信息化觀察網(wǎng)

3月28日，由中國信息協(xié)會主辦，信息化觀察網(wǎng)、中國信息化網(wǎng)、國潤互聯(lián)信息技術(shù)研究院共同承辦的2019第四屆中國網(wǎng)絡(luò)信息安全峰會在北京裕龍國際大酒店成功召開。

深信服科技股份有限公司安全業(yè)務(wù)CTO郝軼

會上，深信服科技股份有限公司安全業(yè)務(wù)CTO郝軼帶來了題為“面向未來 有效保護(hù)的智安全架構(gòu)”主題演講，以下是郝軼在會上的演講內(nèi)容實(shí)錄，未經(jīng)整理。

1503年的時(shí)候意大利的南部發(fā)生過一場戰(zhàn)役，當(dāng)時(shí)是西班牙人和法國人，法國是法國和瑞士的聯(lián)軍，當(dāng)時(shí)歐洲最強(qiáng)的騎士團(tuán)隊(duì)。從人員上來講，法國的人要比西班牙人多幾倍，是這么一個(gè)情況。但是在這場戰(zhàn)役當(dāng)中，法國人失敗了，因?yàn)槲靼嘌廊耸褂昧嘶鹌?，所以馬克思說火藥把整個(gè)騎士階層炸的粉碎。

我們發(fā)現(xiàn)通過切里尼奧拉戰(zhàn)役告訴我們擊敗騎士的不是更強(qiáng)的騎士，而是你不認(rèn)識的武器，攻防需要面向未來才能形成有效保護(hù)，面向未來，有效保護(hù)就是我們深信服安全業(yè)務(wù)的理念。

下面我展開說一下我們看到的未來是什么樣子，我們又是如何看到大家是有效的去保護(hù)他的。這些是我們經(jīng)?？吹降囊恍┱J(rèn)證，安全相關(guān)的，包括信息化相關(guān)的，包括上一位演講者組織就有很多這樣的認(rèn)證。深信服在全國有50多個(gè)分支機(jī)構(gòu)，隨著“一帶一路”我們在全球都開展業(yè)務(wù)，所以我們需要關(guān)注和掌握，比如說ISO277001，27017，27018，STAR，諸如這類的標(biāo)準(zhǔn)和認(rèn)證，這類的標(biāo)準(zhǔn)越來越多，這只是ISO，ISO有三萬多標(biāo)準(zhǔn)。

我們也提到隱私的保護(hù)，大家還在努力學(xué)習(xí)歐盟的通用數(shù)據(jù)保護(hù)條例的時(shí)候，GDPR，我們發(fā)現(xiàn)美國的加州消費(fèi)者隱私保護(hù)CCPA就出臺了。我國隱私標(biāo)準(zhǔn)也出來了，包括我們國家也在開始做準(zhǔn)備《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》，合規(guī)的內(nèi)容一定會越來越多，他們都很重要。

另外一點(diǎn)，以往我們談安全就是講攻和防，我們希望更加清楚的描述攻擊這件事情，如圖所示是國外一家機(jī)構(gòu)發(fā)布的矩陣，這個(gè)里面的內(nèi)容也是目前國際上最領(lǐng)先的幾家安全公司采用的框架，用來做什么呢？來描述對主機(jī)的攻擊，比如windows，他分了十一個(gè)步驟，每一個(gè)步驟下面又有很多具體的內(nèi)容。當(dāng)一個(gè)攻擊形成的時(shí)候，作為一個(gè)攻擊鏈，從左面的分類一直到最右邊的時(shí)候，每一個(gè)步驟就會形成非常多的組合，這種情況下，如果我們還是用以前人工的方法去響應(yīng)攻擊或者是檢測這些攻擊，就會變得非常難，這個(gè)就是最近全球最流行對攻擊的描述，大家可以做一個(gè)了解。

