，通盘的考虑做风险评估定义好，你到底要达到什么样的安全？在这种状态下，你有明确的方向，那在这种状态下你讲技术的应用。但是反过来讲，在我们这么大型的网络运营过程当中，没有技术行不行？肯定是不行的，很多是你管理上有想法，你想达到那个目标，没有技术支持你是达不到。所以我想说管理思想在前面，管理的目标，管理方式，还有管理规划在前面，但是规划里头很重要的一个大的部分是技术怎么用？所以这两点基本上是一个辩证的关系，很难讲怎样划分，但是缺一不可。还有就是现在更重要的就是我们的网络，既然是很多的企业，包括个人，都依赖于网络的话，那它的连续性和事故管理还是非常重要的，否则你也很难达到你想提供的技术的指标，那还有一个重要的方面。

不管你建立了一个什么样的工作规范和工作过程，都要把它纳入监控和改进的这个框架下面。一方面你在做的安全管理和技术这样的框架的时候，如果你没有监控，你不知道它有没有能够达到你规定的目标，这个指标和划分的等级。第二个方面来讲如果没有实际的度量和监控，你很难知道你在哪里？你也很难知道你在哪个方向去改进？那么持续改进是永远的一个方向，不管你现在做得怎么样。如果你有持续的框架你将来一定能够做得更好一点，否则你也不知道你在哪儿，也不知道你应该去往哪个地方改进？所以这个就是目前大家最流行的，大家都公认的，做信息安全管理的一个大的一个管理体系的标准，他提出来的一个实质性的管理框架，应该怎么建？也就是刚才我们讲的几点，所以大家可以看到，它把持续改进的信息安全管理体系是放在最上面的，不管你现在有一个什么样的体系，符合29001的要求，还是不符合，还是刚才我们讲到那几点你都没有强调？你可能漏掉的几个方面，那你都可以把它纳入在持续改进框架下面，用一个规范的要求去规划你的管理体系，去运营你的信息安全，然后坚固和评审做到持续地改进。有两个就是大家千万别忽略了，我们谈挑战的时候，不是你自己在埋头看你自己的挑战，而是需求到底在哪里？需求和挑战是直接联系在一起的，最后您能满足需求的这样一个信息安全，而不是无止境的信息安全，因为无止境的信息安全大家谁也做不到，资源永远是有限的。

在每个过程当中都充满了持续改进的过程。其实我们比较强调，为什么你要有持续改进的能力？这个能力大家可以看到，我每回到任何一个会场上，有很多的技术你都能够看得到，有很多的广告厂商也好，有很多安全管理的顾问也好，大家都在持续的工作，大家不断地在增加自己的想法和增加自己的技术能力，增加管理的客户，提供管理的咨询能力也好，那每个公司都有自己的方案，但是从客户自己的角度来讲，从我们运营商自己的角度来讲，最最重要的是，你们能不能整合这些方案？因为有很多种方案，而原则上说没有一个方案是真正的解决。因为这是很难的，尤其是技术方案，很多都是在解决某一个问题的，所以从运营商自己的角度来讲，整合在你自己内部，整合这些技术方案，整合这些解决方案，然后变成你自己管理体系的一部分，这才是咱们一个很大的挑战。当然我想27001它说得很全面，刚才我们说的这些所有安全的挑战，基本上它在它的管理里面都说到了，那我就不细讲了，因为以前我在讲27001的时候，大家需要的时候，它到底都覆盖了哪些内容？现在基本上大家都知道了它覆盖哪些内容？这个我也不跟大家讲了。