還有一些方面，我們都提到勒索病毒越來越重要，實(shí)際上勒索病毒由來已久，已經(jīng)超出了這張圖，1989年就出現(xiàn)世界第一個(gè)勒索病毒，但是今天勒索病毒的數(shù)量越來越多，據(jù)統(tǒng)計(jì)有800萬不同的勒索病毒。勒索病毒越來越多，為什么呢？我是這么想的，拖延是人的本性。我自己做過運(yùn)維，我們的補(bǔ)丁不一定能夠打的那么及時(shí)，但是隨著區(qū)塊鏈技術(shù)的發(fā)展，加密貨幣給了勒索病毒的作者和這個(gè)黑產(chǎn)一個(gè)相對匿名獲取數(shù)據(jù)的方式，在巨大金錢的動力下，勒索病毒這個(gè)產(chǎn)業(yè)里，一直在用最新的漏洞不斷更新變種，比如說可以在網(wǎng)上搜索最新的新聞，幾乎發(fā)布了什么最新的漏洞，勒索病毒就先有上了，而且更新的非?？臁?/p>

還有一個(gè)問題，我們也發(fā)現(xiàn)我們曾經(jīng)做安全，說怎么做呢？做安全開發(fā)生命周期SDLC，我最早一直學(xué)習(xí)SDLC，我們也去學(xué)習(xí)各種各樣的風(fēng)險(xiǎn)評估的方法，比如我們知道RSO27005風(fēng)險(xiǎn)管理體系，有時(shí)候叫風(fēng)險(xiǎn)框架，比如說SP800-30，-27，-39，這些內(nèi)容。但是當(dāng)我曾經(jīng)做一個(gè)甲方的時(shí)候，我們發(fā)現(xiàn)這些內(nèi)容，我曾經(jīng)所在的組織有十萬臺以上的服務(wù)器，有三百個(gè)業(yè)務(wù)，你根本來不及做一次風(fēng)險(xiǎn)評估，因?yàn)樘?，系統(tǒng)太大。我們發(fā)現(xiàn)在國外，現(xiàn)在最流行的方式是dev，ops，在這個(gè)基礎(chǔ)上去插入安全的能力，包括監(jiān)測和分析，這里又有一個(gè)問題，devops本身節(jié)奏非常快，如果用傳統(tǒng)的方法干不過來，舊的問題發(fā)現(xiàn)了，你按傳統(tǒng)的瀑布模型讓他修補(bǔ)，按道理舊的還沒修完，新系統(tǒng)本身出現(xiàn)了更新。

以在座的為例，比如說現(xiàn)在大家喜歡玩手機(jī)，我們發(fā)現(xiàn)手機(jī)沒做什么又升級了，因?yàn)榻裉靌evops在全球比較普及，尤其是互聯(lián)網(wǎng)公司，所以我們APP在不停的升級，你就可以想你的安全措施來不來得及。

為了應(yīng)對這些2018年的時(shí)候，ISO，所有風(fēng)險(xiǎn)管理總的框架發(fā)布了最新的版本，這個(gè)版本里分三個(gè)部分，分別叫做原則、框架和流程，這個(gè)場景下，這個(gè)標(biāo)準(zhǔn)講的是所有的風(fēng)險(xiǎn)管理，他說無論在原則里還是在框架里，我們應(yīng)該能夠整合。什么意思？所有人都去找領(lǐng)導(dǎo)要資源，有人說投資風(fēng)險(xiǎn)很重要，合規(guī)風(fēng)險(xiǎn)很重要，病毒風(fēng)險(xiǎn)也很重要，我們需要用整合的視角處理所有的風(fēng)險(xiǎn)的內(nèi)容，這個(gè)內(nèi)容也是2017年最新的版本里的思想，就是一個(gè)整合，這是指拋開信息安全范圍以上的風(fēng)險(xiǎn)管理的思路。

同樣是這件事情，其實(shí)我們也發(fā)現(xiàn)了當(dāng)你拿過ISO9000叫質(zhì)量管理體系認(rèn)證，你拿過信息技術(shù)服務(wù)管理體系，做過27000叫信息安全管理體系，做過業(yè)務(wù)連續(xù)性叫ISO22301，包括你看過19600叫合規(guī)管理體系的時(shí)候，你發(fā)現(xiàn)都差不多。我之前就想他們到底有什么關(guān)系，直到我發(fā)現(xiàn)這個(gè)東西叫高層框架，其實(shí)我們學(xué)了這個(gè)東西就能夠把所有的管理體系用一套體系，運(yùn)行一套體系來滿足所有管理體系的要求。

我把這個(gè)東西再背一遍，非常簡單，所有的管理體系都是十個(gè)步驟，這個(gè)是2012年的時(shí)候ISO那個(gè)組織出了一個(gè)導(dǎo)則，給每一個(gè)管理體系的作者們說以后你們再寫管理體系就按這個(gè)來，這個(gè)叫高層框架。啥意思？2012年出的高層框架，2013年是ISO27001有一個(gè)GBT22080那個(gè)標(biāo)準(zhǔn)就更新了，包括去年的20000就更新了，他說什么呢？前面有三個(gè)部分，每一個(gè)標(biāo)準(zhǔn)都這么說，第一步我的范圍是什么，第一章，第二章，引用的文件，第三章術(shù)語和定義，第四章組織情景，第五章領(lǐng)導(dǎo)力，第六章策劃，第七章支持，第八章運(yùn)行，第九章績效評價(jià)，第十章改進(jìn)。在第五章的時(shí)候都一樣，體現(xiàn)德魯克的管理思想。第六章要對方針進(jìn)行落地為目標(biāo)，做信息安全是做什么？其實(shí)就是做應(yīng)對風(fēng)險(xiǎn)的措施和信息安全就是風(fēng)險(xiǎn)的識別和對風(fēng)險(xiǎn)的應(yīng)對，就是整個(gè)ISO27001和其他的區(qū)別，就是這個(gè)東西。

我們也發(fā)現(xiàn)從控制域的角度來講，無論是27000還是等級保護(hù)，比如說等級保護(hù)1.0的時(shí)候，我們分物理網(wǎng)絡(luò)主機(jī)應(yīng)用和數(shù)據(jù)備份，2.0的時(shí)候根據(jù)25070，去年年底大家調(diào)整最新的那個(gè)版本，按照25070一個(gè)中心分層防護(hù)，其實(shí)都是控制域，完全能夠整合。直到我這個(gè)月初在美國ISA發(fā)現(xiàn)原來美國人也這么玩，把PCDSS，金融行業(yè)支付卡的標(biāo)準(zhǔn)，也去和美國的CSSF叫網(wǎng)絡(luò)空間安全框架做相應(yīng)的匹配，我們能做到的就是不光把過程用高層框架整合，把控制域也能夠整合。

想到這個(gè)事兒我就實(shí)踐了，去年我就嘗試著用非常古老的方法，有一個(gè)叫ISO27013，專門講27001信息安全和運(yùn)維怎么結(jié)合在一起，安全的讓往往向運(yùn)維匯報(bào)，怎么用一個(gè)團(tuán)隊(duì)，就這么多人，把活全干了，就干了這一個(gè)事。但這個(gè)太簡單，又做了什么？把這一堆東西用一個(gè)體系做成一個(gè)體系，通過運(yùn)行一個(gè)體系滿足所有目標(biāo)，為什么做這件事情？因?yàn)槲野l(fā)現(xiàn)在我的組織里，安全人員很少，不管是跟信息安全相關(guān)的合規(guī)性的內(nèi)容，永遠(yuǎn)是這么幾個(gè)人負(fù)責(zé)管理，一堆人負(fù)責(zé)配合。當(dāng)時(shí)我所在的組織已經(jīng)超過了15個(gè)認(rèn)證，這些時(shí)候我算了一下，每個(gè)月都要去跟審核機(jī)構(gòu)做配合，我的研發(fā)，我的運(yùn)維要干活，我要節(jié)省大家的時(shí)間，提高工作效率，我要讓我的工作干的完，這只是我工作的一小部分，我就做了一件事，一年就做兩遍，一個(gè)體系，所有檢查不管是國內(nèi)還是國外都搞定，這就是之前做的事。

說到這兒，我們到了今天這個(gè)場景，我們想一個(gè)問題，由于深信服是一個(gè)面向全球的安全公司，之前做的事情是聚焦20%的產(chǎn)品，把它做到極致，覆蓋80%的需求，我認(rèn)為今天有這么好的機(jī)會跟各位老師和專家同行在一起，我不應(yīng)該講我們家的產(chǎn)品有多么多么的好，而是我們應(yīng)該一起想一個(gè)辦法，怎么把我們在座的這些中國的安全企業(yè)，這些產(chǎn)品用一個(gè)簡單的表達(dá)，滿足國內(nèi)外的需求，用一個(gè)模型對外展現(xiàn)出去，去抵御來自全球的威脅，雖然我們在中國，但是攻擊者可能來自全世界，我們要把東西按照“一帶一路”的政策賣出去，我們既要遵守自己的規(guī)定和相關(guān)的網(wǎng)絡(luò)安全法等很多內(nèi)容，也要去兼容，所以我們提出了一個(gè)模型，它包含了三個(gè)部分。分別是防御、檢測、相應(yīng)的基本能力。

面對著未來的形勢，攻擊越來越多，描述起來細(xì)節(jié)越來越復(fù)雜，量又特別大，又需要很快速的信息化和安全的能力，我們要提出基于人工智能的自動化工具輔助就是里面的智能。我們有那么多的標(biāo)準(zhǔn)、合規(guī)和政策要去實(shí)現(xiàn)，我們的人又那么少，我們要把真金白銀買來的設(shè)備提高安全能力，我們需要用人做運(yùn)營，在運(yùn)營里做組織業(yè)務(wù)，風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)管理，安全治理，供應(yīng)鏈安全和相關(guān)的合規(guī)工作去落地，我們把這個(gè)模型叫做深信服的智安全架構(gòu)，也叫APDRO風(fēng)險(xiǎn)管理模型，基于這個(gè)模型我們深信服只有一點(diǎn)點(diǎn)設(shè)備做了一個(gè)能力交付矩陣，做了支持這個(gè)模型的一部分。

基于這項(xiàng)內(nèi)容我們又把能力交付矩陣和模型做了戰(zhàn)略分解落地，最下面是能力的支撐，我們認(rèn)為常見的能力，不管你是什么內(nèi)容，都可以用這一個(gè)簡單的模型對他進(jìn)行表達(dá)，叫什么，里面的元素是什么并不重要，我們只需要在現(xiàn)階段找到一種簡單的方法，能夠讓他快速把安全運(yùn)營起來，達(dá)到有效保護(hù)是我們的目的。

我們也是為了闡述深信服主要的安全能力，所以最下面大家可以看到是對智能防御檢測響應(yīng)的分解，我們的APDRO，中間這一部分就是安全體系，其實(shí)就是我們的等級保護(hù)，是按老板的基本要求做的，我們也參考新的版本去調(diào)整。我們雖然學(xué)習(xí)了，或者持續(xù)學(xué)習(xí)來自大量國際上最新的攻防的趨勢，管理的理念，包括一些技術(shù)的內(nèi)容，我們大量的學(xué)習(xí)，但在國內(nèi)我們還是堅(jiān)決執(zhí)行和學(xué)習(xí)支持等級保護(hù)的相關(guān)工作，目前我們已經(jīng)有了120個(gè)人的CIIP-A叫做關(guān)鍵基礎(chǔ)設(shè)施等級保護(hù)2.0認(rèn)證，我們在內(nèi)部要求以高考的態(tài)度和強(qiáng)度去學(xué)習(xí)，包括我自己也是剛考完。我們把等級保護(hù)的相關(guān)認(rèn)證納入人員晉升和日?？己恕?/p>

今天的內(nèi)容就講到這里，希望有機(jī)會能和各位領(lǐng)導(dǎo)和專家繼續(xù)學(xué)習(xí)，和各位友商共同建立一種生態(tài)，能夠在國內(nèi)共同去抵御來自全球的威脅，謝謝大家。